Defaults.Exposed

Defaults.ExposedDüzeltmelerGuides

DKIM Geçiyor ama DMARC Başarısız: gappssmtp.com / onmicrosoft.com Varsayılan İmza Tuzağı (2026)

Yayımlanma 2026-07-08

Veriler 2026-06-29 itibarıyla · metodoloji v7. 261 milyon derecelendirilmiş alan genelinde toplu sayım verileri. Bkz. nasıl derecelendiriyoruz.

Postanız, sağlayıcının varsayılan imzasıyla — d= değeri gappssmtp.com (Google Workspace) veya onmicrosoft.com (Microsoft 365) ile biten — DKIM’den geçiyor; ancak bu alan From alanınızla eşleşmiyor, dolayısıyla DMARC hizalı bir geçiş alamıyor. Düzeltmek için özel alan adı imzalamayı etkinleştirin. Defaults.Exposed’un 261,086,232 derecelendirilmiş alan sayımına göre Google posta sunucularını yetkilendiren 12,145,313 alandan yalnızca 18.5%‘si DMARC’ı zorluyor.

Düzeltme, e-posta kimlik doğrulamadaki en temiz düzeltmelerden biridir: özel alan adı DKIM imzalamayı açın. Google Workspace’te bu Yönetici konsolunun “E-postayı doğrula” ekranıdır — anahtarı oluşturun, bir TXT kaydı yayımlayın, açın. Microsoft 365’te bu Defender portalının DKIM sayfasıdır — iki seçici CNAME yayımlayın, etkinleştirin. Yirmi dakikalık çalışma ve DMARC sonunda beklediği hizalı geçişi alır.

DKIM geçerken DMARC neden hâlâ başarısız oluyor?

Çünkü DMARC “geçerli bir DKIM imzası var mı?” diye sormaz — “From başlığındaki alan için geçerli bir DKIM imzası var mı?” diye sorar. Bu ikinci koşula hizalama denir ve DMARC’ın tüm amacı budur: alıcınızın gördüğü alanın imzalayan alan olduğunu kanıtlamak.

Google Workspace, postalarınızı varsayılan olarak yourdomain-com.20230601.gappssmtp.com gibi bir alanla (tarih damgası alana göre değişir) imzalar; Microsoft 365 ise yourtenant.onmicrosoft.com ile imzalar. Her iki imza da kriptografik olarak geçerlidir — DKIM kontrolleri geçer der — ancak d= alanı Google’a veya Microsoft’a aittir, size değil. DMARC’ın yalnızca kuruluş alanlarının eşleşmesini gerektiren gevşek hizalaması altında bile gappssmtp.com, yourdomain.com değildir. Eşleşme yok, hizalı geçiş yok; SPF de hizalanmıyorsa (çoğunlukla hizalanamaz — alıcılar SPF’yi From başlığına karşı değil, Return-Path alanına karşı değerlendirir ve yönlendirme bunu tamamen bozar), DMARC başarısız olur.

Bu sağlayıcı varsayılanlarının tanımlayıcı tuzağıdır: varsayılan size teslim edilebilirlik sağlar, koruma değil — hizalama, anahtarın eksik çevirisidir. Sayım, kaç gönderenin varsayılanda durduğunu gösterir: Google’ın posta sunucularını _spf.google.com aracılığıyla yetkilendiren 12,145,313 alandan (dünya genelinde 138,927,207 SPF yayıncısından) yalnızca 18.5%‘si DMARC’ı zorluyor. Microsoft’un tablosu aynı şekle sahip: 10,205,070 alan spf.protection.outlook.com’u yetkilendiriyor, 85.0%‘si M365 kurulumunun kendilerine verdiği katı SPF kaydını taşıyor — ve yalnızca 21.7%‘si DMARC’ı zorluyor. Tam karşılaştırma için e-posta sağlayıcısı SPF lig tablomuza bakın.

Tuzak günlük kullanımda görünmezdir: postalar teslim edilir, gelen kutusu testleri iyi görünür, hiçbir şey hata vermez — ta ki bir DMARC politikası yayımlayıp kendi postanızın buna başarısız olmasına kadar. Ücretsiz taramaz bu açığı tam olarak ortaya çıkarır.

Authentication-Results içinde varsayılan imza tuzağını nasıl tespit ederim?

Gönderdiğiniz bir iletiyi açın (Gmail veya Outlook posta kutusuna), orijinal/ham kaynağı görüntüleyin ve Authentication-Results başlığını bulun. İşaret, yanlış d= ile DKIM geçişidir — Gmail tarafından alınan bir örnek şöyle görünür:

Authentication-Results: mx.google.com;
       dkim=pass [email protected];
       spf=pass smtp.mailfrom=yourdomain.com;
       dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=yourdomain.com

Bunu üç soru olarak okuyun:

Başlık parçasıNe anlama geliyorKarar
dkim=pass header.d=yourdomain.comİmza geçerli VE From alanınızla eşleşiyorHizalı — bu hedeftir
dkim=pass header.d=…gappssmtp.com veya …onmicrosoft.comİmza geçerli ama sağlayıcının varsayılan alanına ait — DMARC hizalama için onu yok sayarTuzak: koruma olmadan geçiş
dkim=fail (herhangi bir d=)İmza geçersiz — farklı sorunBkz. DKIM nasıl düzeltilir

Microsoft tarafından alınan postada aynı durum dkim=pass (signature was verified) header.d=yourtenant.onmicrosoft.com ile birlikte compauth=fail olarak görünür — bu, Outlook reddetme rehberinde ele alınan bir modeldir.

Başlığınız bunun yerine hem dkim=pass hem spf=pass ile birlikte DMARC başarısızlığı gösteriyorsa daha geniş hizalama durumundasınız — DMARC başarısız ama SPF ve DKIM geçiyor rehberi gevşek ve katı hizalamayı ayrıntılı olarak ele alır.

Özel alan adı DKIM imzalamayı nasıl etkinleştiririm?

  1. Herhangi bir şeye dokunmadan önce defaults.exposed üzerinden ücretsiz taramayı çalıştırın. Alanınızın hizalı DKIM’e sahip olup olmadığını, DMARC politikanızın gerçekte ne olduğunu ve bu düzeltmeden sonra sizi hâlâ engelleyecek başka bir şey (SPF, DMARC kayıt sözdizimi) olup olmadığını gösterir — böylece işi bir kez doğru yaparsınız.
  2. Hangi varsayılanla imzaladığınızı belirleyin. Yukarıdaki gibi Authentication-Results içindeki header.d= değerini kontrol edin: gappssmtp.com Google Workspace varsayılanı, onmicrosoft.com Microsoft 365 varsayılanı demektir.
  3. Google Workspace: kendi anahtarınızı oluşturun ve yayımlayın. Yönetici konsolunda Uygulamalar → Google Workspace → Gmail → E-postayı doğrula’ya gidin, alanınızı seçin ve Yeni Kayıt Oluştur’a tıklayın (DNS ana bilgisayarınız saklayamıyorsa dışında 2048 bit). Size verdiği TXT kaydını google._domainkey.yourdomain.com adresinde yayımlayın, DNS için bekleyin (48 saate kadar), ardından — insanların atladığı adım — Kimlik doğrulamayı başlat’a tıklayın. Kaydı oluşturmak, imzalamayı açana kadar hiçbir şey yapmaz. Tam kılavuz: Google Workspace’te DKIM kurulumu.
  4. Microsoft 365: iki seçici CNAME’ini yayımlayın ve etkinleştirin. Defender portalında E-posta ve iş birliği → İlkeler ve kurallar → Tehdit ilkeleri → E-posta kimlik doğrulama ayarları → DKIM’e gidin, özel alanınızı seçin ve anahtarları oluşturun. Her iki CNAME’i de yayımlayın — Microsoft’un size gösterdiği hedeflere işaret eden selector1._domainkey ve selector2._domainkey (hedefleri portaldan kopyalayın — Mayıs 2025 öncesinde etkinleştirilen alanlar kiracınızın .onmicrosoft.com’u ile biter; daha yenileri .dkim.mail.microsoft ile biter) — ardından imzalamayı açın. İki seçici isteğe bağlı değildir: Microsoft anahtarları aralarında döndürür. Tam kılavuz: Microsoft 365’te DKIM kurulumu.
  5. Yeni imzayı doğrulayın. Harici bir posta kutusuna yeni bir ileti gönderin ve Authentication-Results’ı yeniden kontrol edin: dkim=pass artık header.d=yourdomain.com göstermelidir. DNS paneliniz CNAME hedefine bölgenizi otomatik olarak eklediyse veya uzun TXT değerini bozmuşsa imza değişmeyecektir — çoğu başarısızlığa sağlayıcı değil panel özellikleri neden olur.
  6. Yeniden tarayın ve hizalı geçişi bir yere taşıyın. Taramanın hizalı DKIM gösterdiğini doğrulayın, ardından kullanın: p=none DMARC politikası hiçbir şeyi korumaz. Derecelendirilmiş tüm 261,086,232 alan genelinde yalnızca 10.59%‘si DMARC’ı zorluyor (veriler 2026-06-29 itibarıyla) — hizalı DKIM, zorlamayı artırmayı güvenli hale getiren şeydir. DMARC nasıl düzeltilir sayfasından başlayın.

Özel DKIM etkinleştirmek bir şeyi bozar mı?

Hayır — bu, özünde patlama yarıçapı neredeyse olmayan nadir e-posta kimlik doğrulama düzeltmelerinden biridir: varsayılan imzayla çıkan postalar yalnızca daha iyi bir imzayla çıkar ve sağlayıcı anahtarları yönetmeye devam eder (Microsoft iki seçici arasında otomatik olarak döndürür). Gerçek başarısızlık modu bunu yarım yapmaktır — Google’ın TXT’sini yayımlamak ama Kimlik doğrulamayı başlat’a hiç tıklamamak, veya her ikisi yerine yalnızca bir M365 seçici yayımlamak. DNS kayıtlarını sonradan “temizlemek” için silmeyin; imzalama anahtar kaybolduğu anda durur.

Bir kapsam notu: bu, Google veya Microsoft üzerinden gönderilen postaları düzeltir. Bülten araçları ve CRM’ler de kendi varsayılan alanlarıyla imzalar ve her birinin kendi özel alan DKIM’inin açılması gerekir — bu model ve şimdi bunu gerektiren Gmail toplu gönderici kuralları, 550-5.7.26 rehberinde ele alınmıştır.

Sık sorulan sorular

DKIM her test aracında “geçiyor” gösteriyor — neden herhangi bir şeyin düzeltilmesi gerekiyor? Çünkü araçlar DMARC’ın yaptığından daha dar bir soruyu yanıtlar. İmza geçerlidir — ama bu gappssmtp.com’un veya onmicrosoft.com’un imzasıdır, sizin değil; dolayısıyla DMARC hizalamasında hiç sayılmaz. Bu nedenle pek çok gönderen varsayılana dönüp takılır: Google’ı yetkilendiren 12,145,313 alandan yalnızca 18.5%‘si DMARC’ı zorluyor (veriler 2026-06-29 itibarıyla).

Gevşek DMARC hizalaması varsayılan imzanın geçmesine izin verir mi? Hayır. Gevşek hizalama yalnızca eşleşmeyi kuruluş alanlarına kadar gevşetir — mail.yourdomain.com, yourdomain.com ile hizalanır. Varsayılan imzanın kuruluş alanı gappssmtp.com veya onmicrosoft.com’dur; bunlar sizinkiyle hiçbir şeyi paylaşmaz. Hiçbir hizalama modu üçüncü taraf bir d= değerini kurtaramaz.

gappssmtp.com / onmicrosoft.com imzası kötü mü? Kaldırmalı mıyım? Kötü değil — postanızın bir geçerli imza taşımasını sağlar; bu, spam filtrelemesine yardımcı olur. Yalnızca sizin değil. Kaldırmıyorsunuz; özel alan imzalamayı etkinleştirerek değiştiriyorsunuz.

Alanım Microsoft 365’te katı SPF ile mi — zaten korumalı mıyım? Muhtemelen hayır: bu katı kayıt, M365 varsayılanının tek işini yapmasıdır. spf.protection.outlook.com’u yetkilendiren 10,205,070 alandan 85.0%‘si katı SPF’ye sahip ama yalnızca 21.7%‘si DMARC’ı zorluyor (veriler 2026-06-29 itibarıyla). SPF, yönlendirme altında da bozulur çünkü From başlığına değil Return-Path’e karşı değerlendirilir — hizalı DKIM, hayatta kalan bacaktır; bu tam da bu düzeltmenin önem kazandığı nedendir.

Düzeltme ne kadar sürer? Konsol çalışması sağlayıcı başına dakikalar. DNS beklemedir: Google kimlik doğrulamayı başlatmadan önce 48 saate kadar beklemeni söyler; Microsoft’un CNAME’leri genellikle saatler içinde canlıdır. Çoğu beklemeyle geçen, uçtan uca bir iş günü ayırın.

Sahiplerine raporu gönderin

Bunu bir müşteri veya işvereniniz için düzeltiyorsanız, kanıtla döngüyü kapatın. Yeni imza canlıya geçtikten sonra ücretsiz taramayı yeniden çalıştırın ve derecelendirilmiş raporu iş sahibine iletin: tarihli, sade dilli, DKIM’in kendi alanlarıyla hizalı olduğunu gösteren. Bu, siber sigorta yenileme ve bir sonraki tedarikçi güvenlik anketi için gerekli belgedir — alanın gappssmtp.com’un bir alt kiracısı olarak değil, kendisi olarak kimlik doğruladığının kanıtı.

DKIM hizalamanızı ücretsiz kontrol edin

Postanızın kendi alanınız olarak imzalanıp imzalanmadığını — ve tam olarak neyin düzeltileceğini — gizli ve yalnızca sahip olarak görün.

Alanınızı kontrol edin → · DMARC başarısız ama SPF ve DKIM geçiyor → · DKIM’i düzelt → · Google Workspace’te DKIM kurulumu → · Yalnızca toplu veriler. Veriler AB’de depolanır ve işlenir.