SPF, DKIM ve DMARC Nedir? E-Posta Kimlik Doğrulama Rehberi (2026)

Q: SPF kaydı tek başına yeterli değil mi?

Hayır. SPF iletilen e-postalarda bozulabilir ve mesaj içeriğini doğrulamaz. DKIM imzası ve DMARC hizalaması güvenilir teslimat için gereklidir.

Q: DMARC'ı hangi politikayla başlatmalıyım?

p=none ile başlayıp rua raporlarını izleyin. Tüm meşru gönderim kaynaklarınızın SPF/DKIM'den geçtiğinden emin olduktan sonra kademeli olarak quarantine ve reject'e geçin.

Q: Günde 5.000'den az e-posta gönderiyorum, yine de gerekli mi?

Zorunlu olmasa da şiddetle önerilir. SPF/DKIM/DMARC az sayıda gönderimde bile teslimatı iyileştirir ve alan adınızın taklit edilmesini engeller.

Makale Başlıkları

Gönderdiğiniz e-postalar alıcının gelen kutusuna mı düşüyor, yoksa spam klasörüne mi? Bu sorunun cevabı büyük ölçüde üç teknik kayda bağlıdır: SPF, DKIM ve DMARC. Bu üçlü, e-postanın gerçekten sizin adınıza gönderildiğini kanıtlayan e-posta kimlik doğrulama (email authentication) standartlarıdır. Doğru kurulduğunda teslimat (deliverability) oranınız yükselir; eksik olduğunda ise meşru e-postalarınız bile spam’e düşebilir veya tamamen reddedilebilir.

Üstelik bu artık “iyi olur” değil, çoğu durumda zorunluluk. Bu rehberde her bir kaydın ne işe yaradığını, nasıl kurulduğunu, 2024-2026 ile gelen Gmail/Yahoo/Microsoft zorunluluklarını ve sık yapılan hataları adım adım açıklıyoruz.

Kısa Özet: SPF, DKIM ve DMARC Ne İşe Yarar?

Kayıt	Ne yapar?	Hangi soruyu yanıtlar?
SPF	Alan adınız adına e-posta göndermeye yetkili sunucuları listeler	“Bu sunucu benim adıma göndermeye yetkili mi?”
DKIM	E-postaya kriptografik imza ekler	“Mesaj yolda değiştirildi mi, gerçekten benden mi?”
DMARC	SPF/DKIM başarısızsa ne yapılacağını söyler + rapor toplar	“Doğrulama geçmezse e-postaya ne olsun?”

Üçü birlikte çalışır: SPF ve DKIM kimliği doğrular, DMARC ise bu doğrulamayı bir politikaya bağlar ve size geri bildirim verir. Bu kayıtların tamamı alan adınızın DNS bölgesinde tanımlanır.

SPF (Sender Policy Framework) Nedir?

SPF, alan adınız adına e-posta göndermeye yetkili IP adreslerini/sunucuları belirten bir DNS TXT kaydıdır. Alıcı sunucu e-postanızı aldığında, gönderen IP’nin SPF kaydınızda yer alıp almadığını kontrol eder. Yer alıyorsa SPF “pass” (geçti), almıyorsa “fail” (kaldı) sonucu döner.

Örnek bir SPF kaydı:

v=spf1 ip4:203.0.113.10 include:_spf.alastyr.com -all

v=spf1 — SPF sürümü.
ip4:... — yetkili IP adresi.
include:... — başka bir sağlayıcının (ör. mail sunucunuzun) SPF kaydını dahil eder.
-all — “listelenmeyen hiçbir sunucu yetkili değil” (katı / hard fail). ~all ise yumuşak (soft fail) anlamına gelir.

Önemli sınır: SPF kaydınızı çözmek 10 DNS sorgusundan fazlasını gerektiriyorsa doğrulama başarısız olur. Çok sayıda include kullanıyorsanız bu limite takılmamaya dikkat edin. Ayrıca her alan adı için yalnızca bir SPF kaydı olmalıdır; iki ayrı SPF kaydı kaydı geçersiz kılar.

DKIM (DomainKeys Identified Mail) Nedir?

DKIM, giden her e-postaya görünmez bir kriptografik imza ekler. Bu imza, alan adınızın DNS’inde yayınlanan bir açık anahtar (public key) ile doğrulanır. İmza geçerliyse, mesajın yolda değiştirilmediği ve gerçekten sizin sunucunuzdan çıktığı kanıtlanmış olur.

DKIM kaydı, bir “selector” (seçici) ile birlikte DNS’te şu biçimde yayınlanır:

selector._domainkey.alanadiniz.com  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSq..."

Anahtar uzunluğu en az 1024 bit olmalıdır; 2048 bit ise daha güçlüdür ve ölçekli gönderim için önerilir.
İmza, From, Subject gibi başlıkları ve gövdeyi kapsar; bu sayede içerik değiştirilirse doğrulama bozulur.

DMARC (Domain-based Message Authentication) Nedir?

DMARC, SPF ve DKIM’i bir politikaya bağlayan ve size raporlama sağlayan katmandır. İki kritik işi vardır:

Hizalama (alignment): E-postanın görünen From başlığındaki alan adı, SPF veya DKIM ile doğrulanan alan adıyla eşleşmelidir. Teknik olarak SPF “pass” verse bile, hizalama yoksa DMARC başarısız olur.
Politika: Doğrulama geçmezse ne yapılacağını siz belirlersiniz.

Örnek DMARC kaydı:

_dmarc.alanadiniz.com  TXT  "v=DMARC1; p=quarantine; rua=mailto:raporlar@alanadiniz.com; pct=100"

Politika (`p=`)	Anlamı	Kimler için
`p=none`	Hiçbir şey yapma, sadece raporla (izleme modu)	Yeni başlayanlar — önce raporları izleyin
`p=quarantine`	Doğrulanmayan e-postayı spam/karantinaya at	Kademeli geçiş
`p=reject`	Doğrulanmayan e-postayı tamamen reddet	En güçlü koruma (marka taklidini engeller)

Öneri: DMARC’ı p=none ile başlatıp rua raporlarını birkaç hafta izleyin; tüm meşru gönderim kaynaklarınızın SPF/DKIM’den geçtiğinden emin olduktan sonra kademeli olarak quarantine ve reject‘e geçin.

Neden Bu Kadar Önemli? (Inbox ve Marka Güvenliği)

SPF, DKIM ve DMARC üç somut fayda sağlar:

Yüksek teslimat (inbox) oranı: Doğrulanmış e-postalar spam’e düşmek yerine gelen kutusuna ulaşır.
Marka taklidine (spoofing) karşı koruma: Kötü niyetli kişilerin sizin alan adınızdan sahte e-posta göndermesi engellenir; bu, müşterilerinizi phishing’den korur.
İtibar ve görünürlük: Sağlayıcılar doğrulanmış göndericileri daha güvenilir sayar; bu da uzun vadede teslimatınızı iyileştirir.

2026: Gmail, Yahoo ve Microsoft Artık Zorunlu Tutuyor

1 Şubat 2024’ten itibaren Gmail ve Yahoo, ardından Microsoft, toplu gönderici (bulk sender) kuralları getirdi ve 2026 itibarıyla bu kurallar tam olarak uygulanıyor:

Gmail adreslerine günde 5.000+ e-posta gönderen her alan adı kalıcı olarak “toplu gönderici” sayılır.
Toplu göndericiler için SPF + DKIM + DMARC zorunludur; ayrıca From hizalaması gerekir.
Spam şikayet oranı %0,30’un altında tutulmalıdır.
Tek tıkla abonelikten çıkma (RFC 8058 — List-Unsubscribe başlıkları) gerekir.
Yahoo ayrıca geçerli PTR (rDNS) ve TLS ister.
Uyumsuz toplu e-postalar artık kalıcı olarak reddedilebiliyor (550).

Toplu gönderici olmasanız bile bu üç kaydı kurmanız şiddetle önerilir; çünkü teslimat ve marka güvenliği herkes için geçerlidir.

Adım Adım Kurulum Özeti

Gönderim kaynaklarınızı listeleyin: Hangi sunucu/servislerin (mail hosting, kampanya aracı vb.) sizin adınıza e-posta gönderdiğini belirleyin.
SPF kaydını oluşturun: Tüm meşru kaynakları kapsayan tek bir SPF TXT kaydı yayınlayın (10 sorgu limitine dikkat).
DKIM’i etkinleştirin: Mail sunucunuzdan DKIM anahtarını üretip selector kaydını DNS’e ekleyin (2048 bit önerilir).
DMARC’ı yayınlayın: p=none + rua ile başlayın, raporları izleyin, sonra kademeli sıkılaştırın.
Doğrulayın: Test e-postaları gönderip başlıkları (Authentication-Results) inceleyin; üç kaydın da “pass” verdiğinden emin olun.

Sık Yapılan Hatalar

İki SPF kaydı: Aynı alan adında birden fazla SPF kaydı, kaydı geçersiz kılar — tek kayıtta birleştirin.
10 DNS sorgu limitini aşmak: Çok fazla include SPF’i bozar.
DKIM imzalamayı unutmak: Bazı kampanya araçları ayrı DKIM kurulumu ister.
DMARC’ı doğrudan p=reject ile başlatmak: Meşru kaynaklarınızı kontrol etmeden bu, kendi e-postalarınızı engelleyebilir.
Hizalamayı atlamak: SPF “pass” verse bile From alanı hizalı değilse DMARC başarısız olur.

Alastyr ile E-Posta Kimlik Doğrulama

Alastyr kurumsal e-posta hosting altyapısı, Alastyr tarafından geliştirilen, %100 KVKK uyumlu ve Türkçe arayüzlü bir sistemdir; Türkiye’de en yüksek inbox oranlarından birine sahiptir. SPF, DKIM ve DMARC kayıtlarınızın doğru kurulması için destek ekibimiz size yardımcı olur; gelen ve giden tüm e-postalar antivirüs ve anti-spam taramasından geçer. Görsel DNS yönetim panelimizle SPF/DKIM/DMARC kayıtlarınızı kolayca yönetebilir, e-postalarınızı kendi veri merkezimizdeki güvenli altyapıda barındırabilirsiniz.

DNS kayıtları hakkında daha fazla bilgi için DNS kayıtları rehberimizi ve MX kaydı rehberimizi inceleyebilirsiniz.

Sıkça Sorulan Sorular

SPF, DKIM ve DMARC’ın üçü de gerekli mi?

Evet. SPF gönderen sunucuyu, DKIM mesajın bütünlüğünü doğrular; DMARC ise bu ikisini bir politikaya bağlar ve rapor sağlar. 2026 itibarıyla toplu göndericiler için üçü de zorunlu, diğer herkes için şiddetle önerilir.

SPF kaydı tek başına yeterli değil mi?

Hayır. SPF iletilen (forward) e-postalarda bozulabilir ve mesaj içeriğini doğrulamaz. DKIM imzası ve DMARC hizalaması, güvenilir teslimat için gereklidir.

DMARC’ı hangi politikayla başlatmalıyım?

p=none ile başlayıp rua raporlarını izleyin. Tüm meşru gönderim kaynaklarınızın SPF/DKIM’den geçtiğinden emin olduktan sonra kademeli olarak quarantine ve reject‘e geçin.

E-postalarım neden spam’e düşüyor?

En yaygın nedenler eksik veya hatalı SPF/DKIM/DMARC kayıtları, kötü IP itibarı ve yüksek spam şikayet oranıdır. Üç kaydı doğru kurmak ve yüksek inbox oranlı bir mail altyapısı kullanmak sorunu büyük ölçüde çözer.

Günde 5.000’den az e-posta gönderiyorum, yine de gerekli mi?

Zorunlu olmasa da şiddetle önerilir. SPF/DKIM/DMARC, az sayıda gönderimde bile teslimatı iyileştirir ve alan adınızın taklit edilmesini (spoofing) engeller.