Kurumsal Mail Güvenliği 2026: DMARC, DKIM, SPF Neden Artık Zorunluluk?
06.05.2026
09:25
Xen Bilişim
Geçen ay bir muhasebe firması aradı. CEO'nun e-posta adresinden geldiği görünen bir mesaj, finans müdürüne gönderilmişti: "Acil ödeme, IBAN değişti, tedarikçinin yeni hesabına gönder." Para gitti. Sonra anlaşıldı ki gönderici CEO değildi, alan adının dış sunuculardan kullanılmasına karşı hiçbir koruma yoktu. Ne DMARC vardı, ne DKIM, ne SPF. 20 yıldır bu sahnenin tekrar tekrar oynandığını izliyorum, ama 2026'da değişen tek şey var: artık bu üç protokol seçimlik değil, regülatör eli üzerinde.
DMARC, DKIM ve SPF Tam Olarak Ne İşe Yarar?
Üçü, birbirinden farklı sorunu çözer:
SPF (Sender Policy Framework): "Bu alan adından e-posta göndermeye yetkili sunucular hangileri?" sorusunu DNS'te ilan eder.
DKIM (DomainKeys Identified Mail): Gönderilen her mesaja kriptografik imza ekler. Yolda mesaj değiştirilmediyse imza tutar, değiştirildiyse tutmaz.
DMARC (Domain-based Message Authentication, Reporting & Conformance): SPF ve DKIM birlikte başarısız olursa ne yapılacağını söyler — none (sadece raporla), quarantine (spam'e at), reject (reddet).
Sadece SPF veya sadece DKIM kurmak yeterli değil. DMARC'ı en azından p=quarantine seviyesine çıkarmadan, alan adınızı taklit eden mesajların müşteriye, çalışanınıza, tedarikçinize ulaşmasını engelleyemezsiniz.
2026'da Bu Konu Neden Patladı?
Üç koldan baskı geldi:
1. Düzenleyici zorunluluk. PCI DSS 4.0 standardı, kredi kartı verisi işleyen her kuruluşa anti-phishing kontrolü (DMARC) zorunlu kıldı. Mimecast analizine göre uyumsuzluk aylık 5.000 ile 100.000 dolar arası ceza ya da kart işleme yetkisinin kaldırılması anlamına geliyor. AB'deki NIS2 direktifi ise 18 sektörü — bankacılık, enerji, sağlık, dijital altyapı dahil — kapsam altına aldı; cezalar 10 milyon Euro veya küresel cironun %2'sine kadar çıkabiliyor.
2. Gmail, Yahoo ve Microsoft gönderici şartları. Günde 5.000+ mesaj gönderen kuruluşlar için SPF + DKIM + DMARC uyumu artık şart. Microsoft Outlook 5 Mayıs 2025'ten, Google ve Yahoo Şubat 2024'ten itibaren uyumsuz mesajları SMTP düzeyinde reddediyor. Yani sizin "kurumsal duyuru maili" ya da "fatura bildirimi" alıcıya hiç ulaşmıyor.
3. Phishing istatistikleri. DMARC zorunluluğu uygulanan ABD'de phishing teslim oranı %69'dan %14'e düştü. Zorunluluk olmayan Hollanda'da hassasiyet %97'ye fırladı. IBM'in 2025 raporuna göre ortalama veri ihlali maliyeti 10,22 milyon dolar; BEC (Business Email Compromise) dolandırıcılığı 2024'te tek başına 2,77 milyar dolar kayıp yarattı (FBI IC3).
KOBİ'lerin Bu Konuda En Sık Yaptığı 3 Hata
Hata 1: SPF var ama DMARC yok. SPF tek başına spoofing'i durdurmaz; alıcı sunucusu uygulanacak politikayı bilmez.
Hata 2: DMARC var ama p=none seviyesinde takılı kalmış. EasyDMARC'ın 2026 verisine göre DMARC kuran şirketlerin %56'sı hâlâ p=none'da; bu fiilen sıfır koruma demek.
Hata 3: Pazarlama, fatura, İK gibi alt servislerin imzalanmaması. Mailchimp, HubSpot, fatura sağlayıcısı ya da SAP gibi sistemler ayrı DKIM kayıtları ve SPF include'ları gerektirir; eksiği DMARC raporlarında görünmez ama meşru mailler de quarantine'a düşer.
KOBİ Karşılaştırma Tablosu: Politika Seviyesi vs. Etki
Politika Seviyesi
Anlamı
Gerçek Dünya Etkisi
p=none
Sadece raporla
Sıfır koruma, sadece görünürlük
p=quarantine
Spam'e at
%85+ spoofing engeli, az meşru mail kaybı
p=reject
Tamamen reddet
%95+ koruma, eksik DKIM yapılandırması varsa meşru mail teslim edilmez
20 yıllık tecrübemde şunu söyleyebilirim: doğru sıralama önce 2-4 hafta p=none ile rapor topla, gönderen tüm meşru servisleri imzala, sonra quarantine, en sonunda reject'e çık.
Microsoft 365 Üzerinde Uygulama Adımları
Microsoft 365 kullanıyorsanız işin kolayı şu:
Defender for Office 365 (Business Premium ile geliyor) panelinde DMARC raporlarını aktif et.
Exchange Online üzerinden DKIM imzalamayı aç (admin center → mail flow → DKIM).
Sadece SPF yeterli mi?
Hayır. SPF iletilmiş (forwarded) mesajlarda kırılır, DKIM ve DMARC olmadan spoofing'i durdurmaz.
DMARC kurmak meşru mailimi engeller mi? p=none ile başlamadan reject'e geçerseniz evet. Doğru sıralamayla geçişte kayıp yaşanmaz.
Türkiye'deki KVKK ile ilgisi var mı?
Doğrudan zorunluluk yok ama veri güvenliği "uygun teknik tedbir" yükümlülüğü kapsamında değerlendiriliyor; phishing kaynaklı ihlal bildiriminde DMARC eksikliği ihmal sayılabilir.
Maliyeti nedir?
Microsoft 365 Business Premium aboneliğiniz varsa Defender ile DKIM ve raporlama dahil. Üçüncü parti DMARC analiz servisleri 50-300 dolar/ay aralığında.
BEC dolandırıcılığını gerçekten önler mi?
Kendi alan adınızdan yapılan spoofing'i evet, %95+ oranında önler. Sahte alan adından (yakın yazımlı domain) gelen BEC için ek olarak çalışan eğitimi ve Defender içerik filtreleri gerekli.
Sonuç
Mail güvenliği artık BT departmanının "boş zamanda yapılacak" işi değil. Regülasyon, gönderici şartları ve sigorta şirketleri aynı anda baskı yapıyor. Xen Bilişim olarak Microsoft 365 ortamlarında DMARC, DKIM, SPF projelerini tek pakette ele alıyoruz — keşif, raporlama, kademeli sıkılaştırma, üçüncü parti entegrasyonları. Alan adınızın spoofing'e karşı durumunu öğrenmek için iletişime geçin.
Bu Yazıyı Paylaş
Bu yazıyı paylaşın
Başlık, özet ve hashtagler panoya kopyalanır, paylaş penceresi açılır — yapıştırın (Cmd/Ctrl+V) ve gönderin.
Geçen ay bir muhasebe firması aradı. CEO'nun e-posta adresinden geldiği görünen bir mesaj, finans müdürüne gönderilmişti: "Acil ödeme, IBAN değişti, tedarikçinin yeni hesabına gönder." Para gitti. Sonra anlaşıldı ki gönderici CEO değildi, alan adının dış sunuculardan kullanılmasına karşı hiçbir koruma yoktu. Ne DMARC vardı, ne DKIM, ne SPF. 20 yıldır bu sahnenin tekrar tekrar oynandığını izliyorum, ama 2026'da değişen tek şey var: artık bu üç protokol seçimlik değil, regülatör eli üzerinde.
DMARC, DKIM ve SPF Tam Olarak Ne İşe Yarar?
Üçü, birbirinden farklı sorunu çözer:
SPF (Sender Policy Framework): "Bu alan adından e-posta göndermeye yetkili sunucular hangileri?" sorusunu DNS'te ilan eder.
DKIM (DomainKeys Identified Mail): Gönderilen her mesaja kriptografik imza ekler. Yolda mesaj değiştirilmediyse imza tutar, değiştirildiyse tutmaz.
DMARC (Domain-based Message Authentication, Reporting & Conformance): SPF ve DKIM birlikte başarısız olursa ne yapılacağını söyler — none (sadece raporla), quarantine (spam'e at), reject (reddet).
Sadece SPF veya sadece DKIM kurmak yeterli değil. DMARC'ı en azından p=quarantine seviyesine çıkarmadan, alan adınızı taklit eden mesajların müşteriye, çalışanınıza, tedarikçinize ulaşmasını engelleyemezsiniz.
2026'da Bu Konu Neden Patladı?
Üç koldan baskı geldi:
1. Düzenleyici zorunluluk. PCI DSS 4.0 standardı, kredi kartı verisi işleyen her kuruluşa anti-phishing kontrolü (DMARC) zorunlu kıldı. Mimecast analizine göre uyumsuzluk aylık 5.000 ile 100.000 dolar arası ceza ya da kart işleme yetkisinin kaldırılması anlamına geliyor. AB'deki NIS2 direktifi ise 18 sektörü — bankacılık, enerji, sağlık, dijital altyapı dahil — kapsam altına aldı; cezalar 10 milyon Euro veya küresel cironun %2'sine kadar çıkabiliyor.
2. Gmail, Yahoo ve Microsoft gönderici şartları. Günde 5.000+ mesaj gönderen kuruluşlar için SPF + DKIM + DMARC uyumu artık şart. Microsoft Outlook 5 Mayıs 2025'ten, Google ve Yahoo Şubat 2024'ten itibaren uyumsuz mesajları SMTP düzeyinde reddediyor. Yani sizin "kurumsal duyuru maili" ya da "fatura bildirimi" alıcıya hiç ulaşmıyor.
3. Phishing istatistikleri. DMARC zorunluluğu uygulanan ABD'de phishing teslim oranı %69'dan %14'e düştü. Zorunluluk olmayan Hollanda'da hassasiyet %97'ye fırladı. IBM'in 2025 raporuna göre ortalama veri ihlali maliyeti 10,22 milyon dolar; BEC (Business Email Compromise) dolandırıcılığı 2024'te tek başına 2,77 milyar dolar kayıp yarattı (FBI IC3).
KOBİ'lerin Bu Konuda En Sık Yaptığı 3 Hata
Hata 1: SPF var ama DMARC yok. SPF tek başına spoofing'i durdurmaz; alıcı sunucusu uygulanacak politikayı bilmez.
Hata 2: DMARC var ama p=none seviyesinde takılı kalmış. EasyDMARC'ın 2026 verisine göre DMARC kuran şirketlerin %56'sı hâlâ p=none'da; bu fiilen sıfır koruma demek.
Hata 3: Pazarlama, fatura, İK gibi alt servislerin imzalanmaması. Mailchimp, HubSpot, fatura sağlayıcısı ya da SAP gibi sistemler ayrı DKIM kayıtları ve SPF include'ları gerektirir; eksiği DMARC raporlarında görünmez ama meşru mailler de quarantine'a düşer.
KOBİ Karşılaştırma Tablosu: Politika Seviyesi vs. Etki
Politika Seviyesi
Anlamı
Gerçek Dünya Etkisi
p=none
Sadece raporla
Sıfır koruma, sadece görünürlük
p=quarantine
Spam'e at
%85+ spoofing engeli, az meşru mail kaybı
p=reject
Tamamen reddet
%95+ koruma, eksik DKIM yapılandırması varsa meşru mail teslim edilmez
20 yıllık tecrübemde şunu söyleyebilirim: doğru sıralama önce 2-4 hafta p=none ile rapor topla, gönderen tüm meşru servisleri imzala, sonra quarantine, en sonunda reject'e çık.
Microsoft 365 Üzerinde Uygulama Adımları
Microsoft 365 kullanıyorsanız işin kolayı şu:
Defender for Office 365 (Business Premium ile geliyor) panelinde DMARC raporlarını aktif et.
Exchange Online üzerinden DKIM imzalamayı aç (admin center → mail flow → DKIM).
Sadece SPF yeterli mi?
Hayır. SPF iletilmiş (forwarded) mesajlarda kırılır, DKIM ve DMARC olmadan spoofing'i durdurmaz.
DMARC kurmak meşru mailimi engeller mi? p=none ile başlamadan reject'e geçerseniz evet. Doğru sıralamayla geçişte kayıp yaşanmaz.
Türkiye'deki KVKK ile ilgisi var mı?
Doğrudan zorunluluk yok ama veri güvenliği "uygun teknik tedbir" yükümlülüğü kapsamında değerlendiriliyor; phishing kaynaklı ihlal bildiriminde DMARC eksikliği ihmal sayılabilir.
Maliyeti nedir?
Microsoft 365 Business Premium aboneliğiniz varsa Defender ile DKIM ve raporlama dahil. Üçüncü parti DMARC analiz servisleri 50-300 dolar/ay aralığında.
BEC dolandırıcılığını gerçekten önler mi?
Kendi alan adınızdan yapılan spoofing'i evet, %95+ oranında önler. Sahte alan adından (yakın yazımlı domain) gelen BEC için ek olarak çalışan eğitimi ve Defender içerik filtreleri gerekli.
Sonuç
Mail güvenliği artık BT departmanının "boş zamanda yapılacak" işi değil. Regülasyon, gönderici şartları ve sigorta şirketleri aynı anda baskı yapıyor. Xen Bilişim olarak Microsoft 365 ortamlarında DMARC, DKIM, SPF projelerini tek pakette ele alıyoruz — keşif, raporlama, kademeli sıkılaştırma, üçüncü parti entegrasyonları. Alan adınızın spoofing'e karşı durumunu öğrenmek için iletişime geçin.
Telefon : 0850 259 5949
