SPF, DKIM ve DMARC: E-posta Kimlik Doğrulama Rehberi

SPF, DKIM ve DMARC: E-posta Kimlik Doğrulama Pratik Kurulum Rehberi (2026)

Mailiniz Gmail/Outlook'ta spam'e düşüyor mu? "[email protected] adresimden saldırgan müşterilerime mail göndermiş" diye uyarı aldınız mı? Bunların ortak çözümü: SPF + DKIM + DMARC üçlüsü. Bu üç DNS kaydı modern e-posta güvenliğinin temeli; doğru kurulduklarında (1) mailleriniz güvenilir kabul edilir, (2) saldırganlar domain'iniz adına mail gönderemez, (3) Gmail "ekstra güvenli" kontrol mührünü görsel olarak gösterir. Bu rehberde Buyukweb cPanel müşterilerimiz için adım-adım kurulum, doğrulama ve sorun giderme yer alıyor.

Buyukweb perspektifi: cPanel paketlerimizde DKIM otomatik üretilir, mail hesabı oluşturulur oluşturulmaz aktif. SPF Buyukweb mail sunucusu için varsayılan kayıt sunulur. DMARC müşteri tarafından eklenmesi gereken son halka. Bu üçü tamamlandığında Gmail teslimat oranı %95+ olur, "spam" düşüş %80 azalır. Tercih etmeyin: "tek tarafı yapsam yeter" yaklaşımını — SPF tek başına 2026'da yetersiz, DMARC olmazsa Gmail/Yahoo kurumsal-mail kabul filtresinde reddediyor.

Üç Standardın Rolü — Hızlı Bakış

Standart	Ne yapar?	Nerede tanımlı?	DNS kayıt tipi
SPF (Sender Policy Framework)	"Bu domain'den hangi IP'ler mail gönderebilir?" beyanı	DNS TXT (@)	TXT
DKIM (DomainKeys Identified Mail)	Maillere kriptografik imza ekler	DNS TXT (selector._domainkey)	TXT
DMARC (Domain-based Message Authentication, Reporting and Conformance)	"SPF veya DKIM başarısızsa ne yap?" politikası + raporlama	DNS TXT (_dmarc)	TXT

Mail Akışı:
[Gönderen sunucu] → İmza ekle (DKIM)
                  → IP doğrulama (SPF kayıdı)
                  → Alıcı sunucu (Gmail vb.) → Üçünü de kontrol et
                                              → DMARC politikasına göre kabul/karantina/red

Neden Üçü Birlikte?

Tek başına SPF yetersiz: forwarder'lar (mailing list, alias) maili relay edince SPF kırılır. DKIM forwarder'a dayanıklı ama eksik. DMARC ikisini bağlar ve "alignment" kontrolü yapar (From: header'daki domain SPF/DKIM domain'iyle uyumlu mu?).

Sadece SPF:                Forwarder mail'i = SPF fail = teslim sıkıntısı
Sadece DKIM:               Saldırgan kendi DKIM'iyle mail gönderir = imza geçer ama From: spoof'lu
SPF + DKIM:                Yetersiz alignment kontrolü
SPF + DKIM + DMARC:        Tam koruma + raporlama

2024'te Gmail ve Yahoo ayda 5K+ mail gönderen toplu-mail göndericiler için DMARC zorunlu kıldı. 2026'da kurumsal mail gönderim isteyen herkes için DMARC fiilen şart.

SPF (Sender Policy Framework) Kurulumu

Temel SPF Kaydı

Buyukweb mail sunucusu üzerinden mail gönderiyorsanız:

Tip:    TXT
Name:   @ (root domain)
Value:  v=spf1 a mx ip4:SUNUCU_IP_BUYUKWEB ~all
TTL:    3600

Buyukweb cPanel + 3rd-party SMTP (örn. SendGrid)

v=spf1 a mx ip4:SUNUCU_IP include:sendgrid.net ~all

Sıfır Mail Gönderim (Marketing Domain)

Mail göndermeyen domain için:

v=spf1 -all

SPF Mekanizmaları

Mekanizma	Anlamı
a	Domain'in A kaydındaki IP'den mail kabul
mx	Domain'in MX kaydındaki sunuculardan mail kabul
ip4:	Belirli IPv4 adresi/aralığından kabul
ip6:	IPv6 adresi/aralığından kabul
include:	Başka domain'in SPF kaydını dahil et
~all	"Diğer tüm gönderimi softfail (spam'e koy)"
-all	"Diğer tüm gönderimi hardfail (reddet)"
?all	"Diğer tüm gönderimi neutral"
+all	"Her şeyi kabul" — kullanmayın, koruma yok

-all mı ~all mı? İlk kurulumda ~all (softfail) güvenli; mail teslimat sorunlarını gidermenize zaman tanır. DMARC raporlarını izledikten sonra -all (hardfail) ile sıkılaştırın.

SPF Kaydını cPanel'de Eklemek

cPanel > Domains > Zone Editor > [domain] > Add Record

Type:   TXT
Name:   siteniz.com
TTL:    3600
Value:  v=spf1 a mx ~all

cPanel'in Email Deliverability modülü otomatik SPF üretir; Email Deliverability > Manage > Repair tıklarsanız sunucunun ihtiyacına uygun kaydı önerir.

SPF 10 DNS-Lookup Sınırı

SPF spec'i tek SPF kaydında maksimum 10 DNS lookup izin verir. include: her biri 1 lookup. Aşılırsa SPF "permerror" hatası, mailler reddedilir.

v=spf1 include:sendgrid.net include:_spf.google.com include:_spf.mailchimp.com include:spf.mandrillapp.com include:spf.protection.outlook.com -all
^ 5 include + her birinin alt include'ları → genelde 10+ lookup'ı patlatır

Çözüm: SPF flattening servisleri (DNSimple, EasyDMARC SPF flattener) include'ları statik IP'ye dönüştürür.

DKIM (DomainKeys Identified Mail) Kurulumu

DKIM her gönderilen maili özel bir kriptografik anahtarla imzalar. Alıcı sunucu bu imzayı DNS'teki public key ile doğrular.

cPanel'de DKIM Otomatik

Buyukweb cPanel'de mail hesabı oluşturulduğu an DKIM otomatik kurulur:

cPanel > Email > Email Deliverability > [domain] > Manage

DKIM bölümünde "VALID" ✅ görmelisiniz. "INVALID" ❌ ise:

Email Deliverability > Manage > Repair

cPanel otomatik DNS kaydını üretir, kopyala-yapıştır ile DNS sağlayıcınıza ekleyin.

Manuel DKIM (VDS, Postfix)

# OpenDKIM kur
sudo apt install opendkim opendkim-tools -y

# Anahtar oluştur
sudo mkdir /etc/opendkim/keys/siteniz.com
cd /etc/opendkim/keys/siteniz.com
sudo opendkim-genkey -s default -d siteniz.com -b 2048
sudo chown opendkim:opendkim default.private

default.txt dosyasında public key var; DNS'e:

Tip:    TXT
Name:   default._domainkey.siteniz.com
Value:  v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNAD...

OpenDKIM'i Postfix'e bağla:

# /etc/opendkim.conf
Domain                  siteniz.com
KeyFile                 /etc/opendkim/keys/siteniz.com/default.private
Selector                default
Socket                  inet:8891@localhost

sudo systemctl enable --now opendkim
sudo systemctl restart postfix

DKIM Anahtar Boyutu

1024-bit:  Eski standart, hâlâ kabul edilir ama Yahoo/Gmail "weak key" uyarısı gösteriyor
2048-bit:  ✅ Modern öneri, sektör standardı
4096-bit:  Aşırı; bazı eski mail sunucu DNS UDP boyut limitini aşar

Buyukweb cPanel otomatik 2048-bit kullanır; manuel kurulumda -b 2048 flag'i kullanın.

DKIM Selector

default._domainkey.siteniz.com formatındaki "default" selector. Birden fazla DKIM imza (örn. eski + yeni anahtar geçişinde) için farklı selector'lar:

mail._domainkey.siteniz.com         # cPanel default
sendgrid._domainkey.siteniz.com     # SendGrid CNAME
google._domainkey.siteniz.com       # Google Workspace

DMARC (Domain-based Message Authentication) Kurulumu

DMARC SPF ve DKIM'in çıktısını birleştirir + alıcıya politika belirtir + rapor verir.

Adım 1: Monitoring Modunda Başla

İlk DMARC kaydı her zaman p=none ile başlamalı:

Tip:    TXT
Name:   _dmarc.siteniz.com
TTL:    3600
Value:  v=DMARC1; p=none; rua=mailto:[email protected]; pct=100

p=none "şu an hiçbir aksiyon alma, sadece raporla" demektir. 2-4 hafta içinde rua adresine günlük XML raporlar gelir; SPF/DKIM başarısız mailleri gösterir.

Adım 2: Quarantine Modu (Karantina)

Raporları analiz ettikten ve meşru gönderim sorunları çözüldükten sonra:

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=25; sp=quarantine

pct=25 "fail olanların %25'ini karantinaya gönder, gerisi none gibi". Aşamalı sıkılaştırma:

pct=25 → 1 hafta gözle
pct=50 → 1 hafta
pct=100 → tüm fail mailler karantinada

Adım 3: Reject Modu (Tam Koruma)

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100; sp=reject; adkim=s; aspf=s

p=reject SPF/DKIM fail eden tüm mailler doğrudan reddedilir, alıcının inbox'ına ulaşmaz.

DMARC Etiketleri

Etiket	Anlamı
v=DMARC1	Versiyon (zorunlu)
p=	Politika: none, quarantine, reject
sp=	Subdomain politikası (boş bırakılırsa p kullanılır)
pct=	Politika uygulanacak yüzde (1-100)
rua=	Aggregate rapor mail adresi (günlük XML)
ruf=	Forensic rapor mail adresi (her fail için detay)
adkim=	DKIM alignment: s (strict) veya r (relaxed)
aspf=	SPF alignment: s (strict) veya r (relaxed)
fo=	Forensic options

DMARC Rapor Analizi

Rapor XML'ler okunması zor; analiz araçları:

• EasyDMARC (ücretsiz tier var) — görsel dashboard
• DMARC Analyzer — kurumsal
• Postmark DMARC Digest — haftalık özet mail
• dmarcian — sektör standardı

İlk hafta raporda göreceğiniz: meşru mail göndericilerinizin (CRM, e-fatura sistemi, eklenti) eksik DKIM/SPF kaydı varsa görünür; düzeltirsiniz.

BIMI (Brand Indicators for Message Identification) — 2026 Yeni Standart

BIMI, DMARC'ın üstüne kurulu yeni standart: doğrulanmış marka logosunu Gmail inbox listesinde gönderici avatarı olarak gösterir.

BIMI Önkoşulları

1. DMARC p=quarantine veya p=reject aktif
2. VMC (Verified Mark Certificate) — DigiCert/Entrust gibi kurumlardan ücretli (yıllık ~$1500)
3. Marka tescilli logo SVG formatında

BIMI DNS Kaydı

Tip:    TXT
Name:   default._bimi.siteniz.com
Value:  v=BIMI1; l=https://siteniz.com/logo.svg; a=https://siteniz.com/vmc.pem

Pratiklik: BIMI yatırımı sadece kurumsal e-posta gönderiminin kritik olduğu marka değeri yüksek şirketler için anlamlı. KOBİ ve blog için DMARC p=reject zaten yeterli.

Doğrulama ve Test

1. mail-tester.com (En Pratik)

1. https://www.mail-tester.com aç
2. Verilen adrese mail gönder (Outlook, webmail vb.)
3. "Then check your score" tıkla
4. 0-10 arası puan ve detay rapor

Hedef: 10/10. 9 altı varsa SPF/DKIM/DMARC eksik veya içerik spam-tetikleyici.

2. mxtoolbox.com Domain Health

https://mxtoolbox.com/domain/siteniz.com

SPF, DKIM, DMARC, MX, DNSSEC, blacklist — hepsi tek raporda.

3. dmarcian DMARC Inspector

https://dmarcian.com/dmarc-inspector/?domain=siteniz.com

DMARC kaydının doğru sözdizimi olduğunu doğrular.

4. Komut Satırı

# SPF kontrol
dig +short TXT siteniz.com | grep spf1

# DKIM kontrol
dig +short TXT default._domainkey.siteniz.com

# DMARC kontrol
dig +short TXT _dmarc.siteniz.com

Sık Karşılaşılan Sorunlar

Sorun 1: SPF "permerror" — 10 DNS lookup aşıldı

v=spf1 include:_spf.google.com include:sendgrid.net include:mailchimp.com include:zoho.com include:_spf.firma.com -all

Çözüm: SPF flattening servisi ile include'ları statik IP'ye dönüştür.

Sorun 2: DKIM "selector not found"

DNS kaydı doğru girildi ama doğrulanamıyor:

dig +short TXT mail._domainkey.siteniz.com

Boş dönüyor → propagasyon bekle (TTL kadar) veya kayıt yanlış girildi.

Sorun 3: DMARC fail — Gmail'den gelen "DMARC failure" raporları

DMARC p=none ile gözle. Rapor sebep gösterir:

• "SPF fail" → SPF kaydı eksik veya yanlış IP
• "DKIM fail" → DKIM imza yok (eklenti, CRM vs.)
• "Both fail" → Hiçbir kimlik doğrulama yok, muhtemelen meşru kullanıcı değil

Sorun 4: WordPress mailları DKIM imzalanmıyor

WordPress wp_mail() fonksiyonu PHP mail() kullanır; cPanel mail sunucusunun DKIM'ine güvenir. İmza varsa otomatik.

Eğer SMTP eklentisi (WP Mail SMTP, FluentSMTP) kullanıyorsanız, eklenti SMTP üzerinden gönderiyorsa DKIM o SMTP servisinin (SendGrid, Mailgun) anahtarıyla imzalanır.

Sorun 5: Toplu mail (newsletter) spam'e düşüyor

Sebep: cPanel mail sunucusu transactional mail için tasarlandı; bulk/marketing için değil. Newsletter gönderimi:

• Saatlik 500+ mail attığınızda Buyukweb mail sunucusu rate-limit eder
• IP reputation marketing göndermek için ideal değil
• DMARC raporu yüksek-bounce gösterir

Çözüm: Mailing list servisi kullanın — SendGrid, Mailgun, Brevo. Bu servislerin DKIM'ini ekleyin (CNAME tabanlı), kendi domain'inizle gönderim.

Sık Sorulan Sorular

Buyukweb cPanel'de SPF, DKIM, DMARC otomatik mı?

SPF ve DKIM otomatik üretilir mail hesabı oluşturulurken. DMARC manuel eklemeniz gereken kısım. cPanel > Email > Email Deliverability > Repair tıkladığınızda eksik kayıtları gösterir.

Bir domain'in birden fazla SPF kaydı olabilir mi?

Hayır. Bir SPF kaydında tüm gönderim kaynaklarını birleştirin:

v=spf1 a mx include:sendgrid.net include:_spf.mailchimp.com -all

İki ayrı SPF TXT kaydı varsa SPF "permerror" verir, mailler reddedilir.

DMARC p=reject riskli mi?

İlk gün ekleyip p=reject yapmayın — meşru gönderim kaynaklarınızı (eklenti, CRM, e-fatura) tanımadan önce kendinizi engellersiniz. p=none ile 2-4 hafta gözleyin, sonra p=quarantine pct=25, sonra p=quarantine pct=100, en son p=reject aşamalı geçiş.

Subdomain'ler için ayrı SPF/DKIM/DMARC mi?

SPF: subdomain'in kendi mail göndermesi gerekiyorsa ayrı SPF gerekir; yoksa parent domain'inkini DMARC sp= etiketi ile yönetebilirsiniz.

DKIM: her selector domain'e bağlı; ayrı yapılandırma genelde gereksiz.

DMARC: _dmarc.subdomain.siteniz.com ayrı kayıt yapılabilir; çoğu zaman sp= parent kaydında yeter.

"[email protected]" adresinden mail göndereyim diyorum, DMARC etkiler mi?

Evet, From: header'da siteniz.com görünüyorsa DMARC kontrolü uygulanır. no-reply farklı domain (örn. siteniz.email) ise o domain'in DMARC'i kontrol edilir.

Eski DKIM anahtarımı nasıl kaldırırım?

Sadece DNS'ten o selector kaydını silin. Anahtar değişimi (rotation) için yeni selector ekleyin (eski + yeni 30 gün üst üste, eskiyi kaldır).

DKIM imza maillerimi yavaşlatır mı?

Hayır, kriptografik imza milisaniye sürede yapılır; e-posta gönderim hızını ölçülemez seviyede etkiler.

Toplu marketing mail için Buyukweb mail sunucusu uygun mu?

Saatlik 500+ mail için uygun değil (rate-limit). Newsletter, e-ticaret bildirimi gibi yüksek hacim için dış SMTP servisi (SendGrid, Mailgun) kullanın. cPanel transactional mail (sipariş bildirim, üyelik onay) için yeterli.

KVKK ile DMARC ilişkisi var mı?

Doğrudan değil ama kişisel veri içeren mailleri yetkisiz alıcıya gönderme riski DMARC ile azalır. KVKK 12. madde "uygun teknik tedbir" kapsamında DMARC önerilen pratik.

"Forwarder mail" SPF'i kırıyor, ne yapayım?

Sıkıntılı senaryo: kullanıcı maili [email protected] → [email protected]'a forward ediyor. SPF Gmail'in IP'sini "siteniz.com'dan gönderebilir" listesinde görmediği için fail. Çözüm: SRS (Sender Rewriting Scheme) veya forwarder'ın From: header'ı yeniden yazması. cPanel'in standart forwarder'ı bunu otomatik halleder.

Sonuç

SPF + DKIM + DMARC üçlüsü 2026'da mail teslimat ve marka koruması için zorunlu. Buyukweb cPanel müşterilerimizde SPF ve DKIM otomatik; DMARC eklenmesi gereken son halka. p=none ile başlayın, raporları izleyin, aşamalı olarak p=reject'e geçin. mail-tester.com'da 10/10 hedefleyin. Toplu mail (newsletter) için cPanel yerine dış SMTP servisi tercih edin. BIMI yatırımı sadece kritik markalar için anlamlı.

Soru ve teknik destek için: 0850 302 60 70.

---

İlgili Büyükweb Hizmetleri

E-posta altyapı için paketler:

• cPanel Web Hosting — DKIM otomatik, sınırlı mail kotası
• Plesk Web Hosting — Plesk mail yönetimi
• Reseller Hosting — alt-müşteriler için e-posta
• VDS Sunucu — kendi mail sunucunuz, DMARC tam kontrol
• Tüm Paketler — Karşılaştırma

Sorularınız için 0850 302 60 70 numaralı destek hattımıza veya iletişim sayfamıza yazabilirsiniz.