Defaults.Exposed

Defaults.ExposedDüzeltmelerGuides

DMARC p=none'dan p=reject'e Meşru E-postayı Kaybetmeden: Aşamalı Dağıtım (2026)

Yayımlanma 2026-07-08

Veriler 2026-06-29 itibarıyla · metodoloji v7. 261 milyon derecelendirilmiş alan genelinde toplu sayım verileri. Bkz. nasıl derecelendiriyoruz.

DMARC’ı p=none’dan p=reject’e dört aşamada taşıyın: 2–4 hafta rua raporlarını izleyin, her meşru göndericini düzeltin, pct ile p=quarantine’ı kademeli artırın, ardından reddelin — doğrudan reject’e asla atlamamalısınız. Defaults.Exposed sayımına göre 261,086,232 derecelendirilmiş alanın 70,368,600‘si yumuşak SPF’de DMARC zorlaması olmadan durmuş hâlde bekliyor.

Bu, operasyonel koşu kitabıdır: çıkış kriterleri olan aşamalar tablosu, her aşama için kayıt, p=reject’te “%50”nin ne anlama geldiğini değiştiren RFC 7489 pct inceliği ve alt alanlar için sp= etiketi. Zorlamaya karar verip vermemeyi değerlendiriyorsanız, önce DMARC olgunluğunun 6 aşaması’nı okuyun — bu çerçevedir; politika düzeylerini bilmiyorsanız, p=none, p=quarantine ve p=reject ne anlama gelir başlangıç noktasıdır. Bu sayfa uygulamayı anlatır.

Neden doğrudan p=reject’e atlayamazsınız?

Çünkü p=reject, zorlayan her alıcıya DMARC’tan geçemeyen postaları geri döndürmesini söyler — raporlarınıza bakana kadar neyin başarısız olduğunu bilemezsiniz. İzlemeyi açan neredeyse her alan, unuttuğu meşru göndericileri keşfeder: CRM, faturalama aracı, iletişim formu. Birinci gün reject’e geçerseniz bu postalar spam’e gitmez; SMTP zamanında kaybolur. Fatura çalıştırmayı kaybetmek bir kuruluşu DMARC’tan korkutur ve kayıt kalıcı olarak p=none’a geri alınır — 261,086,232 derecelendirilmiş alandan 37,312,637‘si tam olarak orada bekliyor ve yalnızca 10.59% (27,640,987) zorlanan politikaya ulaşabiliyor.

Diğer neden hizalamadır. DMARC yalnızca SPF veya DKIM hem geçtiğinde hem de görünen From alanıyla hizalandığında geçer — SPF, Return-Path (RFC5321.MailFrom) alanına karşı; DKIM, imzanın d= değerine karşı. Üçüncü taraf göndericiler genellikle kendi alanlarında SPF’den geçer, sizinkinde değil; bu nedenle kaynak düzeltme aşaması çoğunlukla her satıcının özel alan DKIM’ini etkinleştirmekle ilgilidir — DMARC başarısız ama SPF ve DKIM geçiyor sayfasında ayrıntılandırılmıştır.

Dört dağıtım aşaması nelerdir?

AşamaPolitika kaydıpctBaşarısız postaya ne olurÇıkış kriterleri
1. İzlemep=none; rua=mailto:…Normal şekilde teslim edilir; toplu raporlar alırsınız2–4 hafta rapor; içindeki her gönderici meşru veya değil olarak tanımlanmış
2. Kaynakları düzeltp=none (değişmez)Yine normal teslimHer meşru kaynak hizalı DMARC geçiyor (gönderici başına özel alan DKIM); kalan başarısızlıklar yalnızca bilinmeyen/sahte trafik
3. Karantina artışıp=quarantine10 → 25 → 50 → 100Örneklenen pay spam klasörlerine gider; örneklenmeyen pay p=none olarak değerlendirilir (teslim edilir)pct=100’de meşru posta karantinaya alınmadan 1–2 temiz hafta
4. Reddetp=reject100SMTP zamanında geri döner; gönderici hata alır, alıcı hiçbir şey görmezSürekli — yeni gönderenler için rua’yı sonsuza dek açık tutun

Veriler 2026-06-29 itibarıyla; politika davranışı RFC 7489’a göre.

Aşama 3, alanların duraksadığı veya paniğe kapıldığı yerdir. Spam’e atmak kurtarılabilirdir — kullanıcılar postaları bulur, pct’yi gevşetir, kaynağı düzeltersiniz. Reddetmek kurtarılamaz; bu nedenle pct=100’de temiz çalışan karantina, aşama 4’e giriş biletinizdir.

Dağıtımı adım adım nasıl yürütürsünüz?

  1. DNS’e dokunmadan önce defaults.exposed üzerinden ücretsiz taramayı çalıştırın. Mevcut politikanızı ve altında SPF ile DKIM’in yerli yerinde olup olmadığını doğrular — zorlamanın durduğu iki bacak.
  2. Henüz izlemeyi açmadıysanız açın. p=none ile rua= yayımlamak, “DMARC policy not enabled” sayfasındaki beş dakikalık adımdır. 2–4 hafta rapor toplayın — aylık fatura çalıştırmaları gibi göndericileri yakalamaya yetecek kadar.
  3. Raporlardaki her kaynağı listeleyin. Göndericileri sizinkiler, satıcılarınız ve bilinmeyen olarak sıralayın. Ham raporlar XML olarak gelir — bir rapor işleme aracı (veya sağlayıcınızın panosu) bunları okunabilir gönderici envanterine dönüştürür.
  4. Her meşru kaynağın hizalı geçmesini sağlayın. İmzaların kendi alan adınızı taşıması için her satıcının özel alan DKIM’ini (genellikle panosunda iki CNAME kaydı) etkinleştirin. Hizalama için DKIM’i tercih edin: yönlendirmeyi atlatır, SPF atlatamaz.
  5. Temiz iki hafta bekleyin. Yalnızca tanımadığınız trafik — engellemek istediğiniz kimlik sahteciliği — başarısız olduğunda aşama 2’den çıkın.
  6. p=quarantine; pct=10’a geçin — mevcut _dmarc TXT kaydını düzenleyin (IONOS DMARC kurulumu çalışılmış örnek için); sözdizime dikkat edin: politika etiketindeki yazım hatası kaydı tamamen geçersiz kılabilir. Raporları ve yardım masası biletlerini izleyerek 2–4 hafta içinde pct’yi 25, 50, 100’e yükseltin. Meşru bir şey spam’e gidiyorsa: pct’yi düşürün, kaynağı düzeltin, devam edin.
  7. pct=100’de 1–2 temiz haftadan sonra p=reject’e geçin. rua=’yı sonsuza dek açık tutun — şirketinizin benimsediği her yeni araç, gelecekteki başarısız bir göndericidir.

pct aslında ne yapar? RFC 7489 inceliği

pct, alıcılardan politikanızı başarısız postaların o yüzdesine uygulamalarını ister. RFC 7489 §6.6.4’teki incelik: örneklenme dışında kalan posta “normal teslim” yerine değil, bir sonraki daha az katı politikaya düşer. p=quarantine; pct=25 altında, diğer %75 p=none olarak değerlendirilir ve teslim edilir. Ancak p=reject; pct=50 altında, diğer %50 teslim edilmez — karantinaya alınır. Nazik bir reddetme yoktur: kaydınız reject dediği anda, zorlayan alıcılarda her başarısız ileti en azından spam’e atılır.

Kasıtlı kullanıldığında bu bir özelliktir — p=reject; pct=1 “neredeyse her şeyi karantinaya al, bir kısmını reddet” gibi davranır; meşru bir son rampadır. İki uyarı: alıcılar örneklemeyi aynı şekilde uygulamamaktadır, bu nedenle pct’yi kaba bir kadran olarak değerlendirin; aşama 4 istikrar kazandıktan sonra etiketi kaldırın (veya pct=100 olarak ayarlayın), böylece kaydınız ne dediğinizi söyler.

Alt alanlar hakkında ne yapmalı — sp= etiketi?

Varsayılan olarak alt alanlar kuruluş alanının politikasını devralır: yourdomain.com’daki p=reject, mail.yourdomain.com’u da kapsar. sp= etiketi, hem yararlı hem de tehlikeli yönlerde ayrışmalarına izin verir. Yararlı: p=quarantine; sp=reject, hiçbir zaman gönderme yapmadığınız alt alanları kilitlerken kökün hâlâ ortasındadır — sahteciler izlenen alanların alt alanlarını kasıtlı olarak hedefler. Tehlikeli: unutulan bir sp=none, altı haftada kazandığınız reject politikasından her alt alanı sessizce muaf tutar. Aşama 4’te kontrol edin; bir alt alanın gerçekten daha gevşek politikaya ihtiyacı varsa hepsini gevşetmek yerine o alt alanda bir _dmarc kaydı yayımlayın.

NIS2, AB işletmelerinin bunu yapması gerektiği anlamına mı geliyor?

DMARC her yerde aynı şekilde çalışır — bu koşu kitabında AB sınırında değişen hiçbir şey yok. Değişen uyumluluk baskısıdır. NIS2 Madde 21(2)(j), kapsam dahilindeki kuruluşların iletişimlerini güvence altına almasını gerektirir; Komisyon Uygulama Tüzüğü (AB) 2024/2690, kapsadığı dijital altyapı kuruluşları için teknik gereksinimleri açıklar — Ek’i (madde 6.7.2(k)) uluslararası alanda kabul görmüş modern e-posta güvenliği standartlarını dağıtmak için bir uygulama planı ister ve madde 6.7.2(l), DNS güvenliği en iyi uygulamalarını gerektirir. Altında SPF ve DKIM olan zorlanan DMARC politikası, kimlik sahteciliği için tanınan denetlenebilir kontroldür; p=none gösterilebilir şekilde izlemedir, güvenlik değil. Müşterileriniz kapsam dahilindeyse, tedarikçi anketleri giderek tam olarak bunu sorar.

Sık sorulan sorular

Tüm dağıtım ne kadar sürer? Altı ila on hafta tipiktir: 2–4 hafta izleme, 1–3 hafta kaynak düzeltme, 2–4 hafta karantina artışı, ardından reddetme. Çalışma değil, takvim zamanıdır — çoğunlukla her değişikliği doğrulayan raporları beklemekle geçer. 2026-06-29 itibarıyla 261,086,232 derecelendirilmiş alanın zorlanan politikası olmayan 89.41%‘si çoğunlukla orta süreçte değil; hiç başlamamış olan.

Karantinayı atlayıp düşük pct ile p=reject kullanabilir miyim? Yapabilirsiniz — RFC 7489 §6.6.4’e göre p=reject; pct=10 %10 reddedilmiş ve %90 karantinaya alınmış demektir; kabaca geç aşama 3. Ama önce p=quarantine hakkında düşünmek daha kolaydır ve alıcılar örnekleme konusunda farklı uyumluluk gösterir. Her durumda aşama 1–2 pazarlık konusu değildir: meşru göndericiler hâlâ başarısız olurken hiçbir zorlama biçimi güvenli değildir.

Düzeltemeyeceğim postalar hakkında ne yapmalıyım — yönlendirme ve posta listeleri? Yönlendirme tasarım gereği SPF’yi bozar ve bazı posta listeleri içeriği yeniden yazarak DKIM’i de bozar. Hizalı DKIM normal yönlendirmeyi atlatır; bu çoğunu kapsar. Küçük artık, karantina aşamasının var olma nedenidir — spam’e alınan postalar kurtarılabilirken değerlendirme yaparsınız. Detaylar: yönlendirilen e-posta SPF’de başarısız olur.

p=quarantine’de durmak yeterli mi? Değerin büyük bölümüdür ve p=none’da bekleyen 37,312,637 alandan (261,086,232 derecelendirilmişten, 2026-06-29 itibarıyla) çok daha iyidir — ama sahte postalar hâlâ insanların balık avladığı spam klasörlerine ulaşır. Reject, bitiş noktasıdır: derecelendirilmiş alanların yalnızca 10.59%‘si zorunlu kılar; bitirmek, kontrol araçlarının, sigortacıların ve anketlerin değer verdiği şeydir.

Sahiplerine raporu gönderin

Bu dağıtımı bir müşteri veya işveren için yürütüyorsanız, bitiş çizgisi gösterilebilir. p=reject çözümlendikten sonra ücretsiz taramayı yeniden çalıştırın ve derecelendirilmiş raporu iletin: zorlanan politikaya geçen alan, tarihli ve sade İngilizce ile. Bu tek sayfa, siber sigorta yenileme ve NIS2 güdümlü tedarikçi anketlerindeki e-posta güvenliği satırını bir DNS panelinin ekran görüntüsünden çok daha iyi yanıtlar — ve altı haftalık dikkatli, görünmez çalışmayı ödeme yapan kişiye görünür kılar.

DMARC politikanızı ücretsiz kontrol edin

Politikanızın şu an ne olduğunu — ve SPF ile DKIM’in zorlamayı taşıyıp taşıyamayacağını — gizli ve yalnızca sahip olarak görün.

Alanınızı kontrol edin → · DMARC’ı düzelt → · “DMARC policy not enabled” — dürüst ilk adım → · Yalnızca toplu veriler. Veriler AB’de depolanır ve işlenir.