Defaults.Exposed

Defaults.Exposed › Raporlar

SPF Yayımlamak Yeterli Değil: E-posta Güvenliğine Dair Yanlış Güven Duygusu (2026)

Yayımlanma 2026-06-29

2026-06-29 itibarıyla rakamlar · metodoloji v7. 261 milyon notlandırılmış alan adı genelinde alan adı başına kontrolleri birleştiren toplu sayım verileri. „Zorlayan” = quarantine veya reject DMARC politikası. Bkz. nasıl notlandırıyoruz.

E-posta güvenliğinde en tehlikeli yer, korunduğunu hissetmektir. Alan adlarının %32.4‘si SPF yayımlıyor ancak hiç DMARC’ı yok — ve %45.7‘sinin SPF’i var ama zorlama ile desteklenmiyor. Bu sahipler bir şeyler yaptı, „SPF: yapılandırıldı”yı gördü ve durdu. Ama SPF tek başına birinin görünür „Kimden” adresinizi taklit etmesini engellemez — bunu yalnızca zorlanan DMARC yapar. 2026-06-29 itibarıyla, alan adlarının yalnızca %3.87‘si tam olarak e-posta açısından korunuyor.

„Yapılandırıldı” ile „korunuyor” arasındaki uçurum

SPF, sizin adınıza hangi sunucuların gönderebileceğini denetler. Bir kişinin gerçekte gördüğü „Kimden” adresini yönetmez ve başarısızlık durumunda alıcılara ne yapacaklarını söylemez. Bu, DMARC’ın işidir. Dolayısıyla zorlayan bir DMARC politikası olmayan SPF, arkasında kapı olmayan bir kilittir:

DurumAlan adı payıGerçekten korunuyor mu?
SPF yayımlanmış, hiç DMARC kaydı yok%32.4Hayır
SPF yayımlanmış, DMARC zorlamıyor%45.7Hayır
Tam olarak e-posta korumalı (SPF + zorlanan DMARC)%3.87Evet

Ortadaki satırı tekrar okuyun: tüm alan adlarının %45.7‘sinin SPF’i var ama zorlaması yok — internetin neredeyse çoğunluğu sahte güvenlik bölgesinde oturuyor. Bir saldırganın amaçları açısından bunlar taklit edilebilir — ve genel olarak alan adlarının %89.4‘si öyledir.

En kötü hâli: posta giriyor, kapıda bekçi yok

Gerçekten e-posta alan alan adları için durum daha keskinleşir. Alan adlarının %42.7‘si posta kabul eder (MX kayıtları vardır) ama hiç çalışan bir e-posta kimlik doğrulaması yoktur — ne SPF zorlaması, ne DMARC. Bunlar, sahiplerinin her gün gönderip aldığı, kullanımda olan canlı alan adlarıdır ve tamamen taklit edilebilir. Tam da bu etkinlik, onları fatura dolandırıcılığı ve tedarikçi dolandırıcılığı için çekici hedefler hâline getirir.

„SPF’imiz var” neden tuzağa dönüştü

SPF daha eski, daha basit ve çoğu kurulum kılavuzunun ilk bahsettiği şey — bu yüzden işaretlenen kutu odur. DMARC daha sonra geldi, daha gelişmiş geliyor ve zorlamaya doğru kasıtlı bir ilerleme gerektiriyor. Sonuç, birinci adımı benimseyip ikinci adımı asla atmayan, ardından işin bittiğine inanmaya devam eden devasa bir kitledir. Sayım, bu yanılgının ölçeğini ilk kez görünür kılıyor: %32.4 SPF’li ve hiç DMARC’sız.

Gerçekten nasıl korunulur

  1. SPF’inizi koruyun, ama yalnızca ona güvenmeyin. (SPF’i düzeltin.)
  2. DKIM ekleyin ki postanız imzalansın. (DKIM’i düzeltin.)
  3. DMARC yayımlayın ve zorlamaya geçirin (p=nonequarantinereject). „Yapılandırıldı”yı „korunuyor”a dönüştüren adım budur. (DMARC’ı düzeltin.)

Sıkça sorulan sorular

E-posta sahteciliğini durdurmak için SPF yeterli mi? Hayır. SPF, görünür „Kimden” adresini korumaz ve alıcılara sahte iletileri reddetmelerini söylemez — bunu yalnızca zorlayan bir DMARC politikası yapar. Alan adlarının %45.7‘sinin SPF’i var ama o zorlama yok.

Bir SPF kaydım var — korunuyor muyum? Tek başına değil. Yalnızca SPF (ve ideal olarak DKIM) quarantine veya reject olarak ayarlanmış DMARC ile desteklendiğinde korunursunuz. Buna alan adlarının yalnızca %3.87‘si ulaşır.

Alan adlarının ne kadarlık bir payı hâlâ taklit edilebilir? %89.4 — SPF yayımlayıp yayımlamadıklarından bağımsız olarak, zorlayan DMARC’tan yoksun oldukları için.

Kimlik doğrulamasız postaya (MX) sahip olmak neden özellikle riskli? Alan adlarının %42.7‘si aktif olarak e-posta gönderip alır ama çalışan bir kimlik doğrulaması yoktur — herkesin taklit edebileceği canlı, güvenilir alan adları, ki dolandırıcıların aradığı tam da budur.

Gerçekten korunup korunmadığınızı kontrol edin

„SPF’imiz var”, korunuyor olmakla aynı şey değildir. Alan adınızı ücretsiz ve gizli olarak kontrol edin — e-postanızın hâlâ taklit edilip edilemeyeceğini görün.

Alan adınızı kontrol edin → · DMARC’ı düzeltin → · Alan adı maruziyet puanı → · p=none koruma değildir → · Yalnızca toplu veriler. Veriler AB’de saklanır ve işlenir.