Defaults.Exposed

Defaults.ExposedDüzeltmelerGuides

DMARC Başarısız ama SPF ve DKIM Geçiyor? Hizalama Düzeltmesi (2026)

Yayımlanma 2026-07-08

Veriler 2026-06-29 itibarıyla · metodoloji v7. 261 milyon derecelendirilmiş alan genelinde toplu sayım verileri. Bkz. nasıl derecelendiriyoruz.

DMARC bir geçişten fazlasını gerektirir — SPF veya DKIM’den geçen alan, From alanınızla eşleşmelidir. Çoğu “SPF geçiyor, DMARC başarısız” postası, SPF’den sizin geri dönüş alanınızda değil, satıcının geri dönüş alanında geçiyor. Defaults.Exposed sayımına göre (2026-06-29) 261,086,232 derecelendirilmiş alanın yalnızca 7.4%‘si zorlanan DMARC politikası altında hizalı SPF geçişine sahip.

Düzeltme, karışıklığın önerdiğinden daha hızlıdır. Authentication-Results başlığını okuyarak hangi bacağın — SPF veya DKIM — yanlış alanda geçtiğini görün; ardından gönderme hizmetinizin özel alan DKIM imzalamayı etkinleştirin (genellikle birkaç CNAME ve yönlendirmeyi atlatan düzeltme) ya da özel return-path’ini ayarlayın, böylece SPF kendi alanınızda geçer. DMARC’ın ihtiyaç duyduğu tek şey bir hizalı bacaktır.

SPF ve DKIM ikisi de geçerken DMARC nasıl başarısız olabilir?

Çünkü DMARC asla “SPF geçti mi?” diye sormaz. Şunu sorar: SPF ya da DKIM, alıcınızın gördüğü From adresindeki alanla eşleşen bir alan için geçti mi? Bu ek koşul hizalama olarak adlandırılır ve DMARC’ın tüm amacıdır — bu olmadan herhangi biri kendi sahip olduğu bir alanda SPF’den geçerken sizin alanınızı From başlığında görüntüleyebilir.

Her kontrol farklı bir alanı doğrular:

KontrolGerçekte değerlendirdiği alanNerede görünür
SPFReturn-Path (RFC5321.MailFrom, geri dönüş/zarf-from adresi) — From başlığı değilAuthentication-Results’taki smtp.mailfrom=
DKIMİmzanın d= etiketindeki alan — imzalayanın seçtiği alanAuthentication-Results’taki header.d=
DMARCFrom başlığı alanınız — ve SPF alanının veya DKIM’in d= değerinin bununla eşleşmesini gerektirirAuthentication-Results’taki header.from=

Parçaların genellikle nasıl yanlış gittiğine dair: bülten platformunuz veya CRM’niz [email protected] gibi bir Return-Path ile posta gönderir, SPF vendor.com üzerinde kontrol edilir ve geçer, DKIM d=vendor.com ile geçer — ve DMARC başarısız olur, çünkü geçen alanların hiçbiri sizinşirket.com ile eşleşmez. Her kontrol gerçeği söyledi; hiçbiri sizi doğrulamadı. Kendi SPF kaydınızı düzenlemek bunu düzeltemez — zaten danışılmadı. Bu, SaaS araçlarınız için SPF başarısız sayfasında ele alınan tuzakla aynıdır.

Sayım, kaç gönderenin bu son adımı tamamladığını gösteriyor: 261,086,232 derecelendirilmiş alanın 27,640,987‘si (%10.59) zorunlu DMARC politikasına sahip ve yalnızca 7.4% biri altında hizalı SPF geçişine sahip. SPF’si softfail (~all) ile biten 77.5 milyon alan arasında yalnızca 9.2%‘si zorlanan DMARC politikasının altında; hardfail (-all) yayıncıları arasında 12,142,351 zorlanmışken 42,514,532‘si zorlanmamış. Çoğu alan “SPF geçiyor”da durur — DMARC olmadan bu neredeyse hiçbir şeyi korumaz.

Hangi bacağın hizasız olduğunu görmek için Authentication-Results nasıl okunur?

Başarısız hizmet üzerinden kendinize bir ileti gönderin, ham kaynağı açın ve Authentication-Results başlığını bulun. Tipik hizasız bir sonuç şöyle görünür:

Authentication-Results: mx.google.com;
       spf=pass smtp.mailfrom=bounces.espmail.net;
       dkim=pass header.d=espmail.net;
       dmarc=fail (p=NONE) header.from=yourcompany.com

Üç karşılaştırmayla okuyun:

Kendi alanınızı zaten içeren (veya içermesi sağlanabilecek) olan bacak düzeltilecek olandır. Yalnızca bir tanesine ihtiyacınız var.

Gevşek ve katı hizalama arasındaki fark nedir?

DMARC, DMARC kaydınızdaki aspf (SPF) ve adkim (DKIM) etiketleriyle ayarlanan iki eşleştirme modu sunar:

Kaydınızda aspf veya adkim yoksa gevşek modasınız — ve büyük olasılıkla orada kalmak istersiniz. Katı mod çoğu gönderen için anlamlı güvenlik eklemez ve kurduğunuz her meşru alt alan göndericiyi sessizce bozar. DMARC başarısız oluyorsa ve kaydınız aspf=s veya adkim=s içeriyorsa, bu tek başına hata olabilir.

DMARC hizalamasını nasıl düzeltirim?

  1. DNS’e dokunmadan önce defaults.exposed üzerinden ücretsiz taramayı çalıştırın. DMARC kaydınızı ve politikanızı, SPF ve DKIM’in hizalanmak üzere kurulmuş olup olmadığını ve başka neyin bozuk olduğunu gösterir — böylece önce doğru bacağı düzeltirsiniz.
  2. Her gönderme hizmetini test edin ve Authentication-Results okuyun (yukarıdaki gibi). Her kaynağı listeleyin — posta kutusu sağlayıcısı, bülten aracı, CRM, faturalama uygulaması — ve kaynak başına smtp.mailfrom ile header.d değerlerinin kendi alanınız mı yoksa satıcının alanı mı olduğunu not alın.
  3. Her satıcı için özel alan DKIM imzalamayı etkinleştirin — kalıcı düzeltme. Her ciddi gönderme hizmeti “alan kimlik doğrulaması” sunar: d=yourcompany.com (veya bir alt alan, gevşek modda hizalanır) olarak imzalamasına izin veren birkaç CNAME kaydı. Hizalı DKIM genellikle daha kolay düzeltmedir ve yönlendirme tasarım gereği SPF’yi bozduğundan yönlendirmeyi atlatan tek düzeltmedir.
  4. SPF hizalaması için satıcının özel return-path’ini etkinleştirin (genellikle özel geri dönüş alanı denir) — genellikle satıcıya işaret eden bounce.yourcompany.com gibi bir CNAME. SPF bu durumda kendi kuruluş alanınızda geçer ve hizalanır. Sunulduğu yerde bunu yapın, ama ikinci bacak olarak değerlendirin, hizalı DKIM’in yerine geçmez.
  5. Belirli, anlaşılmış bir nedeniniz olmadıkça hizalamayı gevşek modda bırakın (aspf=s/adkim=s kullanmayın).
  6. Yeniden tarayın ve her iki bacağı doğrulayın, ardından zorlamaya doğru ilerleyin. p=none DMARC politikası rapor eder ama hiçbir şeyi engellemez; gerçek gönderenlerin hizalandığı zaman sizi koruyan politikaya giden tam yol DMARC düzeltme sayfasında ve IONOS’ta DMARC gibi sağlayıcı kılavuzları DNS panel tıklamalarını kapsar.

SPF hizalamasını mı yoksa DKIM hizalamasını mı düzeltmeliyim?

Gönderme kaynağı başına bir hizalı bacağa ihtiyacınız var. Yalnızca birini yapabiliyorsanız seçim neredeyse hiç yakın değildir:

DüzeltmeNe gerektirirYönlendirmeyi atlatır mı?
Hizalı DKIM (özel alan imzalama)Satıcının “alan kimlik doğrulaması” panelinde birkaç CNAMEEvet — imza iletiyle birlikte yolculuk eder
Hizalı SPF (özel return-path/geri dönüş alanı)Satıcının sunduğu yerde bir CNAMEHayır — herhangi bir yönlendiricinin IP’si satıcınınkinin yerini alır

Bilinmesi gereken özel durum: Google Workspace ve Microsoft 365, postanızı varsayılan olarak kendi geri dönüş alanlarıyla DKIM imzalayacaktır (gappssmtp.com, onmicrosoft.com) — bu nedenle DKIM pass gösterirken DMARC hâlâ başarısız olur. Bu tüm sorunun en yaygın spesifik örneğidir ve kendi rehberi vardır: DKIM geçiyor ama DMARC hâlâ başarısız: varsayılan imza tuzağı.

Sık sorulan sorular

DMARC geçmesi için hem SPF hem de DKIM’in hizalanması gerekiyor mu? Hayır — bir hizalı geçiş yeterlidir. En iyi uygulama yine de her ikisini de hizalamaktır; böylece yönlendirme SPF bacağını bozduğunda DKIM bacağı DMARC geçişini taşımaya devam eder. 2026-06-29 sayımında derecelendirilen 261,086,232 alanın yalnızca 3.87%‘si tam SPF + DMARC + DKIM üçlüsünü tamamlar.

ESP panom SPF ve DKIM’in “doğrulandı” olduğunu söylüyor — DMARC neden hâlâ başarısız oluyor? “Doğrulandı” genellikle satıcının kendi gönderimi satıcının alanlarında geçiyor demektir. Özel alan adımlarını (DKIM CNAME’leri, özel return-path) tamamlamadıkça, posta siz değil satıcı olarak kimliğini doğrular — ve DMARC From alanınıza karşı karşılaştırma yapar.

Hizalama olmadan katı -all SPF kaydı yeterli mi? Hayır. Katı niteleyici, Return-Path alanındaki SPF kararını güçlendirir ama DMARC hâlâ bu alanın sizin olmasını gerektirir. 2026-06-29 sayımı itibarıyla -all yayımlayan alanların yalnızca 12,142,351‘si zorlanan DMARC politikasının altında — diğer 42,514,532 hiçbir politikanın işlem yapmadığı katı kayda sahip.

Daha fazla güvenlik için katı hizalamaya (aspf=s/adkim=s) geçmeli miyim? Neredeyse hiçbir zaman. Gevşek hizalama zaten aynı kayıt edilebilir alanı gerektirir; bir sahtekar bunu kontrol etmez. Katı mod çoğunlukla kendi alt alan gönderilerinizi bozar — beklenmedik hizalama başarısızlıklarında kontrol edin.

DMARC yalnızca alıcıların yönlendirdiği postada başarısız oluyor — aynı düzeltme mi? Bu, transitte ölen SPF bacağıdır: yönlendiricinin sunucusu, return-path için kimsenin SPF kaydında değildir. Yönlendirilen postada SPF’yi düzeltemezsiniz; hizalı DKIM yanıttır, çünkü imza yönlendirmeyi sağlam geçer. Detaylar: yönlendirilen e-posta SPF’de başarısız olur.

Sahiplerine raporu gönderin

Bunu bir müşteri veya işvereniniz için düzeltiyorsanız, kanıtla döngüyü kapatın. CNAME’ler yerleştikten sonra ücretsiz taramayı yeniden çalıştırın ve derecelendirilmiş raporu iş sahibine iletin: tarihli, sade dilli, SPF, DKIM ve DMARC’ın hizalı ve geçtiğini gösteriyor. Bu, siber sigorta yenileme ve bir sonraki tedarikçi güvenlik anketi için ihtiyaç duyacakları belgedir — çalışan yapılandırmanın kanıtı, “bazı DNS kayıtları ekledim”den farklı olarak.

Alanınızı kontrol edin → · DKIM geçiyor ama DMARC hâlâ başarısız → · DMARC’ı düzelt → · Nasıl derecelendiriyoruz → · Yalnızca toplu veriler. Veriler AB’de depolanır ve işlenir.