SPF/DKIM/DMARC Hizalama (Alignment) Sorunları ve Çözümleri

SPF kaydınız var, DKIM imzanız var, DMARC kaydı yayınlanmış. Ama mesajlarınız hâlâ spam’e düşüyor veya DMARC raporlarında “fail” görüyorsunuz. Bu durumun en yaygın sebebi, çoğu yöneticinin gözden kaçırdığı bir kavramdır: domain alignment (hizalama).

Bu rehberde alignment’ın ne olduğunu, neden DMARC’ın özünü oluşturduğunu, SPF ve DKIM alignment arasındaki farkı, en sık karşılaşılan hizalama sorunlarını ve çözümlerini adım adım anlatacağız.

Alignment Nedir?

DMARC, SPF veya DKIM’in “geçtiği” mesajları kabul etmez. Hizalanmış şekilde geçen mesajları kabul eder. Yani SPF/DKIM teknik olarak pass alabilir ama, doğrulanan domain From: header’ındaki domain ile uyuşmuyorsa DMARC başarısız sayar.

Basit bir örnek:

• From: header’ı: info@sirketim.com
• SPF doğrulanan domain (MailFrom / Return-Path): bounce@bouncer.servisim.com

SPF teknik olarak pass alabilir (bouncer.servisim.com’un SPF’i doğru), ama sirketim.com ≠ bouncer.servisim.com olduğu için SPF alignment fail. DMARC bu mesajı başarısız sayar.

Kısacası alignment, “doğrulamayı geçen domain ile From’da görünen domain aynı mı?” sorusunun cevabıdır.

SPF Alignment vs DKIM Alignment

SPF Alignment

SPF alignment, mesajın Return-Path (MailFrom) domain’i ile From: header domain’inin eşleşmesini ister.

• Strict alignment: tam eşleşme (örnek: ikisi de sirketim.com)
• Relaxed alignment (varsayılan): aynı organizational domain yeterli (örnek: mail.sirketim.com ile sirketim.com hizalanır)

DMARC kaydında aspf=r (relaxed, default) veya aspf=s (strict) ile kontrol edilir.

DKIM Alignment

DKIM alignment, DKIM imzasındaki d= tag’inin From: header domain’iyle eşleşmesini ister.

• Strict alignment: tam eşleşme
• Relaxed alignment (varsayılan): aynı organizational domain yeterli

DMARC kaydında adkim=r (relaxed) veya adkim=s (strict) ile kontrol edilir.

DMARC Pass Şartı

DMARC’tan geçmek için SPF veya DKIM’den en az biri:

1. Teknik olarak pass almalı, VE
2. Hizalanmış olmalı.

Yani ikisi de pass alıyor ama ikisi de align değilse, mesaj DMARC’tan başarısız geçer.

En Yaygın Alignment Sorunları

1. ESP’lerin Default “Bounce” Domain’i (En Sık)

SendGrid, Mailgun, Amazon SES gibi servisler default’ta kendi domain’lerini Return-Path olarak kullanır:

• From: info@sirketim.com
• Return-Path: bounces+xyz@sendgrid.net

SPF pass alır (sendgrid.net’in SPF’i doğru) ama alignment fail.

Çözüm: ESP’de “custom return path” veya “sender authentication” ayarını yapın. Genelde alt domain olarak yapılandırılır:

• SendGrid: em.sirketim.com CNAME → sendgrid.net
• Mailgun: mg.sirketim.com alt domain’i
• Amazon SES: Custom MAIL FROM domain ayarı

Böylece Return-Path bounce@em.sirketim.com olur, sirketim.com ile aynı organizational domain’de bulunur, relaxed alignment’tan geçer.

2. DKIM İmzası ESP Domain’iyle

Aynı şekilde DKIM imzası ESP’in default domain’iyle yapılırsa:

• From: info@sirketim.com
• DKIM d=: sendgrid.net

DKIM pass alır ama align fail.

Çözüm: ESP’nin sunduğu DKIM kayıtlarını sirketim.com altında yayınlayın (genelde 2-3 CNAME kaydı verilir). DKIM artık d=sirketim.com ile imzalanır, alignment çalışır.

3. Forwarding (Yönlendirme)

Bir kullanıcı mesajınızı başka adrese forward ederse:

• Return-Path değişir (forward eden sunucu)
• SPF muhtemelen fail veya alignment fail
• DKIM imza genelde korunur, hâlâ pass (mesaj değiştirilmediyse)

Bu yüzden DKIM, forwarding altında SPF’den daha güvenilirdir. DMARC pass için DKIM’in çalışması yeterlidir.

DMARC p=reject‘e geçmeden önce DKIM alignment’ı kesin çalıştığından emin olun.

4. Mailing List’ler (Tartışma Grupları)

Mailing list yazılımları (Mailman, Discourse) genelde:

• From’u list adresine değiştirir (Author Munging)
• Subject’a [LIST] ekler — DKIM’i kırar
• Return-Path’i kendi domain’ine atar

Sonuç: hem SPF hem DKIM alignment fail. DMARC p=reject kullanıyorsanız mailing list’leriniz reddedilir.

Çözüm: Mailing list yöneticileri From rewrite uygulamalıdır (mesajların From’u list adresine değişir, kişinin gerçek adı subject’a veya gövdeye taşınır). Modern mailing list yazılımları bunu otomatik yapar.

5. Birden Fazla Alt Domain Karmaşası

From: info@subsidiary.sirketim.com ama DMARC kaydı sadece sirketim.com’da. Subsidiary’nin kendi DMARC’ı yoksa:

• DMARC organizational domain (sirketim.com) politikasına bakar
• SPF/DKIM alignment sp= (subdomain policy) ile yönetilir

Eğer sp=reject yayınladıysanız ama alt domain’lerinizden mail gönderiyorsanız, hepsi reject olabilir. Dikkatli olun.

Alignment’ı Nasıl Test Ederim?

1. DMARC Raporlarınızı Okuyun

Aggregate raporlarda policy_evaluated kısmı dkim ve spf sonuçlarını gösterir. Eğer pass ama disposition fail görüyorsanız, alignment sorunu vardır. DMARC raporları okuma rehberimize bakın.

2. Test Mesajı Gönderin ve Header’ı İnceleyin

Gmail’e bir test mesajı gönderin, “Orijinali göster” ile başlığı alın, RBL Watch E-posta Başlık Analizi aracına yapıştırın. SPF/DKIM/DMARC sonuçlarını anında görürsünüz.

3. DKIM Anahtarınızı ve SPF Kaydını Doğrulayın

• SPF kontrol
• DKIM kontrol
• DMARC kontrol

Doğru Alignment’a Kavuşmak İçin Kontrol Listesi

1. Tüm gönderim kaynaklarınızı listeleyin (transactional sunucu, ESP, marketing platform, bordro yazılımı vb.).
2. Her birinin Return-Path domain’i sirketim.com veya alt domain’inde mi kontrol edin.
3. Her birinin DKIM imzası d=sirketim.com veya alt domain mi kontrol edin.
4. ESP’lerde “custom domain” veya “sender authentication” yapılandırmasını tamamlayın.
5. Mailing list kullanıyorsanız “From rewrite” aktif mi doğrulayın.
6. DMARC raporlarını 2-4 hafta izleyin, alignment fail oranını %0’a düşürün.
7. Sonra p=quarantine; pct=25 → pct=100 → p=reject kademeli geçiş yapın.

Sıkça Sorulan Sorular

Strict mi relaxed alignment mı kullanmalıyım?

Çoğu durumda relaxed (varsayılan) yeterlidir ve esneklik sağlar. Strict alignment (aspf=s, adkim=s) yalnızca alt domain’lerinizden bağımsız mail göndermeyen, çok kontrollü kurumsal yapıda anlamlıdır.

Hem SPF hem DKIM alignment çalışmalı mı?

Hayır. DMARC için en az biri yeterlidir. DKIM alignment’a öncelik verin çünkü forwarding altında bile çalışır.

SPF’im 10 DNS lookup limitine takılıyor, ne yapmalıyım?

SPF’inizdeki include’ları azaltın, ip4/ip6 ile düz IP listesine geçin (DNS lookup’a sayılmaz). SPF Kayıt Oluşturucu bu konuda yardımcı olur.

DKIM rotasyonu alignment’ı bozar mı?

Hayır. Eski selector’ı silmeden yeni selector’ı yayınlayın, 1-2 hafta paralel çalıştırın, sonra eskiyi kaldırın. d= domain’i değişmediği sürece alignment etkilenmez.

Sonuç

Alignment, DMARC’ın görünmeyen ama en kritik parçasıdır. SPF ve DKIM teknik olarak pass alsa bile, doğru hizalanmamışsa mesajlarınız spam’e düşer veya p=reject ile birlikte reject edilir. Önce raporlarınızı okuyun, ESP’lerinizde custom domain’leri yapılandırın, mailing list davranışını kontrol edin. Birkaç hafta sistemli çalışmayla DMARC pass oranınız %99+’a çıkacak ve domain’iniz spoofing’e karşı tamamen kapanacaktır.

E-posta teslimat sağlığınızı 360° görmek için IP kara liste kontrolü ile DMARC izlemeyi birlikte kullanın — birlikte tüm teslimat sorunlarını teşhis ederler.