Defaults.Exposed › Düzeltmeler › DKIM

DKIM nasıl düzeltilir

DKIM, işletmenizin gönderdiği her e-postanın üzerindeki görünmez, kurcalamaya karşı korumalı mühürdür. Alıcı posta sağlayıcısının e-postanın gerçekten sizden geldiğini ve değiştirilmeden ulaştığını doğrulamasını sağlar. Bu olmadan postalarınız taklit edilmesi daha kolay, değiştirilmesi daha kolay ve spam'e düşme ya da doğrudan reddedilme olasılığı çok daha yüksek hale gelir.

İşletmeniz için sonuç: DKIM olmadan gönderdiğiniz e-postalar aktarım sırasında kurcalanabilir, suçluların taklit etmesi kolaylaşır ve spam'e filtrelenme ya da doğrudan reddedilme olasılığı artar — hiç farkında olmadan sessizce anlaşmaları, ödemeleri ve güveni kaybedersiniz.

Bu size ne mal olabilir

• E-postayla gönderdiğiniz bir fatura ele geçirilir ve müşterinize ulaşmadan önce banka bilgileri değiştirilir. E-posta hâlâ sizden geliyormuş gibi görünür, müşteri suçlunun hesabına ödeme yapar ve iş çözümlendiğinde suçlanan siz olursunuz.
• Gerçek teklifleriniz, sözleşmeleriniz ve faturalarınız sürekli olarak müşterilerin spam klasörüne düşer. Müşterinin ilgisini kaybettiğini ya da başkasını seçtiğini düşünürsünüz — oysa e-postanızı sadece hiç görememişlerdir.
• Daha büyük bir müşterinin güvenlik veya tedarik ekibi imzalamadan önce alan adınız üzerinde hızlı bir kontrol yapar, DKIM olmadığını görür ve ya anlaşmayı düzeltene kadar haftalarca erteler ya da kontrolü geçen bir tedarikçiyi sessizce tercih eder.
• Bir suçlu, müşteri tabanınıza 'şirketinizden' gelen sahte ama ikna edici e-postalar gönderir. Hangi mesajların gerçekten sizin olduğunu kanıtlayan hiçbir şey olmadığından sahte olanlar gerçek olanlar kadar inandırıcı görünür — zarar gören ise markanız olur.
• Büyük posta kutusu sağlayıcıları ve bankalar giderek artan oranda imzasız postaları şüpheli olarak değerlendiriyor. Zamanla günlük iş e-postalarınızın daha fazlası kısıtlanıyor, çöp kutusuna atılıyor ya da geri çevriliyor; sosyal yayılımlarınız yavaş yavaş işe yaramaz hale geliyor.

Neden önemlidir. E-posta kimin gönderdiğini kanıtlamak için hiçbir zaman tasarlanmadı ve göndereni taklit etmek son derece kolay. DKIM, alıcı sağlayıcının otomatik olarak kontrol ettiği kriptografik bir imza ekler — mesajın gerçekten alan adınızdan geldiğini ve yolda değiştirilmediğini doğrular. Her modern posta sağlayıcısının aradığı üç şeyden biri, e-postanızın güvenilir mi yoksa spam mi sayılacağını doğrudan etkiler ve düzeltmesi ücretsizdir.

Sade dille ne olduğu

İşletmenizin gönderdiği her e-posta, gelen kutusuna ulaşmadan önce birçok elden geçer. Başlı başına bir e-posta, onu kimin gönderdiğinin ya da yolda birinin değiştirip değiştirmediğinin kanıtını taşımaz — “gönderen” satırı herkesin yazabileceği düz bir metindir.

DKIM bunu düzeltir. İşletmenizin gönderdiği her mesaja görünmez, kurcalamaya karşı korumalı bir mühür basar. E-posta ulaştığında alıcının posta sağlayıcısı, alan adınızda yayımladığınız bir anahtarla bu mühürü kontrol eder. Eşleşirse sağlayıcı iki şeyi kesin olarak bilir: e-posta gerçekten alan adınızdan gelmiştir ve aktarım sırasında tek bir karakter bile değiştirilmemiştir. Eşleşmezse — mesaj sahte veya değiştirilmişse — mühür başarısız olur ve sağlayıcı postayı şüpheyle değerlendirir.

Bunların hiçbirini kendiniz yönetmezsiniz. Bir kez etkinleştirildiğinde imzalama ve doğrulama her e-postada otomatik olarak, sonsuza kadar gerçekleşir. DKIM’in tüm amacı gerçek postanızı kanıtlayarak güvenilir kılmak — böylece güven kazanır ve sahte olanlar öne çıkar.

Size maliyeti ne olabilir

Bu soyut bir konu değildir. Küçük veya orta ölçekli bir işletme için eksik veya zayıf bir DKIM mühürünün pratikte nasıl göründüğü:

• Değiştirilen fatura. Bir müşteriye fatura e-postası gönderirsiniz. Sunucunuzdan onların sunucusuna giden yolda bir saldırgan bunu ele geçirir ve banka bilgilerinizi kendi bilgileriyle değiştirir. E-posta hâlâ sizden geliyormuş gibi görünür, müşteri — suçlunun hesabına — ödeme yapar. DKIM olmadan bu sessiz değişikliğe dikkat çekecek hiçbir şey yoktur. Olsaydı bu değişiklik mühürü kırardı ve fark edilirdi.
• Spam’de ölen anlaşmalar. Teklifleriniz, önerileriniz ve takip mesajlarınız sürekli olarak müşterilerin çöp klasörüne kayıyor. Cevap alamazsınız ve ilgi duymadıklarını varsayarsınız. Oysa imzasız posta güçlü bir spam sinyalidir — gerçek iş e-postanız sadece görülmemiştir.
• Kaybedilen sözleşme. Daha büyük bir müşterinin tedarik veya güvenlik ekibi, imzalamadan önce alan adınızı inceler. DKIM olmadığını görür ve bunu kırmızı bayrak olarak değerlendirir — ya düzeltene kadar anlaşmayı haftalarca erteler ya da e-posta güvenliği kontrolünü geçen bir tedarikçiyi sessizce seçer.
• Adınız kendi müşterilerinize karşı kullanılıyor. Bir dolandırıcı, müşteri tabanınıza “şirketinizden” ikna edici e-postalar toplu olarak gönderir. Hangi mesajların gerçekten sizin olduğunu kanıtlayan hiçbir şey olmadığından sahte olanlar gerçek olanlar kadar meşru görünür — ve insanlar zarar gördüğünde itibarınız bu durumdan nasibini alır.
• E-postanızın yavaş yavaş işlevsizleşmesi. Bankalar, büyük posta kutusu sağlayıcıları ve kurumsal filtreler giderek daha fazla oranda imzasız postaya güvenmez hale geliyor. Etki zamanla ortaya çıkıyor: daha fazla kısıtlama, daha fazla çöpe atma, daha fazla geri dönme — günlük sosyal yayılımlarınız sessizce durmaya başlayana kadar.

Teknik olarak nedir

DKIM, DomainKeys Identified Mail’in kısaltmasıdır. Mühürün nasıl çalıştığını jargon olmadan şöyle açıklayabiliriz:

• Alan adınıza bir açık anahtar yayımlarsınız (DNS ayarlarınıza). Herkes okuyabilir — bu zaten amacıdır.
• Posta sağlayıcınız eşleşen özel anahtarı tutar ve gönderdiğiniz her e-postayı imzalamak için kullanır; gizli bir başlık ekler.
• E-posta ulaştığında alıcının sağlayıcısı açık anahtarınızı alır, imzayı mesajla karşılaştırır ve mesajın gerçek ve değiştirilmemiş olduğunu doğrular.

BT uzmanınızdan duyabileceğiniz birkaç terim:

• Seçici — belirli bir anahtara işaret eden bir etiket, örneğin selector1._domainkey.alanadiniz. Birden fazla anahtarı düzenli biçimde çalıştırıp değiştirmenizi sağlar. Sağlayıcınız bunu ayarlar.
• Anahtar gücü — DKIM anahtarları farklı boyutlarda gelir. Modern taban 2048 bit RSA’dır; 4096 bit RSA veya Ed25519 anahtarlar daha da güçlüdür. Eski 1024 bit anahtarlar hâlâ çalışır ancak günümüz standartlarına göre zayıf sayılır (NIST SP 800-131A / RFC 8301).

“İyi” neye benzer: alan adınız için bir seçicide geçerli bir DKIM anahtarı yayımlanmış, giden postanız bununla imzalanıyor ve anahtar 2048 bit veya daha güçlü. Bu, tam geçişdir.

Puanlama hakkında bir not. Bu kontrol, posta sağlayıcılarının yaygın olarak kullandığı seçicilerde yayımlanmış gerçek, düzgün biçimlendirilmiş bir DKIM anahtarı arar. Yayımlanmış geçerli bir anahtar pozitif sinyaldir — bir üçüncü taraf tarayıcı canlı imzalarınızı tekrar oynatamaz, dolayısıyla doğru bir anahtarın varlığı ölçülen şeydir. Anahtar bulunamadı kontrolü başarısız kılar (yüksek öncelikli bir açık). Geçerli ama zayıf anahtar (1024 bit RSA) yaklaşık yarım puan kazandırır — çalışıyor ama yükseltilmeli. Güçlü anahtar (2048 bit RSA veya daha iyisi ya da Ed25519) tam puan kazandırır.

Nasıl düzeltilir (ücretsiz, ~15 dakika)

Bu bölüm e-postanızı veya alan adınızı yönetenler içindir — bu siz değilseniz bu bölümü onlara iletin. Düzeltme ücretsizdir. Yalnızca korumalarınızın zamanla sağlıklı kalmasını izlemek için ücret alıyoruz, kurulumu yapmak için değil.

Genel şekil her yerde aynıdır: e-posta sağlayıcınızda DKIM’i etkinleştirin, oluşturduğu anahtarı alın, DNS’e yayımlayın ve canlı olduğunu doğrulayın. Kesin adımlar e-postanızı kimin çalıştırdığına bağlıdır; yaygın olanlar şunlardır.

Google Workspace (Gmail)

1. Yönetici Konsolu → Uygulamalar → Google Workspace → Gmail → E-postayı Doğrula.
2. Alan adınızı seçin ve Yeni kayıt oluştur’a tıklayın (2048 bit anahtar uzunluğunu seçin).
3. Google size bir DNS kaydı verir. DNS barındırıcınıza TXT kaydı olarak, ana bilgisayar google._domainkey.alanadiniz şeklinde, Google’ın sağladığı değerle ekleyin.
4. Yayılmasını bekleyin (dakikalar ila birkaç saat), ardından aynı ekrana dönün ve Kimlik doğrulamayı başlat’a tıklayın.

Microsoft 365 (Outlook / Exchange Online)

1. Microsoft Defender portalına gidin → E-posta ve işbirliği → İlkeler ve kurallar → Tehdit ilkeleri → E-posta kimlik doğrulama ayarları → DKIM.
2. Alan adınızı seçin. Microsoft size yayımlanacak iki CNAME kaydı gösterir (selector1 ve selector2).
3. Her iki CNAME kaydını da DNS barındırıcınıza tam olarak gösterildiği şekilde ekleyin.
4. DKIM ekranına dönerek alan adı için DKIM imzalamayı Etkin duruma getirin.

Zoho Mail

1. Kontrol Paneli → E-posta Kimlik Doğrulama → DKIM.
2. Bir anahtar oluşturun (örneğin zoho gibi bir seçici kullanın), ardından DNS’te zoho._domainkey.alanadiniz adresine sağlanan TXT kaydını ekleyin.
3. Kayıt yayınlandıktan sonra Zoho panelinde doğrulayın.

Diğer sağlayıcılar / kendi posta sunucunuz Örüntü aynıdır: sağlayıcı (veya posta yazılımınız) bir anahtar çifti oluşturur, giden postanızı özel anahtarla imzalar ve yayımlamanız için açık kaydı verir. Genellikle şöyle görünür:

Ana bilgisayar:  selector1._domainkey.alanadiniz
Tür:  TXT (ya da sağlayıcıya bağlı olarak CNAME)
Değer: (sağlayıcınızın size verdiği uzun anahtar dizesi)

DNS kayıtları nereye eklenir: alan adınızın DNS ayarlarında — genellikle alan adı tescilcinizde veya DNS barındırıcınızda (örn. Cloudflare, GoDaddy, barındırma kontrol paneli). E-posta sağlayıcınız bir CNAME veriyorsa barındırdıkları bir kaydı işaret ediyor demektir, dolayısıyla ham anahtarı hiç görmezsiniz — bu normal ve sorunsuz.

Çalıştığını doğrulayın: kendinize bir Gmail hesabına test e-postası gönderin, açın, Orijinali göster’i seçin ve DKIM: PASS ifadesinin göründüğünü kontrol edin. Ardından alan adınızı burada yeniden kontrol edin; anahtarın zayıf bir 1024 bit değil, 2048 bit veya daha güçlü olarak görüldüğünü doğrulayın.

Yaygın hatalar

• Büyük bir sağlayıcının varsayılan olarak etkin olduğunu varsaymak. Google veya Microsoft’ta pek çok alan adı hâlâ DKIM’i etkinleştirip kayıt yayımlamayı gerektiriyor. “Microsoft 365 kullanıyoruz” demek “DKIM etkin” demek değildir.
• Zayıf 1024 bit anahtar oluşturmak. Bazı sağlayıcılar hâlâ varsayılan olarak 1024 bit sunar. Seçenek verildiğinde 2048 bit’i tercih edin — zayıf bir anahtar yalnızca yarım puan kazandırır ve daha katı alıcılar tarafından işaretlenir.
• Kaydı yayımlamak ama imzalamayı asla etkinleştirmemek. DNS kaydı eklemek işin yalnızca yarısıdır. Sağlayıcıda imzalamayı açmazsanız (son geçiş) postanız yine de imzasız gönderilir.
• Anahtarı yanlış yazmak veya kesmek. DKIM anahtarları uzundur. Bir karakteri düşüren ya da değeri yanlış bölen bir kopyala-yapıştır işlemi, her e-postada başarısız olan bozuk bir mühür üretir. Değeri tam olarak verildiği gibi yapıştırın.
• Diğer göndericileri unutmak. Haber bülteni aracı, CRM, faturalama uygulaması veya e-ticaret platformu aracılığıyla posta gönderiyorsanız, her birinin kendi DKIM anahtarına ve seçicisine ihtiyacı olabilir. Yalnızca posta kutunuzdan değil, adınıza posta gönderen tüm hizmetlerden gelen postaları imzalayın.

DKIM, SPF ve DMARC hakkında bir not

DKIM nadiren tek başına çalışır. E-postanızı güvenilir kılan üç ayardan biridir:

• SPF hangi sunucuların alan adınız için posta göndermeye izinli olduğunu belirtir.
• DKIM (bu sayfa), bir mesajın gerçekten sizin olduğunu ve değiştirilmediğini kanıtlayan kurcalamaya karşı korumalı mühürdür.
• DMARC, sağlayıcılara başarısız olan her şeyle ne yapacaklarını söyleyen talimattır — ve bu kararı vermek için DKIM ve SPF’ye dayanır.

DKIM’i düzeltiyorsanız aynı anda SPF ve DMARC’ı da kontrol etmeye değer. Üçü birlikte işletmenizin taklit edilmesini önleyen ve gerçek e-postanızın gereken yere ulaşmasını sağlayan şeydir.

Sunucunuzda kurun

Popüler sağlayıcılar için adım adım:

• GoDaddy üzerinde DKIM kurun
• Namecheap üzerinde DKIM kurun
• Cloudflare üzerinde DKIM kurun
• Google Workspace üzerinde DKIM kurun
• Microsoft 365 üzerinde DKIM kurun
• Squarespace üzerinde DKIM kurun
• Wix üzerinde DKIM kurun
• AWS Route 53 üzerinde DKIM kurun
• Hostinger üzerinde DKIM kurun
• Porkbun üzerinde DKIM kurun
• IONOS üzerinde DKIM kurun
• Bluehost üzerinde DKIM kurun

SSS