E-posta pazarlaması yapan her işletme, gönderdiği mesajların alıcının gelen kutusuna ulaşmasını ister. Ancak bu sadece iyi bir mesaj yazıyla olmaz — teknik altyapının sağlam olması gerekir. SPF, DKIM ve DMARC protokolleri, e-posta sunucularının gönderici kimliğini doğrulamasını sağlar ve spam filtreleri tarafından kötü niyetli mesajlar bloklanırken, meşru bir şirketin mesajları alıcıya ulaşmasını garantiye eder.
2026'nın ortasında, bu üç protokolün benimseme oranları yıldan yıla artıyor. Google ve Yahoo gibi büyük posta sağlayıcıları, Şubat 2024'ten itibaren yüksek hacimli göndericilerden SPF ve DKIM'i zorunlu kılmış, DMARC'ı ise minimum p=none seviyesinde talep etmiştir. Türkiye'de ise, KVKK ve İYS (İleti Yönetim Sistemi) gibi yasal gereklilikler, bu teknik önlemleri desteklemek zorundadır.
SPF Benimseme Oranları: Yavaş Ama Kesin İlerleme
SPF (Sender Policy Framework), bir alan adının hangi posta sunucularının onun adına e-posta göndermesine izin verdiğini tanımlayan ilk ve en basit kimlik doğrulama sistemidir. Bir DNS TXT kaydında v=spf1 include:...~all formatında eklenir.
2026 verilerine göre, dünyadaki en çok ziyaret edilen bir milyon alan adının büyük çoğunluğunda SPF kaydı yapılandırılmış durumdadır. Türkiye'de de durum benzer: Gmail, Outlook ve Yandex gibi büyük sağlayıcıların, SPF olmayan e-postaları daha sıkı filtrelemesi, işletmeleri bu protokolü uygulamaya zorlamıştır. İYS sistemi nedeniyle ticari reklam e-postaları gönderenler için SPF, artık opsiyonel değil; zorunludur.
SPF'nin gücü, basitliğinde yatar. Ancak benimseme oranlarının henüz %100'e çıkmamasının sebepleri:
- Ufak ve orta ölçekli işletmeler, teknik altyapı konusunda farkında olmayabilir.
- Bazı e-ticaret platformları (İdeasoft, Ticimax), varsayılan konfigürasyonda SPF desteği sınırlı.
- Legacy sistemler ve eski hosting sağlayıcıları, SPF güncellemeyi göz ardı edebilir.
DKIM: Daha Düşük Benimseme, Daha Yüksek Güven
DKIM (DomainKeys Identified Mail), SPF'den daha gelişmiş bir protokoldür. E-posta'nın gönderildiği anda özel bir dijital imza (private key) ile imzalanır ve alıcı sunucu, alan adının DNS'inde yayınlanan public key ile bu imzayı doğrular. Bu, e-postaların transit sırasında değiştirilmemiş olduğunu garantiye eder.
Ancak DKIM, SPF kadar yaygın değildir. Neden? Kurulum karmaşıklığı artar. Sadece DNS kaydı eklemek yetmez; gönderim sunucusu DKIM imzalamayı desteklemeli ve özel anahtar yönetimi gerekir. Türkiye'deki birçok SME (küçük ve orta işletme), DKIM'i adında bile duymamış olabilir.
Related Digital, Setrow ve Euromsg gibi lokal ESP'ler DKIM desteği sunmaktadır. Ancak, WordPress'te WP Mail SMTP eklentisi olmadan veya kendi SMTP sunucusu yapılandırılmadan, e-ticaret sitesi yöneticileri DKIM imzasını aktif hale getiremez.
DMARC: Politika Kademesi ve Adopt Hızlandırması
DMARC (Domain-based Message Authentication, Reporting and Conformance), SPF ve DKIM'in üzerine inşa edilir. Bir alan ad sahibinin, SPF veya DKIM kontrolünden geçemeyen e-postaların ne yapılması gerektiğini belirtmesini sağlar:
p=none— sadece raporla, eyleme girişme.p=quarantine— spam klasörüne gönder.p=reject— mesajı tamamen reddet.
2026 verilerine göre, kurumların çoğu hala p=none ile başlıyor — bu hediyeli. Daha sonra, bir kaç ay gözlem yaparak p=quarantine'e geçer. Nihayet, tüm DKIM/SPF kontrolleri doğru şekilde yapılandırıldıktan sonra p=reject'e yükseltir.
Türkiye'de DMARC benimsemesi, global ortalamanın biraz gerisinde. İş sektörü (enerji, finans) daha hızlı benimsüyor. Ancak e-ticaret, daha yavaş.
Türkiye'de Özel Durum: İYS ve KVKK Etkisi
SPF, DKIM ve DMARC, saf teknoloji meselesi değildir. Türkiye'de, KVKK (Kişisel Verilerin Korunması Kanunu) ve İYS (İleti Yönetim Sistemi), gönderenin kimliğini doğrulaması kadar, alıcının rızasını yönetmesini zorunlu kılır.
Bir e-posta, teknik olarak SPF/DKIM/DMARC'tan geçse bile, alıcının İYS'deki onayı yoksa, mailbox sağlayıcısının spamı filtrelemesine izin verir. Örneğin:
- Gmail Türkiye, İYS kayıtlarını kontrol etmez (Google'ın global sistemi), ancak Türkiye'deki lokal ESP'ler (Euromsg gibi) İYS entegrasyonu sunarak, gönderilen listeleri otomatik olarak sorgulayabilir.
- Related Digital, kendi CDP platformunda İYS bağlantısı sunmaktadır.
Sonuç: Türkiye'de e-posta başarısı, SPF/DKIM/DMARC + İYS uyumluluğunun birleşimidir.
E-ticaret Platformlarının Durumu: Henüz Tam Desteğe Ulaşmamış
İdeasoft, Ticimax ve T-Soft gibi Türkiye'nin popüler e-ticaret platformlarında, varsayılan olarak transactional e-postalar, platform operatörünün genel altyapısından gönderilir. Bu, düşük domain reputation anlamına gelir.
Çoğu platform, özel bir sending domain kurulmasını destekler (müşteri kendi domain adını bağlayabilir). Ancak:
- Kurulum genellikle ek bir feature ya da premium paketi gerektirir.
- Dokümantasyon, türkçe olmayabilir veya SPF/DKIM adımları açık değildir.
- WooCommerce için WP Mail SMTP benzeri eklenti olmadan, varsayılan
wp_mail()işlev hiçbir doğrulama ile e-posta göndermez.
Shopify gibi global platformlar daha ileri. Kendi domainini bağladığında, Shopify otomatik olarak SPF ve DKIM kayıtlarını konfigure etmesini ister.
2026'nın Beklentileri: Daha Sıkı Kurallar
Google ve Yahoo'nun Şubat 2024'ten itibaren getirdiği zorunluluklar (SPF+DKIM mandatory, List-Unsubscribe RFC 8058 compliance), 2026'nın ikinci yarısında daha katı hale gelmektedir. DMARC p=reject uygulanması, tüm kurumlar için standart hale geleceği beklenmektedir.
Ayrıca, MTA-STS (Message Transfer Agent Strict Transport Security) gibi yeni protokoller yavaş yavaş benimsenmektedir. MTA-STS, e-postaların sadece şifreli bağlantı üzerinden iletilmesini garantiye eder.
Türkiye'de, İYS sistemi de kademeli olarak sıkılaştırılıyor. 2026 sonunda, tüm ticari e-postaların İYS-doğrulanmış alıcılara gönderilmesi, sadece iyi pratik değil, yasal standart olacak.
Kendi Domainin Durumunu Kontrol Et
Senin e-posta altyapını nasıl? SPF, DKIM ve DMARC politikanız hazır mı? Ücretsiz inbox placement testini kullanarak, e-postanın gerçek mailbox sağlayıcılarında (Gmail, Outlook, Yandex, Türk Telekom dahil) nereye iniş yaptığını görebilirsin. Test sonucu, SPF/DKIM/DMARC doğrulama durumunu ve rending sorunlarını (light/dark mode) da gösterir.
Ayrıca, email-stats verilerine göz at — her hafta güncellenmiş Tranco top-1M taranması, SPF/DKIM/DMARC/BIMI/MTA-STS adoption trendlerini gösterir.
SPF ve DKIM farkı nedir?
DMARC politikamı 'none' da bırakmalı mıyım?
p=none sadece başlangıç — raporlar alıp, durumu gözlemle. Birkaç hafta içinde p=quarantine'e geç. Tüm SPF ve DKIM kayıtları düzgün şekilde çalıştığından emin olduktan sonra p=reject'e yükselt. Böyle kademeli yaklaşım, hatalı konfigürasyondan kaynaklanan e-posta kayıplarını önler.