Defaults.Exposed › Düzeltmeler › Guides
Biri Alan Adınızdan E-posta Gönderiyor: Acil Müdahale Kılavuzu (2026)
Yayımlanma 2026-07-08
Veriler 2026-06-29 itibarıyla · metodoloji v7. 261 milyon derecelendirilmiş alan adı genelinde toplu sayım verileri. Bkz. nasıl derecelendiriyoruz.
Önce sahte e-postaların tam alan adınızı mı yoksa bir taklitini mi kullandığını kontrol edin; çözümler tamamen farklıdır. Tam etki alanı sahteciliği DNS’te kapatılabilir — ve çoğu alan adı bunu henüz yapmadı: 89.41%‘inin zorlayıcı DMARC politikası yoktur ve 46.4%‘i hiç SPF yayımlamaz; bunlar 261,086,232 derecelendirilmiş alan adını kapsayan Defaults.Exposed sayımından alınmıştır.
Bu bir olay kontrol listesidir: ilk saat — daha da kötüleştirmeden neler olduğunu doğrulayın; ilk gün — açık kapıyı kapatın ya da kapı sizin değilse kaldırma sürecini başlatın; ilk hafta — izleyin, zarar görebilecek kişileri uyarın, uygulayın. Bunun olabilir mi diye merak mı ediyorsunuz? Biri alan adımı taklit edebilir mi? sayfasıyla başlayın — bu sayfa zaten olduğunda içindir.
Önce: gerçekten alan adınız mı, yoksa bir kopya mı?
Sahte e-postalardan birini alın ve gönderici adresini karakter karakter okuyun. Bundan sonraki her şey buna bağlıdır:
| Kimden adresi ne gösteriyor | Ne oluyor | Yolunuz |
|---|---|---|
[email protected] — tam olarak doğru yazılmış alan adınız | Sahtekârlık: yabancı bir sunucu Kimden satırında alan adınızı taklit ediyor. Sistemleriniz SALDIRIYA UĞRAMAMIŞTIR. | DNS düzeltmesi — SPF, DKIM, zorlayıcı DMARC. Yol 1. |
faturalar@sirkteınız.com, sirketiniz-fatura.com, sirketiniz.co — yakın ama sizin değil | Başka birinin kayıt ettirdiği taklit alan adı. DNS’inize hiç bakılmıyor. | Kaldırma + uyarılar. Yol 2. |
| Tam adresiniz ve mesajlar kendi Gönderilmiş klasörünüzde ya da gerçek yazışmalara yanıt veriyor | Hesap ele geçirme — gerçek bir posta kutusunun içinde biri var. Farklı bir olay. | Her şeyden önce şifreyi değiştirin, oturumları iptal edin, 2FA etkinleştirin, yönlendirme kurallarını kontrol edin. |
Veriler 2026-06-29 itibarıyla.
Kalın satır en yaygın ve en çözülebilir olandır. E-postanın temel protokolü hiçbir zaman Kimden satırını doğrulamamıştır — herkes oraya alan adınızı yazabilir — dolayısıyla çözüm, alıcıların kendilerinin kontrol etmesine izin veren DNS kayıtlarını yayımlamaktır. Rahatsız edici sayım rakamları: 261,086,232 derecelendirilmiş alan adının 121,145,609‘i (46.4%) hiç SPF kaydı yayımlamıyor ve SPF yayımlayan 138,927,207 alan adının 36,014‘i +all ile bitiyor — tam anlamıyla internetteki herkesi adlarına posta göndermeye yetkilendiriyor (veri: 2026-06-29).
İlk saat: doğrulayın, tepki vermeyin
- defaults.exposed üzerinden ücretsiz taramayı çalıştırın. Otuz saniye, kayıt gerekmez. DNS’e dokunmadan önce alan adınızın şu an taklit edilebilir olup olmadığını söyler — SPF var ve katı mı değil mi, DMARC zorlanıyor mu değil mi.
- Sahteciye yanıt vermeyin, içindeki hiçbir şeye tıklamayın ve henüz kişilerinize toplu e-posta atmayın. Aynı alan adından gönderilen panikli bir “bizden gelen e-postaları görmezden gelin!” mesajı tıpkı dolandırıcılık gibi okunur. Uyarılar daha sonra, hedefli ve bant dışı gelecek.
- Tam başlıklarıyla birlikte bir örnek toplayın. Bir alıcıdan sahteciliği ek olarak iletmesini isteyin (Gmail: “Orijinali göster” → indir; Outlook: “İleti kaynağını görüntüle”). Kimden satırının ekran görüntüsü yeterli değil — başlıklar bundan sonraki her şeyin kanıtıdır.
- Alıcı sunucunun vardığı kararı okuyun. Başlıklarda
Authentication-Results:satırını bulun — tam alan adınıza karşıdmarc=fail, sizin alan adınızın sahteciliğini doğrular;header.from=içindeki taklit alan adı, Yol 2’yi doğrular. Bir nüans: alıcılar SPF’yi Return-Path alan adına (RFC5321.MailFrom, geri dönüş adresi) karşı değerlendirir, alıcınızın gördüğü Kimden başlığına değil — sahte bir posta, Kimden’de sizin alan adınızı taklit ederken dolandırıcının alan adı için bilespf=passgösterebilir. DMARC’ın hizalama denetimi tam olarak bu boşluğu kapatır.
Yol 1 — tam alan adınızsa: ilk gün
Tam alan adınızı taklit etmek yalnızca DNS’iniz alıcıların onu reddetmesine izin veren hiçbir şey söylemediği sürece işe yarar. Bugün üç kaydı yayımlıyor (veya sıkılaştırıyorsunuz); zorlama bu hafta içinde geliyor.
- SPF: gerçek gönderenleri listeleyen,
-allile biten tek bir kayıt yayımlayın (“diğerleri: başarısız”). Kaydınız+allveya?allile bitiyorsa, önce bunu düzeltin — kendinizin açık bıraktığı bir kapıdır. Yol gösterici: SPF nasıl düzeltilir, sağlayıcı adımları için GoDaddy’de SPF. - DKIM: e-posta sağlayıcınızda ve bülten/fatura araçlarınızda alan adı imzalamayı etkinleştirin (genellikle her biri için birkaç CNAME kaydı).
- DMARC: raporlar akmaya başlasın diye bugün
v=DMARC1; p=none; rua=mailto:...yayımlayın;p=rejectbu saatin değil bu haftanın projesidir — tam başvuru: DMARC nasıl düzeltilir. Alan adı hiç meşru e-posta göndermiyorsa — eski bir marka, park edilmiş alan adı — temkinlilik bir kenara ve bugün kilitleyin: yeniden markalama sürecinizdeki eski alan adı, açık bıraktığınız bir kapıdır.
Rahatlamadan önce dürüst uyarı: Zorlayıcı bir DMARC politikası, alan adı sahteciliğini çöpe atmaları veya reddetmeleri için alıcı sunucuları bilgilendirir — ve büyük sağlayıcılar buna uyar. Ama yalnızca denetleyen alıcıları bağlar ve taklit alan adları konusunda hiçbir işe yaramaz: dolandırıcılar sirketiniz.com adına gönderemeyince sirketiniz-fatura.com kayıt ettirmek birkaç euro’ya mal olur. DMARC saldırıyı küçültür; hikâyeyi bitirmez — ilk hafta adımları sizin için de önemlidir.
Yol 2 — taklit alan adıysa: bu bir DNS düzeltmesi değil
Alan adınızda yayımladığınız hiçbir kayıt, sahip olmadığınız bir alan adından gelen postayı etkilemez — DNS’inizde hiçbir şeye bakılmaz bile. Strateji, kaldırma ve uyarıdır:
- Taklidin arkasında kimin olduğunu bulun. Kayıt şirketini bulmak için RDAP/WHOIS’te (örn.
lookup.icann.org) aratın ve bir web sitesi barındırıp barındırmadığını kontrol edin. - Kayıt şirketinin kötüye kullanım iletişim adresine tam başlık örneğini ekleyerek bildirin — kayıt şirketleri her gün kimlik avı alan adlarını askıya alır; net kanıt işlemi hızlandırır. Kimlik avı sitesi mi var? Barındırıcıya, Google Safe Browsing’e ve Microsoft SmartScreen’e de bildirin.
- E-postaları alıcı posta kutularında kimlik avı olarak raporlayın (Gmail/Outlook “Kimlik avı bildir”) — bu, büyük filtreleri taklit alan adına karşı herhangi bir mektuptan daha hızlı eğitir.
- Muhtemel hedefleri bant dışı uyarın — paranın hesaplara geçişini gerçekten durduran adım. Müşterilere, tedarikçilere ve muhasebeciye telefon veya mesajla (yalnızca e-postayla değil) ulaşın: sahte alan adını adlandırın ve “sizden gelen” banka detayı değişikliklerini telefon üzerinden doğrulanabilir kılın. Bu alışkanlık, duyduğunuz fatura dolandırıcılığı hikâyesine karşı en iyi savunmadır.
- Taklit alan adı ticari markanızı kötüye kullanıyorsa, bir UDRP şikâyeti alan adını devredebilir — kaldırmadan daha yavaş, ama kalıcı.
Ve Yol 1’i de uygulayın: saldırganlar gerçek alan adı hâlâ açıkken taklit bir alan adıyla nadiren uğraşır ve 89.41%‘inin zorlayıcı DMARC’ı yoktur (yalnızca 261,086,232‘nin 27,640,987‘i — 10.59% — 2026-06-29 itibarıyla vardır). Kendi kapınızı her halükârda kapatın.
İlk hafta: izleyin, uyarın, uygulayın
- DMARC raporlarınızı okuyun.
rua=etiketi yayınlanınca bir iki gün içinde toplu raporlar, alan adınız adına gönderen her sunucuyu — gerçeklerinizi ve sahtecileri, hacimleri ve kararlarıyla birlikte — gösterir. Saldırının ölmesini bu şekilde izlersiniz. - Meşru gönderenlerin geçtiğini doğrulayın. Her gerçek kaynak (posta sağlayıcı, bülten aracı, fatura uygulaması, web sitesi iletişim formu), siz zorlama yapmadan önce alan adınıza hizalı olarak SPF veya DKIM’ı geçirmelidir — aksi hâlde reject politikası kendi postanızı da engeller.
- DMARC’ı
p=quarantineardındanp=rejectpolitikasına alın. Aktif sahtekârlık altında olağan ayları bir iki haftaya sıkıştırırsınız — ama aşamaları sıkıştırırsınız, atlamazsınız. Aşamalı dağıtım,pctrampası ve alt alan adı politikası: meşru e-postayı kaybetmeden p=none’dan p=reject’e. - Sahte e-posta almış olabilecek muhataplara sakin, hedefli bir bildirim gönderin: ne olduğunu, sahtecinin ne istediğini, ödeme değişiklikleri için telefon doğrulama kuralını ve (Yol 2) engellenecek tam taklit alan adını.
- Yeniden tarayın ve raporu saklayın. Sigortacılar ve müşteriler giderek e-posta güvenliği konusunda ne yaptığınızı soruyor; tarihli, derecelendirilmiş bir rapor yazılı olarak yanıt veriyor.
Sık sorulan sorular
Kendi adresimden gelen bir dolandırıcılık e-postası aldım. Saldırıya mı uğradım? Neredeyse her zaman hayır — “sizden, size” şantaj postası, alan adınızın sahte e-postaları reddetmediği gerçeğini istismar eden aynı sahtekârlık hilesir. Gönderilmiş klasörünüzü ve son girişleri kontrol edin; temizse, bu bir sahtekârlıktır ve zorlayıcı bir DMARC politikası bunu onurlandıran alıcılarda bu türü durdurur. 2026-06-29 itibarıyla 261,086,232 derecelendirilmiş alan adının 89.41%‘i bunu yapmamıştır.
DMARC taklit alan adı e-postalarını durdurur mu? Hayır. DMARC politikanız yalnızca tam alan adınızı (ve alt alan adlarını) yönetir — taklit, kendi DNS’iyle başkasının alan adıdır, kayıtlarınıza karşı hiç kontrol edilmez. Taklit alan adları DNS değil, kayıt şirketi kötüye kullanım bildirimleri, kimlik avı raporları ve muhatap uyarılarıyla mücadele edilir.
p=reject sahtekârlığı ne kadar hızlı durduracak? DNS değişiklikleri saatler içinde alıcılara ulaşır ve Gmail, Outlook ile çoğu büyük sağlayıcı DMARC kararlarını uygular — tam etki alanı sahtekârlıkları politika yürürlüğe girdiği gün ölmeye başlar. İki dürüst sınır: DMARC’ı hiç kontrol etmeyen küçük alıcılar sahtecileri iletmeye devam edebilir ve kendi gönderenleri hizalamamışken zorlamak meşru postanızı engeller — aşamaları hızlandırın, atlamayın.
Raporu sahibine gönderin
Bu konuyu yöneten BT danışmanıysanız: kayıtlar yayınlanınca taramayı yeniden çalıştırın ve derecelendirilmiş raporu işletme sahibine iletin. Açık dille sahtekârlığa neyin izin verdiğini, neyi değiştirdiğinizi ve alan adının şu an nerede durduğunu gösterir — “şimdi güvende miyiz?” sorusuna yazılı yanıt ve sigorta yenileme veya müşteri anketi için kanıt. Sahibiyseniz: tam olarak o raporu isteyin ve öncesi-sonrası belgelerini saklayın.
Alan adınızın taklit edilebilir olup olmadığını ücretsiz kontrol edin
Yabancı bir sunucunun şu an sizin yerinize geçip geçemeyeceğini — ve tam olarak ne düzeltileceğini — gizlilik içinde ve yalnızca sahibine görünür şekilde öğrenin.
Alan adınızı kontrol edin → · p=none’dan p=reject’e → · DMARC düzelt → · Biri alan adımı taklit edebilir mi? → · Yalnızca toplu veriler. Veriler AB’de depolanır ve işlenir.