Önemli bir teklifi gönderdiniz ama müşteri "mail gelmedi" diyor — sonra mesajın spam klasöründe olduğu ortaya çıkıyor. Bu, kendi alan adından e-posta gönderen işletmelerin en sık yaşadığı sorundur. Çözümün anahtarı üç kısaltmada gizli: SPF, DKIM ve DMARC. Bu yazıda her birini sade biçimde açıklıyor ve neden hayati olduklarını anlatıyoruz.

Sorun: alıcı sunucu sizi nasıl tanır?

E-posta protokolü tasarlandığında kimlik doğrulama düşünülmemişti; bu yüzden teorik olarak herkes "siz@firmaniz.com" adına mesaj gönderebilir. Spam'cilerin bunu kötüye kullanmasını engellemek için alıcı sunucular, gönderenin gerçekten o alan adına gönderim yetkisi olup olmadığını kontrol eder. İşte bu kontrolü mümkün kılan üç DNS kaydı SPF, DKIM ve DMARC'tır.

SPF — Kim gönderebilir?

SPF (Sender Policy Framework), alan adınız adına hangi sunucuların e-posta gönderebileceğini belirten bir DNS kaydıdır. Alıcı sunucu, gelen mesajın IP'sini SPF kaydındaki izinli listeyle karşılaştırır.

Görevi: "Bu sunucu benim adıma göndermeye yetkili mi?" sorusunu yanıtlamak.
Eksikse: mesajlarınız sahte gibi görünüp spam'e düşebilir.

DKIM — Mesaj yolda değiştirildi mi?

DKIM (DomainKeys Identified Mail), giden her mesaja kriptografik bir dijital imza ekler. Alıcı sunucu, DNS'teki açık anahtarı kullanarak imzayı doğrular ve mesajın yolda değiştirilmediğinden emin olur.

Görevi: mesajın bütünlüğünü ve gerçekten sizin alan adınızdan geldiğini kanıtlamak.
Eksikse: itibar puanınız düşer, teslimat zayıflar.

DMARC — İkisi başarısız olursa ne yapılsın?

DMARC (Domain-based Message Authentication, Reporting and Conformance), SPF ve DKIM kontrolleri başarısız olduğunda alıcı sunucunun ne yapması gerektiğini söyleyen politikadır: hiçbir şey yapma, karantinaya al ya da reddet. Ayrıca size raporlar göndererek alan adınız adına kimlerin gönderim yaptığını görmenizi sağlar.

Görevi: politikayı belirlemek ve görünürlük sağlamak.
Eksikse: kötü niyetli kişiler alan adınızı taklit edebilir (spoofing).

Üçü birlikte nasıl çalışır?

Bir mesaj geldiğinde alıcı sunucu sırasıyla şunu sorar:

SPF: Bu IP göndermeye yetkili mi?
DKIM: İmza geçerli mi, mesaj bozulmamış mı?
DMARC: İlk ikisi başarısızsa politika ne diyor?

Üçü doğru kurulduğunda teslimat oranınız belirgin biçimde artar ve alan adınız taklit edilmeye karşı korunur.

Pratik öneriler

Üç kaydı da birlikte kurun; yalnız biri eksiklik bırakır.
DMARC'a p=none ile başlayıp raporları izleyin, sonra quarantine veya reject'e geçin.
Toplu e-posta gönderiyorsanız (bülten vb.) kullandığınız servisi SPF ve DKIM'e dâhil edin.
Değişikliklerden sonra bir test maili gönderip başlık bilgilerinde pass sonuçlarını doğrulayın.

Postiva ile teslimat

Postiva, kurumsal e-postanız için SPF/DKIM/DMARC kurulumunda yol gösterir ve doğru yapılandırmayla mesajlarınızın gelen kutusuna ulaşmasını destekler. Böylece "mail gelmedi" sorununu kökten çözersiniz.

E-postalarınızın güvenle ve gelen kutusuna ulaşmasını mı istiyorsunuz? Postiva'yı ücretsiz deneyin.

SPF, DKIM ve DMARC: e-postanız neden spam'e düşüyor?