E-postayı doğru kurma: SPF, DKIM ve DMARC – yeni başlayanlar için (3'ün 3. Bölümü)
„Kendi sunucun – 0'dan güvenliğe" serisi · 3 bölüm:
- Debian vServer kurulumu & güvenliği
- Froxlor kurulumu & yapılandırması
- E-postayı doğru kurma: SPF, DKIM & DMARC ← Buradasınız
Bu rehber 3. Bölümdür ve seriyi tamamlar. 1. Bölüm ve 2. Bölüm'de kurulan gibi posta sunuculu bir sunucu varsayar.

İçindekiler
- Ön koşullar
- SPF, DKIM ve DMARC nedir?
- Adım 1: SPF kurma
- Adım 2: DKIM kurma (kendi sunucunuzda imzalama)
- Adım 3: DMARC kurma
- Adım 4: Her şeyi kontrol etme ve test etme
- Sık yapılan hatalar ve çözümleri
- Kontrol listesi
- Sık sorulan sorular (SSS)
- Sonuç
- Kaynaklar
Kısaca: SPF, DKIM ve DMARC, alan adınızın DNS'indeki üç kayıttır. Bir e-postanın gerçekten sizden geldiğini kanıtlarlar. Bunlar olmadan mesajlarınız bugün sıklıkla spam'e düşer – ya da tamamen reddedilir. 2024'ten beri Google ve Yahoo bu kimlik doğrulamayı şart koşuyor, Microsoft 2025'ten beri. Kurulum 20–30 dakika sürer.
Kendi sunucunuz üzerinden e-posta gönderiyorsanız (örn. faturalar veya iletişim formu mesajları), „sadece" bir posta sunucusu işletmek yeterli değildir. Alıcı sunuculara e-postanın gerçek olduğunu da kanıtlamanız gerekir. Bunun için üç yapı taşı vardır. Üçünü de kuruyoruz – yeni başlayan dostu ve kopyalanabilir.
Ön koşullar
- Posta sunuculu bir sunucu (Postfix/Dovecot), örn. 2. Bölüm'den Froxlor üzerinden kurulmuş.
- Alan adınızın DNS yönetimine erişim – „TXT kayıtları" oluşturabileceğiniz, alan adı sağlayıcısındaki (veya DNS'i orada yönetiyorsanız Froxlor'daki) alan.
- Sunucunuzun IP adresi.
Önemli – doğru sıra: Önce SPF ve DKIM'i kurun ve DMARC'ı devreye almadan önce ikisinin de etkin olmasını (en az birkaç saat) bekleyin. Ve DMARC'ı her zaman yumuşak
p=noneayarıyla başlatın.
SPF, DKIM ve DMARC nedir?
Üç basit imge:
- SPF, konuk listesidir. Hangi sunucuların sizin adınıza e-posta gönderebileceğini belirler. Gönderen sunucu listede yoksa, e-posta şüphelidir.
- DKIM, dijital imzadır. Her giden e-posta kriptografik olarak imzalanır. Alıcı, gerçek olup olmadığını ve yolda değiştirilmediğini doğrular.
- DMARC, kurallar bütünüdür. Alıcıya SPF veya DKIM başarısız olursa ne yapacağını söyler: geçir, spam'e taşı veya reddet. Ve size raporlar gönderir.
Üçü de teknik olarak yalnızca DNS'teki TXT kayıtlarıdır – sunucuda oluşturduğumuz DKIM anahtarı hariç. Çok iyi, ayrıntılı bir açıklamayı Mailvergleich.de rehberi sunar.
Adım 1: SPF kurma
SPF, alan adınızın DNS'inde oluşturduğunuz tek bir TXT kaydıdır. DNS yönetimine gidin ve yeni bir kayıt oluşturun:
Tür: TXT
Ad: @ (ana alan adını temsil eder)
Değer: v=spf1 a mx ip4:SERVER-IP -all
SERVER-IP'yi sunucunuzun IP'siyle değiştirin. Parçaların anlamı:
v=spf1– sürüm tanımlayıcısı (her zaman başta).a mx– alan adının A ve MX kayıtlarının işaret ettiği sunucular gönderebilir.ip4:SERVER-IP– bu belirli IP gönderebilir.-all– diğer herkes gönderemez (katı varyant). Emin değilseniz veya ek hizmetler (bülten, CRM) kullanıyorsanız, daha yumuşak~allvaryantıyla başlayın ve sonra-all'a geçin.
Yalnızca bir SPF kaydı! Bir alan adı tam olarak bir SPF TXT kaydına sahip olabilir. Başka hizmetler kullanıyorsanız, onların
include:girdilerini bu tek kayda ekleyin, örn.v=spf1 a mx include:_spf.example.com -all.
Adım 2: DKIM kurma (kendi sunucunuzda imzalama)
Kiralanmış bir posta kutusunun aksine, DKIM'i kendi sunucunuzda oluşturmanız gerekir. Bunun için Postfix'e bağlanan ve her giden e-postayı imzalayan OpenDKIM kullanıyoruz.
2.1 OpenDKIM kurma:
sudo apt install -y opendkim opendkim-tools
2.2 Anahtar oluşturma (alan-adiniz.com'u değiştirin):
sudo mkdir -p /etc/opendkim/keys/alan-adiniz.com
sudo opendkim-genkey -b 2048 -d alan-adiniz.com -D /etc/opendkim/keys/alan-adiniz.com -s mail -v
sudo chown -R opendkim:opendkim /etc/opendkim
2.3 OpenDKIM'i yapılandırma. Ana yapılandırmayı açın:
sudo nano /etc/opendkim.conf
Sona ekleyin:
Canonicalization relaxed/simple
Mode sv
Socket inet:8891@localhost
KeyTable /etc/opendkim/KeyTable
SigningTable /etc/opendkim/SigningTable
ExternalIgnoreList /etc/opendkim/TrustedHosts
InternalHosts /etc/opendkim/TrustedHosts
Üç tabloyu oluşturun:
echo "mail._domainkey.alan-adiniz.com alan-adiniz.com:mail:/etc/opendkim/keys/alan-adiniz.com/mail.private" | sudo tee /etc/opendkim/KeyTable
echo "*@alan-adiniz.com mail._domainkey.alan-adiniz.com" | sudo tee /etc/opendkim/SigningTable
printf "127.0.0.1\nlocalhost\nalan-adiniz.com\n" | sudo tee /etc/opendkim/TrustedHosts
2.4 OpenDKIM'i Postfix'e bağlama. Postfix yapılandırmasını açın:
sudo nano /etc/postfix/main.cf
Sona ekleyin:
milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891
Hizmetleri yeniden başlatın:
sudo systemctl restart opendkim postfix
2.5 DKIM DNS kaydını yayınlama. OpenDKIM genel anahtarınızı bir dosyaya yazdı. Görüntüleyin:
sudo cat /etc/opendkim/keys/alan-adiniz.com/mail.txt
v=DKIM1; k=rsa; p=... biçiminde uzun bir değer görürsünüz. Bununla DNS'te bir TXT kaydı oluşturun:
Tür: TXT
Ad: mail._domainkey
Değer: v=DKIM1; k=rsa; p=MIIBI... (dosyadaki tam p= değeri)
DKIM için resimli, adım adım bir yardımı saschafix.de'de de bulabilirsiniz.
Adım 3: DMARC kurma
DMARC, SPF ve DKIM'i birleştirir ve kuralı belirler. DNS'te başka bir TXT kaydı oluşturun:
Tür: TXT
Ad: _dmarc
Değer: v=DMARC1; p=none; rua=mailto:dmarc@alan-adiniz.com; fo=1
Anlamı:
p=none– gözlemle, ama hiçbir şeyi engelleme. Meşru e-postaları tehlikeye atmadan her şeyin temiz çalışıp çalışmadığını görmek için her zaman böyle başlarsınız.rua=mailto:dmarc@alan-adiniz.com– alıcılar bu adrese günlük raporlar gönderir. Bu posta kutusunu oluşturun.fo=1– daha ayrıntılı hata raporları.
Adım adım sıkılaştırma: Bir-iki hafta sonra raporlar gerçek e-postalarınızın SPF/DKIM'i geçtiğini gösterdiğinde, katılığı artırın – önce p=quarantine (şüpheli e-postalar spam'e), sonra p=reject (şüpheli e-postalar reddedilir):
v=DMARC1; p=quarantine; rua=mailto:dmarc@alan-adiniz.com; fo=1
Asla
p=rejectile başlamayın! Aksi halde meşru e-postaların da (örn. bülten veya CRM hizmetlerinden) reddedilmesini riske edersiniz.
Adım 4: Her şeyi kontrol etme ve test etme
DNS değişiklikleri biraz zaman alır (çoğunlukla dakikalar, bazen 24 saate kadar). Sonra yapılandırmanızı ücretsiz araçlarla kontrol edin:
- MXToolbox – SPF, DKIM ve DMARC kayıtlarını ayrı ayrı kontrol eder (üstte „SPF Record Lookup", „DKIM Lookup", „DMARC Lookup" seçin).
- mail-tester.com – gösterilen adrese gerçek bir test e-postası gönderin; hedef en az 8/10 puandır.
- Gmail başlığını kontrol etme: kendinize bir Gmail hesabına e-posta gönderin, açın, üç noktaya tıklayın → „Orijinali göster". Orada SPF, DKIM ve DMARC'ta „PASS" yazmalıdır.
DKIM testini doğrudan sunucuda ayrıca şöyle yapabilirsiniz:
sudo opendkim-testkey -d alan-adiniz.com -s mail -vvv
„key OK" çıkarsa, anahtar doğru yayınlanmıştır.
Sık yapılan hatalar ve çözümleri
| Sorun | Neden | Çözüm |
|---|---|---|
| E-postalar hâlâ spam'e düşüyor | DNS henüz yayılmadı | birkaç saat bekleyin, MXToolbox ile kontrol edin |
| SPF „PermError" | birden fazla SPF kaydı | tüm girdileri tek SPF kaydında birleştirin |
| DKIM „fail" | yanlış/eksik p= değeri | tam değeri mail.txt'ten tam olarak alın (satır sonları olmadan) |
| DMARC etkisiz | addaki yazım hatası | kayıt tam olarak _dmarc olmalı |
| DMARC raporu yok | rua posta kutusu yok | dmarc@alan-adiniz.com adresini oluşturun |
Kontrol listesi
- [ ] SPF TXT kaydı mevcut (tam olarak bir),
-allveya~allile biter - [ ] OpenDKIM kurulu, Postfix'e bağlı, hizmetler yeniden başlatıldı
- [ ] DKIM TXT kaydı (
mail._domainkey) yayınlandı,opendkim-testkey„key OK" bildiriyor - [ ] DMARC TXT kaydı (
_dmarc)p=noneile etkin - [ ] mail-tester.com ≥ 8/10 gösteriyor
- [ ] Gmail „Orijinali göster": SPF, DKIM, DMARC = PASS
- [ ] Bir-iki hafta sonra DMARC
quarantine/reject'e yükseltildi
Sık sorulan sorular (SSS)
Tek başına SPF yetmez mi? Hayır. Google, Yahoo ve Microsoft en az SPF veya DKIM ister, ancak en iyi koruma ve teslimat için üçünü de kurun.
~all ile -all arasındaki fark nedir? ~all („soft fail") listelenmemiş göndericileri yalnızca şüpheli olarak işaretler, -all („hard fail") onları katı şekilde reddeder. Tereddütte ~all ile başlayın ve sonra -all'a geçin.
DMARC raporları veri koruması açısından önemli mi? Toplu raporlar (rua) e-posta içeriği değil, IP adresleri ve kimlik doğrulama sonuçları hakkında istatistikler içerir. Adli raporlar (ruf) daha fazlasını içerebilir – bu yüzden çoğu, GDPR nedeniyle ruf'tan vazgeçer.
Bunu düzenli bakmam gerekir mi? Bir kez kurulduğunda çalışır. Başlangıçta DMARC raporlarına bakın ve katılığı adım adım artırın.
Sonuç
Üç adımda e-postalarınızı güvenli hale getirdiniz: SPF kimin gönderebileceğini belirler, DKIM her mesajı imzalar, DMARC kuralı belirler ve raporlar sağlar. Sıra önemlidir – önce SPF ve DKIM, sonra DMARC ve DMARC'ı her zaman p=none ile başlatın. mail-tester.com'daki testten sonra e-postalarınızın ulaştığını bilirsiniz.
Böylece seri tamamlandı: 1. Bölüm'de güvenli bir sunucu kurdunuz, 2. Bölüm'de Froxlor'u kurdunuz ve burada e-posta gönderimini güvenli hale getirdiniz.
Böyle bir şeyi kendiniz işletmek istemiyor, hazır bir çözüm veya özel geliştirme mi tercih ediyorsunuz? PepperTools size destek olur – iletişim formundan ulaşın.
Kaynaklar
- Mailvergleich.de: SPF, DKIM & DMARC kurma
- saschafix.de: SPF, DKIM & DMARC kurma
- Google Workspace: e-posta kimlik doğrulaması
- MXToolbox (test araçları) · mail-tester.com
- OpenDKIM (proje sayfası)
Durum: Haziran 2026. Büyük posta sağlayıcılarının komutları ve gereksinimleri değişebilir – belirleyici olan onların resmi yönergeleri ve kullanılan yazılımın belgeleridir.
Faturalari daha kolay yonet
Easy Invoice teklifleri, faturalari ve musteri yonetimini bulutta birlestirir.
Easy Invoice u dene