Türkiye'deki e-posta pazarına baktığımızda, çoğu gönderici domain'i DMARC politikasını en zayıf seviyede, yani p=none konumunda bırakıyor. Bunun nedeni basit: e-postalar reddedilip kabulünü kaybetmekten korkuyor. Oysa DMARC politikanızın doğru seviyede ayarlanması, Google, Outlook, Gmail ve Yandex gibi büyük sağlayıcıların inbox'unuza ulaşmanız için kritik. Özellikle İYS (İleti Yönetim Sistemi) uyumluluğu ve yerel sağlayıcılarla güven ilişkisi söz konusu olduğunda, autentikasyon mekanizmaları sadece isteğe bağlı değildir — yasal ve operasyonel zorunluluktur. Bu makalede DMARC politika dağılımını, neden çoğu domain p=none'da kalmış olduğunu ve güvenli bir şekilde nasıl ilerlenebileceğini ele alıyoruz.
DMARC Politikaları Nedir?
DMARC (Domain-based Message Authentication, Reporting and Conformance), e-postaların aldığınız domain'den gerçekten gönderilip gönderilmediğini doğrulayan bir standart. SPF ve DKIM gibi autentikasyon mekanizmalarını birleştirerek, alıcı tarafındaki posta sunucularına bir politika bildirir: "Bu domain'den gelen bir e-posta SPF veya DKIM doğrulamasını geçmezse ne yapmalı?"
DMARC DNS kaydınız üç politika seviyesinden birini tanımlar:
- p=none: "Doğrulamayı geçmeyen e-postalar hakkında rapor gönder, ama hiçbir işlem yapma. Yine de deliver et."
- p=quarantine: "Doğrulamayı geçmeyen e-postalar spam klasörüne gönder."
- p=reject: "Doğrulamayı geçmeyen e-postalar hemen reddet. Sunucu tarafından kabul edilmesin."
Türkiye'deki ESP'ler (Related Digital, Setrow, Euromsg ve diğerleri) ve özellikle e-ticaret platformları (İdeasoft, Ticimax, WooCommerce) müşterilerine en azından p=none ile başlamalarını tavsiye ediyor — çünkü p=reject'e hemen atlamak, konfigürasyon hatası durumunda tüm meşru e-postaları kaybettirir.
p=none, p=quarantine, p=reject Arasındaki Fark
p=none (Hiçbiri)
- E-posta kabul edilir ve inbox'a intikal ediyor.
- Alıcı mailbox provider'ı, DMARC başarısız olan mesajları hakkında (RUA/RUF raporları aracılığıyla) gönderene bilgi verir.
- Risk: Sıfır. Hiçbir meşru e-posta kaybolmaz.
- Kullanım: Başlangıç, monitoring, legacy entegrasyonlarla yaşanan sorunlar gözlemleme.
p=quarantine (Karantina)
- E-posta kabul edilir, fakat alıcı tarafı tarafından spam/promotional klasörüne yerleştirilir veya incelemeye alınır.
- Raporlama devam eder.
- Risk: Orta. Meşru e-postalar bulunmayabilir — ama sunucu tarafından reddedilmiş değiller.
- Kullanım:
p=none'dan sonraki adım. DMARC başarısızlıklarını nispeten kontrol altında tuttuğundan emin olduktan sonra.
p=reject (Reddet)
- Doğrulamayı geçmeyen e-postalar alıcı posta sunucusu tarafından kabul edilmiyor.
- E-posta hiçbir zaman inbox'a, spam klasörüne bile ulaşmıyor.
- Risk: Yüksek. Konfigürasyon hatası = hiçbir e-posta alınmaz.
- Kullanım: Yalnızca tüm send-path'ları SPF/DKIM ile %100 uyumlu hale getirdikten sonra.
İstatistiksel Dağılım — Güncel Veri
Küresel ölçekte (ve Türkiye'nin de dahil olduğu) bakıldığında:
- Çoğu domain p=none kullanıyor: Tranco top-1M domain'inin güçlü çoğunluğu ya DMARC kaydı tutmuyor ya da
p=noneile başlıyor. - p=quarantine ve p=reject toplam yüzdesinin düşüklüğü: Büyük e-posta altyapısı operatörleri (Gmail, Microsoft, Yandex), özellikle kurumsal domain'ler dışında, agresif politika kullanmayı tercih ediyor — fakat SMB ve KOBİ segmentinde
p=nonebaskındır.
Detaylı veri ve canlı istatistikler için, check.live-direct-marketing.online platformunun /email-stats/ sekmesine göz atabilirsiniz — her hafta 1M+ domain'i taranarak DMARC benimseme oranları güncellenir. Türkiye'ye özgü rakamlar için de benzer analiz yapılabilir.
Türkiye'de DMARC Benimseme — Gerçeklik
Neden Türkiye'de Çoğu Domain p=none'da Kalıyor?
- Eski entegrasyon korkusu: Birçok Türk işletmesi eski e-ticaret platformları (İdeasoft, Ticimax) veya on-premise sistemlerle çalışıyor. Bu platformlar, bazı durumlarda, default SPF/DKIM sağlamıyor — bu yüzden policy yükseltmeden önce "ne kadar mesaj başarısız olur" bilinemez.
- İYS ve Yasal Komplekslik: KVKK ve İYS gereklilikleri e-posta gönderenin zihnini meşgul ediyor — DMARC'ın teknik boyutu geri plana kalmış oluyor.
- ESP'ler ile iş bağlılığı: Related Digital, Setrow, Euromsg gibi yerel ESP'ler müşterilerine
p=noneöneriyorlar — "yavaşça monitorlayın, sonra yükseltin" mantığıyla. Bu, risk yönetimi açısından doğru, fakat domain'lerinp=none'da "sıkışıp kalması"na yol açıyor. - Policy=reject = Yüksek Risk Algısı: Türkiye'deki KOBİ'ler,
p=reject'i "kesinlikle hayır" olarak görüyor. Oysa proper testing ve gradual rollout ile bu risk minimum düzeye çekilebilir.
DMARC Politikasını Yükseltme — Güvenli Yol
DMARC politikanızı p=none'dan p=reject'e güvenli şekilde geçmek için adımları takip edin:
- p=none ile 1–2 ay izleme: RUA (aggregate) raporlarını toplayın ve analiz edin. "Hangi send-path'lar SPF/DKIM başarısız oluyor?" sorusuna cevap bulun. Çoğu durumda: otomatikler, üçüncü taraf hizmetler, eski tanıtım enerjileri.
- Her send-path'ı SPF/DKIM ile hizala:
- Tüm e-posta kaynakları (on-premises, ESP, WooCommerce, Shopify vb.) için SPF kaydını güncelleyin.
- DKIM imzalamasını sağlayıcıdan aktif hale getirin.
- p=quarantine'e geç: Raporlardan gelen başarısız e-postaların sayısının sıfır olduğundan emin olun.
p=quarantine'de spam klasörüne gitecek e-postaları izleyin. - Haftalar geçtikten sonra p=reject'e yükselt: Hiçbir başarısız rapor gelmiyorsa,
p=reject'e geçin. - Test tools ile doğrula: Politika değişikliğinin hemen öncesinde, inbox placement test aracı kullanarak, e-postanızın gerçek mailbox'larda (Gmail, Outlook, Yandex, Türk Telekom TTmail vb.) nereye düştüğünü kontrol edin.
p=quarantine veya p=reject'e geçirmeden önce, gerçek mailbox'lara test e-postası gönderin. check.live-direct-marketing.online, ücretsiz olarak, 20+ sağlayıcı arasında (Gmail, Outlook, Yandex, Hotmail, TTmail vb.) inbox placement kontrolü yaparak, e-postanızın nereye düştüğünü gösterir. Bu, DMARC politika değişikliğinden kaynaklanan delivery sorununu erken fark etmenizi sağlar.Neden Çoğu Domain DMARC Kaydı Tutmuyor veya p=none Kullanıyor?
p=reject'e geçme cesaret ve emek gerektiriyor — bu yüzden çoğu domain p=none'da "sıkışıp kalıyor".p=reject Ne Zaman Kurmak Güvenlidir?
p=none'dan başlayarak 2–3 ay izlemeden sonra. Test aracı ile de doğrulamanız şiddetle tavsiye edilir.DMARC Politikasını Yanlış Ayarlarsam Ne Olur?
p=reject ile başlarsanız ve SPF/DKIM uyumlu olmayan bir kaynaktan e-posta gönderirseniz, o e-postalar alıcılar tarafından kabul edilmeyecek ve hiçbir yerde görünmeyecektir. Bunun nedeni, e-postanın DMARC başarısızlığı yüzünden reddedilmesidir. Bu yüzden p=none → p=quarantine → p=reject yolu önerilir. Her adımda monitoring ve testing yapın.