RBL Watch blog görseli — e-posta güvenliği ve IP kara liste

DMARC Raporları Nasıl Okunur? Aggregate ve Forensic Rehberi

yazar

DMARC kaydı yayınladınız, e-postalarınız Gmail’e ve Outlook’a güzelce ulaşıyor. Peki ya bilmeden kandırılan e-postalarınız? Ya da SPF’ten geçmesine rağmen DMARC’ta başarısız olan otomatik bildirimleriniz? Bu sorunların tek cevabı DMARC raporlarını okumaktır.

Bu rehberde DMARC raporlarının iki türünü (Aggregate ve Forensic), XML yapısını, hangi araçlarla parse edebileceğinizi ve hangi sinyallerin acil müdahale gerektirdiğini adım adım anlatacağız.

DMARC Raporları Nedir, Neden Önemlidir?

DMARC kaydınızdaki rua= ve ruf= alanları, dünyadaki alıcı sunucuların size geri bildirim göndermesini sağlar. Her gün Gmail, Microsoft, Yahoo, Apple ve diğer büyük sağlayıcılar, sizin domain’inizden iddia eden tüm e-postaları DMARC kontrolünden geçirir ve sonuçları size raporlar.

Bu raporlar olmadan:

  • Kim domain’inizi spoof ediyor (taklit ediyor) bilemezsiniz.
  • Hangi meşru servislerinizin (ESP, transactional sunucu) DMARC’tan başarısız geçtiğini göremezsiniz.
  • DMARC politikasını p=none‘dan p=quarantine veya p=reject‘e güvenle yükseltemezsiniz.

Kısacası, DMARC raporları e-posta domain’inizin radar ekranıdır.

İki Tip DMARC Raporu: Aggregate (RUA) ve Forensic (RUF)

1. Aggregate Report (RUA) — Günlük Özet

Aggregate rapor, alıcı sunucunun belirli bir süre (genelde 24 saat) içinde sizin domain’inizden gördüğü tüm e-postaların özet halidir. XML formatında gelir ve şunları içerir:

  • Source IP: hangi IP adresinden e-posta geldi
  • Message count: o IP’den kaç mesaj geldi
  • SPF / DKIM sonuçları: pass veya fail
  • Alignment sonucu: domain hizalaması başarılı mı
  • DMARC disposition: alıcı ne yaptı (none/quarantine/reject)

Tipik bir Aggregate XML şöyle görünür:

<record>
  <row>
    <source_ip>192.0.2.50</source_ip>
    <count>142</count>
    <policy_evaluated>
      <disposition>none</disposition>
      <dkim>pass</dkim>
      <spf>pass</spf>
    </policy_evaluated>
  </row>
  <identifiers>
    <header_from>sirketim.com</header_from>
  </identifiers>
  <auth_results>
    <dkim>
      <domain>sirketim.com</domain>
      <result>pass</result>
    </dkim>
    <spf>
      <domain>sirketim.com</domain>
      <result>pass</result>
    </spf>
  </auth_results>
</record>

Bu kayıt size diyor ki: “192.0.2.50 IP’sinden 142 mesaj geldi, hepsi SPF ve DKIM’den geçti, DMARC sonucu none (politika uygulanmadı), header from sirketim.com idi.”

2. Forensic Report (RUF) — Tekil Hata Detayı

Forensic rapor, DMARC’tan başarısız olan tekil mesajların daha detaylı kopyasıdır. Aggregate gibi özet değil, mesajın orijinal başlığını ve gövdesini içerir.

Yararlıdır ama dezavantajları vardır:

  • KVKK/GDPR riski (kişisel veri içerir — alıcı/gönderici adresleri)
  • Çoğu büyük sağlayıcı (Gmail dahil) forensic rapor göndermez
  • Yüksek hacimde sunucunuza yük bindirebilir

Pratik öneri: RUF kullanmayın, RUA odaklanın. Aggregate raporlar %95 ihtiyacınızı karşılar.

DMARC Raporlarını Hangi Araçlarla Okuyabilirim?

XML manuel okumak pratik değil. Şu üç yaklaşımdan birini seçin:

1. SaaS Dashboard’lar (En Kolay)

  • DMARCian: Endüstri standardı. Ücretsiz tier var (10K mesaj/ay).
  • Postmark DMARC Digests: Tamamen ücretsiz, haftalık özet e-postası gönderir.
  • EasyDMARC: Türkçe arayüz, ücretsiz tier.
  • Valimail: Kurumsal odaklı, BIMI hazır.

Bu araçlara rua=mailto:rapor@aracadres.com şeklinde adres verilir, raporlar oraya akar ve siz dashboard üzerinden grafik/tablo formatında görürsünüz.

2. Self-hosted Parser’lar

  • parsedmarc (Python): açık kaynak, Elasticsearch/Splunk entegrasyonu
  • dmarc-srg (PHP): ücretsiz web arayüzü

Veri sahipliği önemliyse kendi sunucunuzda çalıştırın. KVKK/GDPR uyumu için tercih edilir.

3. Manuel XML İnceleme

Küçük ölçek için işe yarar. XML dosyasını açın, source_ip + dkim + spf üçlüsünü tarayın. Pas sonuçlar normal, başarısızlıkları soruşturun.

Raporlarda Hangi Sinyaller Acil Müdahale İster?

🔴 Bilinmeyen IP + DMARC fail

Sizin altyapınızda olmayan bir IP’den, sizin domain’inizden mesaj geliyorsa ve DMARC’tan başarısız oluyorsa — bu spoofing. Domain’iniz kötüye kullanılıyor. p=quarantine veya p=reject‘e geçmeden önce bu IP’leri ya whitelist edin ya da kaynaklarını araştırın.

🟡 Bilinen IP + SPF pass + DKIM fail

Genelde forwarding (e-posta yönlendirme) sorunu. Bir kullanıcının mesajınızı forward etmesi DKIM’i bozar ama SPF korunur (eğer ARC varsa). Yaygındır, kritik değildir.

🟡 Bilinen IP + alignment fail

SPF veya DKIM teknik olarak geçiyor ama alignment’ta başarısız oluyor. Yani d= veya MailFrom domain’i, From: header’daki domain ile eşleşmiyor. ESP’lerde sık görülür (örneğin SendGrid’in default config’i). Çözüm: domain alignment’ı düzeltin.

🟢 100% pass — Hedef

Tüm meşru sunucularınız %95+ pass oranı veriyorsa, p=quarantine‘a yükseltebilirsiniz. %99+ ise p=reject‘e geçebilirsiniz.

Önerilen DMARC İzleme Workflow’u

  1. Hafta 1-2: p=none; rua=mailto:dmarc@sirketim.com; yayınla, raporları topla.
  2. Hafta 3-4: DMARCian benzeri araçta raporları incele, tüm meşru gönderim kaynaklarını listeyile.
  3. Hafta 5-6: Eksik SPF include’ları ve DKIM yapılandırmaları tamamla. Tüm kaynaklar pass alana kadar tekrar et.
  4. Hafta 7+: Pass oranı %95’i geçince p=quarantine; pct=25‘e geç. Yavaş yavaş pct=100‘e çıkar.
  5. 3 ay sonra: p=reject‘e geçiş. Domain’iniz artık spoof edilemez.

Sıkça Sorulan Sorular

DMARC raporu almıyorum, sorun ne?

İlk 24-72 saat içinde rapor gelmiyorsa: DMARC kontrol aracımızla kaydınızı doğrulayın, rua= alanında geçerli bir e-posta adresi olduğundan emin olun. Ayrıca o adresi alan posta sunucusunda DMARC raporlarının spam’e düşmediğini kontrol edin (raporlar çoğu zaman generic adresler kullanır).

Farklı domain’lere rua= gönderebilir miyim?

Evet, ama external destination authorization gerekir. Eğer rua=mailto:dmarc@baska-sirket.com diyorsanız, baska-sirket.com’un DNS’inde sirketim.com._report._dmarc.baska-sirket.com kaydı olmalı (DNS TXT). DMARCian gibi SaaS’lar bunu otomatik yönetir.

RUA ile RUF arasındaki fark nedir?

RUA günlük özet (aggregate, XML), RUF tekil başarısız mesajın detayı (forensic). Pratikte RUA yeterlidir; çoğu büyük sağlayıcı RUF göndermez. KVKK/GDPR nedeniyle RUF kullanılması da önerilmez.

DMARC raporlarını e-postayla almak istemiyorum, alternatif?

RUA adres olarak bir SaaS hizmetinin adresini (örn. DMARCian veya EasyDMARC) verin, raporlar oraya akar ve siz dashboard üzerinden grafik halinde görürsünüz. Kendi sunucunuza hiç ulaşmaz.

Sonuç

DMARC raporları başlangıçta karmaşık görünür, ama sistemli okuduğunuzda e-posta altyapınızın tam görünürlüğünü kazanırsınız. DMARC kayıt kontrol aracımızla mevcut kaydınızı doğrulayın, bir SaaS dashboard’a kayıt olun ve 2-3 hafta içinde raporları okuma rutinine alışın. Sonrasında p=reject‘e güvenli geçiş hem e-posta teslimatınızı artıracak hem de domain spoofing’i tamamen engelleyecektir.

E-posta teslimatınızda hâlâ sorun varsa, sebebin DMARC değil IP kara liste olabileceğini unutmayın. Her iki konuyu birlikte izlemek doğru yaklaşımdır.

Powered by IHS Telekom