Defaults.Exposed › Raporlar
İşletmeniz Gibi Görünen E-posta Gönderilebilir mi? Çoğu Alan Adı İçin Evet (2026)
Yayımlanma 2026-06-29
Rakamlar 2026-06-29 itibarıyla · metodoloji v7. 261 milyon derecelendirilmiş alan adı genelindeki toplu sayım verileri. „Taklit edilebilir” ifadesi, alan adının DMARC’ı uygulamadığı (karantina veya reddetme politikası yok) anlamına gelir; bu, alıcı posta sunucularına sahte postayı durdurmalarını söyleyen kontroldür. Bkz. nasıl derecelendirdiğimiz.
Çoğu işletme için yanıt evet — birisi tam olarak sizin alan adınızdan geliyormuş gibi görünen e-posta gönderebilir. Derecelendirdiğimiz 261 milyon alan adının yalnızca %10.59‘i, taklidi gerçekten engelleyen tek kontrol olan DMARC’ı uygular. Diğer %89.41 kapıyı açık bırakır: bir dolandırıcı tam adresinizi „Kimden” satırına koyabilir ve çoğu gelen kutusu bunu gerçek olarak gösterir. Bu, sahte faturaların, CEO dolandırıcılığı ödeme taleplerinin ve tedarikçi dolandırıcılıklarının arkasındaki mekanizmadır — ve denemenin hiçbir maliyeti yoktur.
Birisi gerçekten alan adım olarak e-posta gönderebilir mi?
Alan adınız DMARC’ı uygulamıyorsa, o zaman evet. E-posta, göndereni doğrulayacak yerleşik bir yöntem olmadan tasarlandı, bu nedenle „Kimden” adresini taklit etmek çok kolaydır. Katmanlı üç ayar bunu düzeltir — SPF, DKIM ve DMARC — ancak yalnızca sonuncusu, uygulama olarak ayarlandığında, alıcı sunucuya bir sahteciliği gerçekten reddetmesini veya karantinaya almasını söyler. 2026-06-29 itibarıyla:
- Alan adlarının %75.11‘inde hiç DMARC kaydı yok.
- %14.29‘inde yalnızca izleme (
p=none) olarak ayarlanmış bir DMARC kaydı var — bir denetimde koruma gibi görünür, ancak alıcılara hiçbir şey yapmamalarını söyler, bu nedenle sahte posta yine de iner. - Yalnızca %10.59‘i
quarantineveyarejectpolitikası uygular — taklidi durduran yapılandırma budur.
Yani alan adlarının %89.41‘i — onda sekizden fazlası — bugün e-postada taklit edilebilir.
„Ama bizde SPF var” — bunun neden yeterli olmadığı
Bu en yaygın ve en tehlikeli yanılgıdır. Alan adlarının %53.21‘i bir SPF kaydı yayınlar; bu, DMARC’ı uygulayan %10.59‘ten çok daha fazladır. Sahipler SPF’i görür ve korunduklarını varsayar. Korunmuyorlar: SPF (ve DKIM) teknik gönderim yolunu kontrol eder, ancak bir insanın gerçekten gördüğü „Kimden” adresini yönetmez. DMARC uygulamaya ayarlanmadan, bir saldırgan kendi altyapısında SPF’i yine de geçebilir ve görünen adresinizi taklit edebilir. SPF gerekli bir tesisattır; DMARC uygulaması ise kilittir.
Web’in sizin köşeniz ne kadar açık?
Uygulama, alan adı uzantısına göre büyük ölçüde değişir. Yüksek olması daha iyidir — taklidi gerçekten engelleyen alan adlarının oranıdır. 2026-06-29 itibarıyla:
| Alan adı uzantısı | DMARC uygulayan | Taklit edilebilir |
|---|---|---|
| .nl (Hollanda) | %29.43 | %29.43 korunuyor, geri kalanı açık |
| .de (Almanya) | %21.38 | — |
| .in (Hindistan) | %19.26 | — |
| .uk (Birleşik Krallık) | %13.42 | — |
| .com | %9.50 | en çok kullanılan uzantı %10.59‘lik küresel ortalamanın altında |
| .net | %10.08 | — |
| .org | %10.01 | — |
| .xyz | %5.15 | — |
| .top | %3.17 | — |
| .cn (Çin) | %1.45 | büyük uzantılar arasında en düşüğü |
En iyi performans gösteren büyük uzantı bile alan adlarının üçte birinden azını korur. Çoğu işletmenin bulunduğu .com’da — yalnızca %9.50 DMARC uygular.
Bunun bir işletmeye gerçek maliyeti
E-posta taklidi, dünya genelinde kolluk kuvvetlerine bildirilen en maliyetli çevrimiçi suçlardan bazılarının arkasındaki mekanizmadır — iş e-postası ele geçirme. Düzen her zaman aynıdır:
- Bir müşteri, dolandırıcının banka bilgileriyle adresinizden bir „fatura” alır, öder ve dolandırıcılığı haftalar sonra keşfeder — çoğu zaman bunu sizin başarısızlığınız olarak değerlendirir.
- Bir çalışan, para taşımak veya hediye kartı satın almak için „patrondan” acil bir talep alır. Adres gerçekten sizindir, bu yüzden uyar.
- Bir tedarikçiye, her görsel kontrolü geçen bir e-postada „banka bilgilerimiz değişti” denir.
Bunların hiçbiri sistemlerinizi hacklemeyi gerektirmez. Yalnızca alan adınızın DMARC’ı uygulamamasını gerektirir — ki alan adlarının %89.41‘i için durum budur.
Korunup korunmadığınızı nasıl anlarsınız (ve nasıl düzeltirsiniz)
Sizin %10.59 içinde olup olmadığınızı dışarıdan anlayamazsınız — bilmenin tek yolu alan adınızı kontrol etmektir. Düzeltme ücretsizdir ve genellikle bir öğleden sonra alır, sırayla yapılır: SPF ve DKIM yayınlayın, ardından DMARC’ı uygulamaya geçirin (p=none → quarantine → reject). Son adım, kapıyı gerçekten kapatan adımdır.
Sıkça sorulan sorular
Birisi şirketim gibi davranarak e-posta gönderebilir mi? Alan adınız DMARC’ı uygulamıyorsa (karantina veya reddetme politikası), evet — tam „Kimden” adresiniz taklit edilebilir ve çoğu gelen kutusu bunu gerçek olarak gösterir. 2026-06-29 itibarıyla, derecelendirilmiş alan adlarının %89.41‘i bu durumdadır.
Zaten SPF’imiz var — güvende değil miyiz?
Hayır. SPF teknik gönderim yolunu kontrol eder ancak görünen „Kimden” adresini kontrol etmez. Alan adlarının %53.21‘i SPF yayınlar, ancak DMARC uygulamaya ayarlanmadan adresiniz yine de taklit edilebilir. DMARC’ı quarantine veya reject olarak ayarlamanız gerekir.
Bir DMARC kaydı yeterli değil mi?
Yalnızca uyguluyorsa. p=none (yalnızca izleme) olarak ayarlanmış bir kayıt — ki alan adlarının %14.29‘i bunu kullanır — taklidi durdurmak için hiçbir şey yapmaz. Yalnızca quarantine veya reject bunu yapar ve alan adlarının yalnızca %10.59‘i buna ulaşır.
Kendi alan adımı nasıl kontrol ederim? Ücretsiz, özel bir kontrol çalıştırın (aşağıda). Bir alan adının sonucunu yalnızca doğrulanmış sahibine gösteririz.
Bunu düzeltmek pahalı mı? Hayır. SPF, DKIM ve DMARC ücretsiz DNS ayarlarıdır. Maliyet, bunları doğru sırada ayarlama zamanıdır, para değil.
Alan adınızın taklit edilip edilemeyeceğini kontrol edin
%10.59‘in hangi tarafında olduğunuzu tahmin etmeyin. Alan adınızı özel ve ücretsiz olarak kontrol edin — DMARC, SPF ve DKIM durumunuzu ve tam olarak neyi düzeltmeniz gerektiğini göreceksiniz.
Alan adınızı kontrol edin → · DMARC’ı düzelt → · SPF’i düzelt → · Nasıl derecelendiriyoruz → · Yalnızca toplu veriler. Veriler AB’de saklanır ve işlenir.