Mail Server’da DMARC Reject Ne Zaman Aktif Edilmeli?

DMARC (Domain-based Message Authentication, Reporting, and Conformance), e-posta sunucularında kimlik doğrulama ve sahtecilik önleme için kritik bir protokoldür. Mail sunucularında DMARC reject modu, SPF ve DKIM kontrollerini geçemeyen e-postaları tamamen reddeder ve bu sayede domaininizin itibarını korur. Ancak bu modun erken aktif edilmesi, meşru e-postaların engellenmesine yol açabilir. Bu makalede, DMARC reject modunu ne zaman ve nasıl güvenli bir şekilde etkinleştireceğinizi adım adım inceleyeceğiz. Kurumsal ortamlar için hazırlık aşamaları, izleme stratejileri ve pratik örneklerle rehberlik sağlayacağız.

DMARC Politika Seviyeleri ve İşleyişi

DMARC politikaları, e-posta sunucularında üç ana seviyede tanımlanır: none, quarantine ve reject. None modu, raporlama sağlar ancak hiçbir işlem yapmaz; bu, başlangıç aşaması için idealdir. Quarantine modu, şüpheli e-postaları spam klasörüne yönlendirir ve kısmi koruma sunar. Reject modu ise en katı seviyedir; SPF veya DKIM başarısız olan mesajlar sunucu tarafından reddedilir ve alıcıya ulaşmaz. Bu seviyeler, TXT kaydı üzerinden p= etiketiyle ayarlanır, örneğin “p=reject” ile reject aktif olur.

Politika seviyelerini seçerken, domaininizin e-posta trafiğini analiz etmek şarttır. None modunda en az 30 gün rapor toplayın; bu raporlar, XML formatında聚合 raporlardan (aggregate reports) meşru göndericileri belirlemenize yardımcı olur. Quarantine’a geçişte, meşru e-postaların quarantine oranını %1’in altında tutun. Reject’e geçmeden önce, tüm outbound trafiğin %100 uyumlu olmasını sağlayın. Bu süreç, domain itibarınızı korurken phishing saldırılarını engeller.

Reject Moduna Geçiş Öncesi Gerekli Hazırlıklar

SPF ve DKIM Tam Uyumluluğu Sağlama

Reject modunu etkinleştirmeden önce, SPF kaydınızı sertifiye edin. SPF, gönderen IP’leri authorize eder; include mekanizmalarını doğru yapılandırın, örneğin “v=spf1 include:_spf.google.com ~all”. DKIM imzalamayı tüm outbound sunucularda aktif edin ve selector’ları doğru yayınlayın. Test için mxtoolbox.com gibi araçlarla doğrulama yapın, ancak pratikte kendi sunucunuzda dmarcly.com benzeri servislerle simülasyon çalıştırın. Uyumluluk %95’in üzerindeyse ilerleyin; aksi takdirde meşru e-postalar reddedilir.

Raporlama ve İzleme Süreci

Aggregate raporları haftalık inceleyin; bu raporlar, hangi IP’lerin başarısız olduğunu gösterir. RUA etiketiyle raporları kendi postmaster adresinize yönlendirin. Failure raporları (RUF) ile forensik analiz yapın. Quarantine modunda 45-60 gün izleyin; meşru göndericilerden şikayet almazsanız reject’e hazır olun. Araçlar olarak Postmark veya Valimail kullanın; bu sayede dashboard üzerinden gerçek zamanlı metrikler takip edin. İzleme sırasında volume bazlı eşikler belirleyin, örneğin günlük 1000’den fazla failure varsa gecikme.

Reject Modunu Aktif Etme Zamanı ve Uygulama Adımları

Reject moduna geçiş, hazırlıkların tamamlandığı anda yapılmalıdır: SPF/DKIM %99+ uyumlu, none/quarantine’da 90+ gün stabil rapor, meşru şikayet yok. Kurumsal firmalar için subdomain bazlı rollout önerilir; önce sub.domain.com’da test edin. TXT kaydını subdomain için “_dmarc.sub.domain.com TXT v=DMARC1; p=reject; rua=mailto:[email protected]” olarak güncelleyin. Değişiklikler 48 saat DNS propagasyonunu bekleyin.

1. Teknik ekibinizle rollout planı oluşturun: Haftalık rapor inceleme toplantıları planlayın.
2. Reject sonrası failure raporlarını etkinleştirin (ruf=).
3. Meşru göndericilere DMARC uyumu için rehberlik edin; örneğin partner firmalara SPF include talimatı verin.
4. 6 ay sonra pct=100’e çıkarın; başlangıçta pct=50 ile yumuşak geçiş yapın.

Bu adımlar, kesinti riskini minimize eder. Örnek: Bir finans firması, none’dan reject’e 120 günde geçti; phishing oranları %80 azaldı, meşru teslimat %99.9’a ulaştı.

DMARC reject modu, mail sunucunuzu profesyonelce korumak için vazgeçilmezdir, ancak acele etmeden uygulanmalıdır. Hazırlık, izleme ve kademeli geçişle domain itibarınızı güçlendirin. Düzenli denetimler yaparak politikayı güncel tutun; bu yaklaşım, uzun vadeli e-posta güvenliği sağlar ve kurumsal uyumluluğu artırır.