Defaults.Exposed

Defaults.Exposed › Raporlar

DMARC Olgunluğunun 6 Aşaması

Yayımlanma 2026-07-03 · güncellendi 2026-07-03

Rakamlar 2026-06-29 tarihi itibarıyla · metodoloji v7. Bu, yinelenen bir sayıma dayanan bir referans modelidir; her sürüm aynı popülasyonu yeniden ölçer, böylece rakamlar zaman içinde izlenebilir. Tüm rakamlar toplamdır — asla bireysel bir işletmenin notunu yayımlamayız.

DMARC yayımlamak, korunmakla aynı şey değildir

Ölçülen 261 milyon alan adı genelinde, %24.89‘i bir DMARC kaydı yayımlıyor — ancak yalnızca %10.59‘i bunu zorunlu kılıyor. Başka bir deyişle: DMARC yolculuğuna başlayan yaklaşık 65 milyon alan adının %57.5‘i, herhangi bir şeyi engelleyen kısma hiçbir zaman ulaşmadı. Bir kayıt yayımladılar, raporlamayı bir yere yönlendirdiler ve orada takılıp kaldılar. Daha küçük bağımsız çalışmalar da aynı şekli buluyor — 2026 tarihli bir sektör raporu, incelediği yaklaşık 938.000 alan adı arasında zorunlu kılma oranını ~%9 olarak belirledi.

Benimseme artık sorun değil. Sorun koruma. Ve alan adları yapısal bir nedenle takılıp kalıyor: herkesin kullandığı haritalar, işi yarıda bırakıyor. Çok erken bitiyorlar ve hiçbiri en zor adıma kendine ait bir isim vermiyor.

Mevcut haritalar nerede yarıda kalıyor

Sektörün yol bulmak için kullandığı modeller kendi dönemleri için doğruydu ve adil bir değerlendirmeyi hak ediyor:

Üçü de iki sınırı paylaşır. Birincisi, p=reject’te dururlar — sanki zorunlu kılma bitiş çizgisiymiş gibi. Öyle değil: standardın kendisi ilerledi (DMARCbis — RFC 9989, 9990 ve 9991 — Mayıs 2026’da yayımlandı ve orijinal RFC 7489’un yerini aldı) ve zorunlu kılma, taşıma güvenliği veya marka güveni için hiçbir şey yapmaz. İkincisi — ve alan adlarını gerçekten çıkmaza sokan da budur — hiçbiri “her göndericinin hesabı tutuluyor” durumunu adlandırılmış bir aşama haline getirmez. Adil olmak gerekirse, dağıtım kılavuzları bu işten bahseder: dmarcian’ın modeli, izleme aşamasının içindeki bir görev olarak gönderici tanımlamayı içerir. Ancak bir aşamanın içine gömülmüş bir görev, tam olarak nasıl ele alınırsa öyle ele alınır — ayrı bir başarı olmaktan çok “izleme”nin bir parçası olarak. Raporların gelişini izlemek ilerleme gibi hissettirir. Henüz değil. Alan adlarının yıllarca p=none’da takılı kalmasının en büyük tek nedeni, postalarını görebilmeleri ama onun hesabını tutmamış olmalarıdır — bu yüzden gerçek bir şeyi bozmaktan korktukları için zorunlu kılmaya cesaret edemezler.

Yararlı bir modelin, bu adıma kendine ait bir isim ve kendine ait çıkış kriterleri vermesi gerekir. Bu model bunu yapıyor. Buna DMARC Benimseme Olgunluk Modeli — DAMM diyoruz: altı aşama, her birinde tek bir hamle ve atıfta bulunabileceğiniz bir isim.

Model

DMARC olgunluğunun altı aşaması — Korumasız'dan Sağlamlaştırılmış'a, Gözlemleme ile Görünürlük arasındaki duvarla birlikte

Aşama 1 — Korumasız. DMARC kaydı yok — ya da altında SPF ve DKIM eksik. Herkes sizin alan adınız olarak e-posta gönderebilir ve hiçbir yerde hiçbir şey kontrol etmiyor. Hamle: birincil postanız için SPF ve DKIM’i yapılandırın ve bunların kimlik doğruladığını ve hizalandığını doğrulayın. DMARC her ikisi üzerine kuruludur; bu zemini atlayamazsınız.

Aşama 2 — Kimliği Doğrulanmış. SPF ve DKIM, ana posta akışınız için doğru ve hizalanmış durumda. Meşru postanız kaynağını kanıtlar — ancak dünyanın gelen kutularına, kanıtlamayan postalar hakkında ne yapacaklarını hiçbir şey söylemez. Hamle: bir rua= raporlama adresiyle birlikte p=none’da bir DMARC kaydı yayımlayın.

Aşama 3 — Gözlemleme. DMARC yayımlandı, toplu raporlar akıyor ve ilk kez sizin alan adınız olarak kimin gönderdiğini görebiliyorsunuz. Hiçbir şey engellenmiyor. Çoğu araç bu aşamayı “görünürlük” olarak adlandırır — biz bilinçli olarak adlandırmıyoruz, çünkü raporları görmek ile onları anlamak farklı başarılardır. Hamle: sizin alan adınız olarak gönderen her meşru kaynağı tanımlayın ve her birini hizalayın.

Aşama 4 — Görünürlük. Her meşru gönderici tanımlandı ve hizalandı — bülten platformu, faturalandırma sistemi, CRM, pazarlamanın geçen ilkbaharda kaydolduğu şey. Postanızı biliyorsunuz. Zorunlu kılarsanız meşru hiçbir şey bozulmayacak. Bu, eski haritaların atladığı aşamadır ve çoğu alan adının asla aşamadığı duvardır. Hamle: politikayı yükseltin — p=none → p=quarantine (DMARCbis’in t=y test modu burada yardımcı olur) → p=reject.

Aşama 5 — Zorunlu Kılınmış. p=quarantine veya p=reject aktif, alt alan adları açık bir sp= politikasıyla kapsanıyor. Kimlik doğrulamayı geçemeyen posta artık, her büyük posta kutusu sağlayıcısını içeren katılımcı alıcılarda gerçekten karantinaya alınıyor ya da reddediliyor — böylece tam alan adınızın doğrudan taklit edilmesi, DMARC’ın kontrol edildiği yerlere ulaşmayı bırakır. Hamle: sağlamlaştırma katmanını ekleyin — DMARCbis’in np=’i ve tree-walk kapsamı, taşıma için MTA-STS ve TLS-RPT, marka gösterimi sizin için önemliyse BIMI.

Aşama 6 — Sağlamlaştırılmış ve sürdürülen. Zorunlu kılma artı modern yığın: DMARCbis’ten var olmayan alt alan adı (np=) kapsamı, transit halindeki postayı güvence altına alan MTA-STS ve TLS-RPT, hakkını verdiği yerde BIMI — ve en önemlisi, sapma ve yeni göndericiler için sürekli izleme. Bu bir rozet değil; bir disiplindir. Yeni göndericiler ortaya çıkar, sağlayıcılar IP’lerini değiştirir, yapılandırmalar çürür. Hamle: burada kalın.

Posta göndermeyen şerit. Tüm alan adı envanteri genelinde ölçüldüğünde — ölü alan adları dahil — alan adlarının %51.5‘i hiçbir posta hizmeti çalıştırmaz ve onlar için yolculuk tek bir adıma indirgenir. Asla posta göndermeyen bir alan adı, derhal SPF -all ve DMARC p=reject yayımlamalıdır: korunacak meşru posta yoktur, dolayısıyla gözlemlenecek bir şey ve tırmanılacak bir duvar da yoktur. Park edilmiş ve uykuda olan marka alan adları, tek bir DNS değişikliğiyle doğrudan Zorunlu Kılınmış’a geçer — ve bunu yapmak, var olan en yaygın taklit vektörlerinden birini kapatır.

Duvar: Aşama 3 → 4

Bu modeldeki diğer her geçiş bir DNS değişikliğidir. Bu ise araştırmacı bir iştir — ve ayların öldüğü yer burasıdır.

Gözlemleme’den Görünürlük’e geçmek, raporlarınızdaki her gönderen kaynağı gerçek bir sisteme atfetmek anlamına gelir: hangi ESP, hangi CRM, hangi bölge ofisinin posta aktarıcısı, birinin 2023’te bağlayıp unuttuğu hangi SaaS aracı. Kimsenin belgelemediği gölge-BT göndericilerini bulmak anlamına gelir. Hizalamayı ESP ESP düzeltmek anlamına gelir, çünkü her platformun sizin adınıza kimlik doğrulamanın kendine özgü bir yolu vardır — bazıları varsayılan olarak yanlıştır.

Duvarı atlamak, DMARC’ın korkutucu itibarını nasıl kazandığının hikayesidir. Görünürlük olmadan Gözlemleme’den zorunlu kılın ve gerçek bir şeyi engelleyeceksiniz: bir fatura gönderimi, bir parola sıfırlama akışı, CEO’nun bülteni. Ardından p=none’a paniklemiş bir geri dönüş, iç bir olay incelemesi ve herkesin yanlış öğrendiği ders gelir: “DMARC’ı denedik ve e-postayı bozdu.” Çoğu DMARC korku hikayesi tam olarak budur — bir aşama erken denenen zorunlu kılma. Duvar, Aşama 3’te durmak için bir neden değildir. Aşama 4’ün var olmasının nedenidir.

Bu ayrıca sahiplerin çoğunlukla yardım aldığı aşamadır — bir BT sağlayıcısı veya bir DMARC izleme hizmeti, gönderici tanımlama işini yapabilir; aşamalar her iki durumda da aynı kalır.

Herkesin unuttuğu kısım: Aşama 5 → 6

p=reject’e ulaşmak, alan adınızın From: satırındaki doğrudan taklit edilmesini, bunu kontrol eden alıcılarda durdurur. Bu gereklidir — ve yeterli değildir. Zorunlu kılmanın asla kapsamadığı şeyi adlandırmak da değerlidir: benzer görünen alan adları (sirketiniz.com yerine sirket1niz.com) ve görünen ad taklidi tamamen DMARC’ın erişiminin dışında kalır, dolayısıyla zorunlu kılma tam alan adı kapısını kapatır ve komşu kapıları uyanıklığa ve diğer kontrollere bırakır.

Zorunlu kılma taşıma için hiçbir şey yapmaz: MTA-STS ve TLS-RPT olmadan, alan adınıza giden posta transit halinde hâlâ düşürülebilir veya kesilebilir. Marka tanınırlığı için hiçbir şey yapmaz: BIMI — logonuzun gelen kutusunda gösterilmesi — bir güven sinyalidir, bir güvenlik kontrolü değil ve onu böyle ele almak dürüsttür (ayrıca ücretli bir sertifika gerektirir, bu yüzden ilk değil son sırada yer alır). Ve sade p=reject, DMARCbis’ten öncedir: yeni RFC’lerin np= etiketi ve tree-walk’ı, eski dağıtımların açık bıraktığı var olmayan alt alan adı boşluğunu kapatır.

Yukarıdakilerin hiçbirine sahip olmayan p=reject’teki bir alan adı, en yaygın saldırıya karşı korunmuştur ve geri kalanına karşı hazırlıksızdır. Bu gerçek bir ayrımdır ve kendi aşamasını hak eder.

Aşamanız ölçülebilir

Bu model yalnızca bir diyagram değildir — bir alan adının aşaması hesaplanabilir, ki bu da onu duvardaki bir posterden ayıran şeydir.

Aşama 3’ten 6’ya kadarki aşamalar, bir alan adının kendi DMARC raporlama verilerinden ve yayımladığı kayıtlarından türetilebilir: hangi politikanın aktif olduğu, raporların akıp akmadığı ve gözlemlenen her göndericinin hizalanıp hizalanmadığı. Aşama 1 ve 2, canlı bir DNS kontrolüyle değerlendirilir, çünkü henüz hiçbir rapor yoktur. Her iki yönde de dürüst bir sınır: Aşama 4, zaman içinde kanıtla doğrulanır — “gözlemlenen her gönderici yeterli sayıda raporlama günü boyunca hizalanır” güçlü bir yaklaşımdır, ancak hiçbir rapor henüz bağlamadığınız göndericiyi ortaya çıkaramaz. Ve Aşama 6’nın sağlamlaştırma katmanı — MTA-STS, TLS-RPT, BIMI — DMARC raporlarında görünmezdir; onu görmek için bir DNS kontrolü gerekir. Bir alan adı raporlarından “tamamlanmış” görünebilir ve yine de gizli bir Aşama 5 → 6 boşluğu taşıyabilir. Bu, kendi raporlama analizimizin karşısında ölçüm yaptığı modeldir, engelleyicileriyle birlikte.

İşlenmiş bir örnek

Orta ölçekli bir firma, bir posta filtreleme ağ geçidinin arkasında Microsoft 365 çalıştırıyor. SPF -all ile bitiyor, DKIM yapılandırılmış, DMARC p=none’da yayımlanmış ve raporlar bir izleme aracına akıyor. Eski haritalarda bu neredeyse tamamlanmış görünüyor. Bu haritada ise Aşama 3 — Gözlemleme: zor kurulum tamamlandı ve alan adı tam olarak duvarda takılıp kaldı — görünür, ama korunmuyor. En yüksek değerli hamle 3 → 4 → 5’tir: (muhtemelen az sayıdaki) meşru göndericilerin tümünün hizalandığını doğrulayın, ardından politikayı aşamalar halinde yükseltin. Bu şekildeki bir alan adı için bu genellikle aylar değil, haftalar süren bir dikkat gerektirir — duvar, onu asla haritalamayanlar için en yüksektir.

Aşamanızı bulun

Emekliye ayrılması gereken soru “DMARC’ımız var mı?“dır — alan adlarının %24.89‘i evet diyebilirken bunların %57.5‘i taklit edilebilir olarak kalıyor. Daha iyi soru şudur: “hangi aşamadayız ve bir sonrakine geçmek için tek hamle nedir?” İnternetteki her alan adı bugün tam olarak bu altı aşamadan birindedir. Hangisinde olduğunu bilmek, bir kaygıyı bir yapılacaklar listesine dönüştürür.

İnternetin altı aşama boyunca nerede durduğu — çoğu alan adının hiç DMARC kaydı yoktur; olanların çoğu da zorunlu kılmadan önce takılıp kalmıştır

Sıkça sorulan sorular

DAMM nedir? DMARC Benimseme Olgunluk Modeli — bu sayfadaki altı aşamalı model: Korumasız, Kimliği Doğrulanmış, Gözlemleme, Görünürlük, Zorunlu Kılınmış, Sağlamlaştırılmış. Bir alan adının aşaması, DNS’inden ve DMARC raporlama verilerinden ölçülebilir, ki bu da onu duvardaki bir posterden ayıran şeydir.

Öyleyse p=none yayımlamak değersiz mi? Hayır — bu Aşama 3’tür ve Aşama 3 yük taşıyıcıdır: raporlama, zorunlu kılmadan önce her göndericiyi bulma şeklinizdir. Yalnızca bir varış noktası olarak ele alındığında sorun haline gelir. Bkz. p=none neden koruma değildir.

Doğrudan p=reject’e atlayabilir miyim? Alan adınız hiç posta göndermiyorsa — evet, bugün ve yapmalısınız. Posta gönderiyorsa — hayır: Görünürlük (Aşama 4) olmadan zorunlu kılmak, meşru postanın bozulmasına ve geri dönüşlerin yaşanmasına yol açar. Aşamalar güvenli yoldur, tören değil.

“Tamamlanmış” olmak için BIMI’ye ihtiyacım var mı? Hayır. BIMI, Aşama 6’nın marka gösterim katmanıdır ve modeldeki en isteğe bağlı öğedir — MTA-STS, TLS-RPT ve DMARCbis’in np= kapsamı, bir alan adını maddi olarak sağlamlaştıran kısımlardır. Sertifika maliyeti sizin için haklı değilse, onu atlayın ve Aşama 6’nın geri kalanını koruyun.

SPF ve DKIM nereye oturur? Her şeyin altına — bunlar Aşama 1 → 2’dir ve DMARC olmadan SPF, çoğu sahibin varsaydığından daha az korur. 2024’ten bu yana, büyük alıcılar ayrıca toplu göndericilerden doğrudan kimlik doğrulama zorunlu kılmaktadır.

Kendi alan adınızın nerede durduğunu kontrol edin

Bu aşamalar popülasyon örüntüleridir — alan adınız tam olarak bunlardan birindedir ve bir sonraki hamle bilinebilir. Özel olarak ve ücretsiz kontrol edebilir, 34 kontrolün hangilerini geçtiğinizi ve geçemediklerinizi nasıl düzelteceğinizi görebilirsiniz.

Alan adınızı kontrol edin → · İnterneti nasıl notlandırdık → · DMARC sütunu → · Yalnızca toplu veriler. Veriler AB’de saklanır ve işlenir.