Live Direct Marketing
Ana sayfaBlogE-posta teslim edilebilirliği

DMARC Kaydını Doğru Kurmak: p=none'dan p=reject'e Kademeli Yol

12 Temmuz 2026 · 9 dk okuma · Rehber: E-posta teslim edilebilirliği

Bir DMARC kaydını yanlış hızda devreye almak, spam gönderenleri değil kendi ekibinizin meşru soğuk e-postalarını bloke edebilir. Bu yazıda DMARC kaydının parçalarını, kademeli yayına alma sırasını ve adresli B2B kampanyalar için hangi ayarların risk taşıdığını anlatıyoruz.

Özetle
  • DMARC kaydı _dmarc.domain.com altında bir DNS TXT kaydıdır ve SPF/DKIM sonuçlarını From alanıyla hizalayarak bir politika uygular.
  • p=none, p=quarantine, p=reject arasında kademeli geçiş, henüz hizalanmamış meşru gönderim araçlarının e-postalarının bloke olmasını önler.
  • rua= etiketiyle toplanan raporlar, hangi kaynakların domain adınıza gerçekten e-posta gönderdiğini görmenizi sağlar.
  • Acele p=reject'e geçmek, CRM veya soğuk e-posta aracınızdan giden kampanyaları da reddettirebilir.
  • DMARC kimlik doğrulamasıdır, gönderim izni (İYS/KVKK kapsamındaki rıza) ile karıştırılmamalıdır.

DMARC kaydı nedir, hangi parçalardan oluşur

DMARC (Domain-based Message Authentication, Reporting & Conformance) kaydı, _dmarc.domaininiz.com adresinde yayınlanan bir DNS TXT kaydıdır. Bu kayıt, alıcı posta sunucusuna şunu söyler: gelen e-posta SPF ve DKIM kontrollerinden geçmezse veya bu kontroller From başlığındaki domain ile hizalanmazsa (alignment) ne yapılacağını.

Kaydın en önemli etiketi p= — politika. Üç değer alabilir: none (sadece izle, hiçbir işlem yapma), quarantine (şüpheli e-postayı spam klasörüne yönlendir), reject (e-postayı tamamen reddet). Bunun yanında rua= toplu (aggregate) rapor adresini, ruf= adli (forensic) rapor adresini belirtir; pct= politikanın gönderimlerin yüzde kaçına uygulanacağını, sp= alt alan adları için ayrı politikayı, adkim= ve aspf= ise DKIM/SPF hizalama modunun katı mı (strict) yoksa gevşek mi (relaxed) olacağını tanımlar.

Pratikte en çok kullanılan ve en faydalı etiket rua='dır — aggregate raporlar, hangi kaynak IP'nin, ne sıklıkta, hangi sonuçla (pass/fail) e-posta gönderdiğini özetleyen düzenli bir dökümdür. ruf= ile istenen adli raporlar ise tek tek başarısız e-postaların ayrıntılarını içerir; bu raporları destekleyen alıcı sunucu sayısı aggregate raporlara göre azdır ve genelde gizlilik kaygılarıyla sınırlı gönderilir, bu yüzden çoğu ekip pratikte sadece rua= ile ilerler. rua= alanına birden fazla adres virgülle ayrılarak eklenebilir; örneğin hem dahili bir kutuyu hem bir izleme aracının aldığı adresi aynı anda tanımlamak mümkündür.

Örnek

Basit bir başlangıç kaydı örneği: _dmarc.sirketiniz.com.tr — TXT — "v=DMARC1; p=none; rua=mailto:dmarc-raporlari@sirketiniz.com.tr; pct=100" — bu kayıt hiçbir e-postayı engellemez, sadece toplu raporları belirtilen adrese gönderir.

Neden doğrudan p=reject ile başlamamalısınız

Bir domain adına e-posta çıkaran araç sayısı genelde sanıldığından fazladır: CRM veya soğuk e-posta platformu, Google Workspace/Microsoft 365 üzerinden manuel yazışma, fatura sistemi, destek hattı, webinar veya etkinlik davetleri, bazen pazarlama otomasyon araçları. Bu araçlardan her biri SPF ve DKIM ile ayrı ayrı hizalanmadıysa, p=reject anında devreye alındığında bu araçlardan giden meşru e-postalar da reddedilir.

Bu yüzden yaygın tavsiye edilen yol, önce p=none ile başlayıp haftalarca raporları izlemek, hangi kaynakların gerçekten sizin adınıza e-posta gönderdiğini ve hangilerinin SPF/DKIM'de başarısız olduğunu görmek, sonra kademeli olarak p=quarantine'e, en son da p=reject'e geçmektir. pct= etiketiyle bu geçişi kademeli hale getirmek de mümkündür — örneğin önce pct=25 ile politikayı gönderimlerin sadece dörtte birine uygulayıp etkiyi gözlemleyebilirsiniz.

Somut bir senaryo düşünün: bir B2B soğuk e-posta ekibi CRM üzerinden dizi (sequence) gönderimi yapıyor, ama fatura sistemi hâlâ farklı bir sunucudan, DKIM'siz e-posta gönderiyor. Ekip raporları hiç incelemeden p=reject'e geçerse, CRM'den giden dizi e-postaları etkilenmeyebilir (çünkü CRM zaten hizalanmış) ama fatura sistemi ile giden bildirimler alıcı tarafında sessizce reddedilmeye başlar — ve bu genelde bir müşterinin „faturanızı alamadım" demesiyle haftalar sonra fark edilir. Raporları önceden izlemiş olsalar, bu kaynağı p=reject öncesinde tespit edip düzeltebilirlerdi.

Kaydı oluşturma adımları

Önce SPF ve DKIM'in her iki tarafta da (kullandığınız tüm gönderim araçlarında) doğru kurulu olduğundan emin olun; DMARC bunların üzerine inşa edilir, onların yerini almaz. SPF ve DKIM kurulu değilse DMARC kaydı eklemek tek başına bir şey değiştirmez, sadece raporlama başlar.

rua= adresi için kullanacağınız kutuyu seçerken, bu kutunun düzenli okunacağından emin olun; bazı ekipler ayrı, kimsenin bakmadığı bir dmarc-reports@ adresi oluşturup unutuyor. Küçük ölçekte kendi ekibinizden birinin doğrudan izlediği bir kutu yeterlidir; domain sayısı arttıkça bu adresi bir raporlama/izleme aracına yönlendirmek daha sürdürülebilir olur.

Aggregate raporda nelere bakılır

Bir DMARC aggregate raporu, her kaynak IP için ayrı bir kayıt (record) içerir ve bu kayıtta source_ip (gönderen IP), count (o IP'den gelen e-posta sayısı), disposition (uygulanan politika sonucu — none/quarantine/reject), ve ayrı ayrı SPF ile DKIM sonuçları (pass/fail) bulunur. Bir kaynağın kim olduğunu genelde IP'nin ait olduğu servis sağlayıcıdan (ör. bilinen bir CRM'in veya e-posta sağlayıcının IP aralığı) tahmin edebilirsiniz; emin değilseniz IP'yi bir ters DNS sorgusuyla kontrol etmek yardımcı olur.

Raporu okurken asıl odaklanılması gereken satırlar, disposition alanı none/quarantine olup SPF veya DKIM sonucu fail olan kayıtlardır — bunlar, henüz hizalanmamış ama sizin adınıza gerçekten e-posta gönderen kaynaklardır. count değeri yüksek olan bir fail kaydı, gözden kaçırılmaması gereken öncelikli bir düzeltme adayıdır.

Sık yapılan hatalar

En sık görülen hata, raporları hiç okumadan veya çok kısa bir süre izleyip doğrudan p=reject'e atlamaktır — bu genelde bir kampanya ortasında fark edilen ve „neden e-postalarımız gitmiyor" sorusuyla sonuçlanan bir duruma yol açar. İkinci hata, rua= adresini kimsenin takip etmediği bir kutuya yönlendirip raporları hiç okumamaktır; DMARC kaydı varlığıyla değil, raporların düzenli izlenmesiyle değer katar.

Üçüncü hata, sp= (alt alan adı politikası) etiketini unutmaktır — ana domain için p=reject ayarlanmış olsa bile alt alan adları (ör. mail.sirketiniz.com veya info.sirketiniz.com) için ayrı bir politika tanımlanmazsa bu alt alan adları varsayılan olarak daha zayıf korunabilir. Son olarak, adkim= ve aspf= değerlerini strict (s) yapıp ardından SPF/DKIM'deki domain ile From başlığındaki domain'in birebir aynı olmadığı senaryoları test etmeden bırakmak da beklenmedik başarısızlıklara yol açar.

DMARC ile İYS/KVKK arasındaki fark

DMARC, SPF ve DKIM gibi bir kimlik doğrulama mekanizmasıdır — e-postanın gerçekten iddia ettiği domainden geldiğini kanıtlar, ama kime, hangi izinle gönderildiğine dair bir şey söylemez. Türkiye'de ticari elektronik iletiler için İYS (İleti Yönetim Sistemi) üzerinden onay kontrolü yapılması ve KVKK kapsamında kişisel veri işleme ilkelerine uyulması ayrı bir konudur; bu ağırlıklı olarak tüketiciye yönelik toplu pazarlama iletilerini ve „ticari elektronik ileti" tanımına giren durumları kapsar.

Hedefli B2B soğuk e-postada durum nüanslıdır: bir şirket yetkilisine, meşru iş amacıyla, bire-bir gönderilen ve önceden var olan iş ilişkisi ya da açık iş bağlamı taşıyan iletişim, kitlesel tüketici pazarlama iletisiyle aynı kefeye konmaz. Yine de bu konuda kesin bir hukuki değerlendirme için hukuk danışmanınıza başvurmanızı öneririz — DMARC kurulumu bu değerlendirmenin yerine geçmez, sadece teknik teslimatı güçlendirir.

Checklist

Bu checklist'i her yeni gönderim aracı eklendiğinde veya domain yapınızda değişiklik olduğunda tekrar gözden geçirmek, DMARC kaydının zamanla „unutulan" bir DNS satırına dönüşmesini engeller.

Sık sorulan sorular

DMARC kaydı zorunlu mu?

Hayır, teknik bir zorunluluk yok ama büyük posta sağlayıcıları (özellikle toplu gönderim yapan domainler için) DMARC'ı fiilen bekliyor. Adresli B2B soğuk e-postada da DMARC eksikliği, alıcı sunucuların domain'inize daha şüpheci yaklaşmasına yol açabilir.

p=none hiçbir işe yaramıyor mu?

Yarıyor — p=none e-postaları bloke etmez ama raporlama başlatır. Bu aşama, p=quarantine veya p=reject'e geçmeden önce hangi kaynakların meşru olduğunu görmek için gereklidir.

Aynı domain için birden fazla DMARC kaydı olabilir mi?

Hayır, bir domain için yalnızca tek bir _dmarc TXT kaydı geçerli sayılır; birden fazla kayıt varsa alıcı sunucular bunu genelde geçersiz kabul eder.

DMARC raporlarını nasıl okurum, ham XML mi geliyor?

Evet, aggregate raporlar genelde XML formatında gelir ve elle okunması zahmetlidir. Küçük ölçekte manuel inceleme mümkün olsa da, birden fazla domain veya yüksek hacimde gönderim varsa bu raporları okunabilir hale getiren bir izleme aracı kullanmak pratik olur.

DMARC kaydım İYS onayının yerine geçer mi?

Hayır, ikisi tamamen farklı katmanlar. DMARC teknik kimlik doğrulamasıdır, İYS/KVKK ise gönderim izni ve kişisel veri işleme ile ilgilidir. Biri diğerinin yerini tutmaz.

Önemli: bu toplu e-posta veya spam değildir. Hedefli çalışıyoruz: her mesaj, meşru bir ticari gerekçeyle, belirli bir şirketin belirli bir yetkilisine, küçük günlük hacimlerle ve alıcıya özel olarak gönderilir. Her e-postada gönderen bellidir ve tek tıkla abonelikten çıkma vardır; abonelikten çıkma talepleri ve engelleme listeleri istisnasız tüm sonraki kampanyalarda uygulanır.

Bunu kendi outreach sürecinizde uygulamak ister misiniz?

İşe başlamadan önce bunun sizin segmentiniz ve ürününüzde nasıl çalışacağını gösterelim.

Görüşelim