Defaults.Exposed › Düzeltmeler › Guides
Yeni Alan Adında E-posta Kurulumu: 20 Dakikalık SPF, DKIM ve DMARC Kontrol Listesi (2026)
Yayımlanma 2026-07-08
Veriler 2026-06-29 itibarıyla · metodoloji v7. 261 milyon derecelendirilmiş alan adı genelinde toplu sayım verileri. Bkz. nasıl derecelendiriyoruz.
Yeni bir alan adının ilk e-postadan önce dört şeye ihtiyacı var: temel çizgi taraması, gerçek sağlayıcınızı belirten tek bir SPF kaydı, özel alan adı DKIM imzalama ve ilk günden itibaren raporlaması olan bir DMARC kaydı. Çoğu alan adı buna hiç ulaşamıyor — Defaults.Exposed sayımına (2026-06-29 itibarıyla) göre 261,086,232 derecelendirilmiş alan adının 46.4%‘inin (121,145,609‘inin) hiç SPF’si yok.
Her şeyi yayımlamak yaklaşık 20 dakika sürer: temel çizgi için tarayın, tek bir SPF kaydı ekleyin, sağlayıcınızın özel alan adı DKIM’ini etkinleştirin, raporlama adresiyle DMARC p=none yayımlayın, isteğe bağlı olarak MTA-STS ekleyin, ardından yeniden tarayıp raporu saklayın. Daha uzun süren şey, hiçbir kontrol listesinin acele ettiremeyeceği şeydir — DNS yayılımı ve gönderme itibarı — ve bu kılavuz her ikisi konusunda dürüsttür.
20 dakika gerçekten yeterli mi?
Kayıtları yayımlamak için evet — aşağıdaki her adım, bir DNS girişi ve sağlayıcınızın yönetici konsolunda birkaç tıklamadır. İki şey daha uzun sürer ve aksini iddia etmek yeni alan adlarının spam’a düşmesine neden olur:
- Yayılım. Yeni kayıtlar genellikle dakikalar içinde çözümlenir; ancak çözücüler TTL’ye göre önbelleğe alır ve yeni delege edilmiş bir alan adının tutarlı yanıt vermesi saatler alabilir.
digile doğrulayın; önbellekler yetişirken panikle düzenleme yapmayın. - Isınma. Yeni bir alan adının sıfır gönderme itibarı vardır ve kimlik doğrulama, itibarın ön koşuludur, yerine geçmez değil. Düşük, insani ölçekte hacimle başlayın ve haftalar içinde kademeli olarak artırın.
Dürüst iddia: 20 dakika doğru yayımlanmış kimlik doğrulamayı satın alır. Sonraki birkaç haftalık makul gönderme, teslim edilebilirliği satın alır.
20 dakikalık kontrol listesi
- Önce defaults.exposed üzerinden ücretsiz taramayı çalıştırın. DNS’e dokunmadan önce yeni alan adını tarayın. Derecelendirilmiş “hiçbir şey yapılandırılmamış” temel çizgisi saniyeler içinde kaydedilir ve sonraki raporu anlamlı kılar — öncesi-sonrası çiftini isteyeceksiniz (6. adım).
- Gerçek sağlayıcınız için tek bir SPF kaydı yayımlayın.
v=spf1ile başlayan tam olarak bir TXT kaydı — örneğin Google Workspace içinv=spf1 include:_spf.google.com ~allveya Microsoft 365 içininclude:spf.protection.outlook.com; DNS kayıt şirketinin panelindeyse, GoDaddy kılavuzu arayüz nüanslarını ele alır. Yalnızca bir kayıt: ikiv=spf1kaydı, SPF’yi tamamen geçersiz kılan kalıcı bir hatadır — SPF’yi deneyen alan adlarından 1,013,416‘inin (SPF denemelerinin yaklaşık her 138‘inde birinin) takılı kaldığı durum (2026-06-29 itibarıyla sayım), genellikle bir sağlayıcı geçiş artığıdır. “Sadece ihtimale karşı” include eklemeyin: SPF DNS aramalarını 10’da sınırlar ve en az 797,263 alan adı bu sınırı aşarak kaydını geçersiz kıldı. SPF’nin gerçekte ne kontrol ettiğini de bilin: alıcılar onu alıcıların gördüğü Kimden başlığına değil Return-Path (RFC5321.MailFrom) alan adına — geri dönüş adresine — karşı değerlendirir. - Özel alan adı DKIM imzalamayı etkinleştirin. Sağlayıcınız postaları her halükârda imzalar; soru, imzanın hangi alan adını belirttiğidir. Bu adımı tamamlayana kadar Google Workspace varsayılan
gappssmtp.comile, Microsoft 365 iseonmicrosoft.comile imzalar — DKIM’ı geçiren ama alan adınızla hizalanmayan imzalar, dolayısıyla DMARC hâlâ başarısız. Yönetici konsolunda anahtarı oluşturun ve sağlayıcının size verdiğini yayımlayın: Google için 2048 bitlik bir TXT kaydı, Microsoft 365 için iki CNAME (selector1/selector2). Bir kayıt DNS panelinize sığmıyorsa, DKIM düzelt sayfasına bakın — arayüzler tarafından bozulan uzun anahtarlar klasik bir sorundur. - DMARC’ı ilk günden yayımlayın — raporlama adresiyle
p=none._dmarc.alanadi.comkonumunda tek bir TXT kaydı:v=DMARC1; p=none; rua=mailto:[email protected]. Bunun ne yaptığı konusunda net olun:p=nonehenüz hiçbir şeyi korumaz — izleme modudur. Ama hiçbir şeye mal olmaz ve toplu raporlar alan adınızın gönderme geçmişini ilk mesajdan itibaren kapsar. Yerleşik alan adları yalnızca unuttukları gönderenleri keşfetmek için haftalar harcıyor; siz bu görünürlüğü sıfırıncı günden ücretsiz satın alıyorsunuz. Kayıt anatomisi için DMARC düzelt sayfasına bakın. - Yeni alan adında isteğe bağlı ama ucuz: MTA-STS ve TLS-RPT. MTA-STS, gönderen sunuculara alanınızın gelen posta için TLS gerektirdiğini söyler (bir DNS kaydı artı küçük bir barındırılan politika dosyası); TLS-RPT, teslimat şifreleme hatalarını raporlar. Yerleşik bir alan adında bunlar özen gerektirir; tek posta sağlayıcısı olan yeni bir alan adında bozacak hiçbir şey yoktur ve
mode: testingneredeyse risksizdir. Şimdi kurun veya atlayın — ama karar verin, sürüklenmeyin. - Yeniden tarayın ve raporu saklayın. Taramayı tekrar çalıştırın — SPF, DKIM ve DMARC hepsinin yeşil göstermesi gerekiyor. Derecelendirilmiş raporu kaydedin: başlangıçta alan adının durumunun tarihli kanıtı; sigortacı veya müşteri anketinin soracağı tam şey budur.
Bu kontrol listesini kaç alan adı gerçekten tamamlıyor?
Çok azı — ve çoğu ilk engelde takılıyor. 2026-06-29 itibarıyla Defaults.Exposed sayımında derecelendirilen 261,086,232 alan adının:
| Kontrol listesi kilometre taşı | Sayım gerçekliği (2026-06-29 itibarıyla 261,086,232 derecelendirilmiş alan adından) |
|---|---|
| 2. Adım — herhangi bir SPF kaydı yayımla | 46.4% hiç yapmıyor: 121,145,609 alan adının hiç SPF’si yok |
| 4. Adım ve sonrası — zorlayıcı politikada DMARC | 10.59% (27,640,987 alan adı); 89.41%‘inin zorlayıcı politikası yok |
| Tam üçlü — SPF + DKIM + zorlayıcı DMARC | 3.87% (10,092,481 alan adı) |
Bu sayfanın anlattığı 20 dakika, tam üçlü konusunda yeni bir alan adını internetin yaklaşık 96%‘inin önüne koyar. SPF benimseme olgunluk modeli, o merdivenin her basamağını ayrıntılı olarak ele alır.
Yeni bir alan adı p=reject’e ne kadar hızlı ulaşabilir?
Aylar değil haftalar — sıfırdan başlamanın gerçek avantajı. DMARC zorlamasını yerleşik alan adlarında yavaşlatan şey mirastır: unutulmuş CRM bağlayıcısı, 2019’da birinin kurduğu fatura aracı, kimsenin belgelemediği bülten platformu. Her birinin raporlarda bulunması ve politika sıkılaştırılmadan önce düzeltilmesi gerekiyor — dolayısıyla standart aylarca süren dağıtım.
Yeni bir alan adının miras göndereni yoktur: her gönderme kaynağını bu hafta siz yapılandırdınız ve 4. adımın raporları bunu doğrulayacak. Gerçek göndermeden iki ila dört hafta p=none çalıştırın, raporların gerçekten kullandığınız her şeyi kapsadığını kontrol edin (posta kutuları, faturalar, makbuzlar, web sitesinin iletişim formu), ardından temiz çalışınca p=quarantine’e ve p=reject’e geçin. Aşamalı mekanikler — pct rampaları, alt alan adı politikası, izlenecekler — p=none’dan p=reject’e kılavuzundadır; yeni bir alan adında, derecelendirilmiş alan adlarının yalnızca 10.59%‘inin ulaşabildiği bir noktaya hızla ilerliyorsunuz.
Peki ya değiştirdiğiniz eski alan adı?
Bu yeni alan adı bir yeniden markalamanın parçasıysa, geride bıraktığınız alan adı artık en büyük e-posta riskinizdir: hâlâ sizin, hâlâ muhataplar tarafından güvenilen, artık izlenmeyen. Onu terk etmeyin — açıkça kilitleyin. Bu kendi başına kısa bir iştir: yeniden markalamadan kalan eski alan adı, açık bıraktığınız bir kapıdır.
Sık sorulan sorular
Bu kayıtları posta sağlayıcısı seçmeden önce yayımlayabilir miyim?
DMARC için evet — p=none ve rua sağlayıcıdan bağımsızdır, dolayısıyla alan adını kayıt ettirdiğiniz gün yayımlayın. SPF, sağlayıcınızın include mekanizmasına ihtiyaç duyar; birini seçene kadar v=spf1 -all yayımlayın (göndermeye yetkili kimse yoktur) ve 2. adımda değiştirin. Bu, 121,145,609 alan adının (261,086,232 derecelendirilmişin 46.4%‘i, 2026-06-29 itibarıyla) içinde bulunduğu kayıtsız durumdan kesinlikle iyidir.
SPF zaten geçiyorsa DKIM’a ihtiyacım var mı? Evet. SPF, tasarım gereği yönlendirme altında bozulur ve pek çok araç için sizin alan adınız olmayan Return-Path alan adını doğrular — hizalanmış DKIM, her ikisinden de sağ çıkan bileşendir. Derecelendirilmiş alan adlarının yalnızca 3.87%‘i tam SPF+DKIM+zorlayıcı DMARC üçlüsünü tamamlar (2026-06-29 itibarıyla sayım); DKIM, çoğunun bıraktığı adımdır. Tarama bunu işaretlerse DKIM düzelt sayfasından başlayın.
Yeni alan adı ~all mı -all mi kullanmalı? Yerleşik bir alan adında, unutulmuş gönderenleri bulurken ~all temkinli seçimdir. Yeni bir alan adının bulacağı kimse yoktur: sağlayıcının include mekanizması yerindeyken ve DKIM imzalanırken, -all çok daha erken güvenlidir. Ekstra güvence ister misiniz? Önce iki temiz haftalık DMARC raporunu doğrulayın.
Üç kayıt da geçiyor — postam neden hâlâ spam’a düşüyor? Çünkü kimlik doğrulama ve itibar farklı şeylerdir: geçen kayıtlar alıcıların postanın size ait olduğunu doğrulayabileceği anlamına gelir, sizi henüz güvendikleri anlamına gelmez. Yeni alan adları tutarlı, istenen, düşük hacimli posta göndererek ve kademeli olarak artırarak güven kazanır. Posta kontrolleri geçemiyorsa spam’a düşmek yerine, SPF düzelt sayfasından başlayın ve tarama sonuçları üzerinde ilerleyin.
Raporu sahibine gönderin
Bu alan adını bir müşteri için kuruyorsanız, işi kanıtla kapatın. 6. adımdan sonra ücretsiz taramayı yeniden çalıştırın ve derecelendirilmiş raporu işletme sahibine iletin: SPF, DKIM ve DMARC geçiyor, açık dilde, başlangıçta tarihlenmiş. Sigorta yenileme ve bir sonraki tedarikçi güvenlik anketi için ihtiyaç duyacakları belge — ve alan adının internetin 96%‘inin hiç başaramadığı şekilde başladığını kanıtlıyor.
Alan adınızı kontrol edin → · Meşru e-postayı kaybetmeden p=none’dan p=reject’e → · Yalnızca toplu veriler. Veriler AB’de depolanır ve işlenir.