E-posta gönderimlerinde güvenilirliği artırmak için kullanılan en önemli doğrulama yöntemlerinden biri DKIM’dir. DomainKeys Identified Mail olarak adlandırılan DKIM, gönderilen bir e-postanın alan adı adına imzalandığını ve iletim sırasında içeriğinin değiştirilmediğini doğrulamaya yardımcı olur.
Bir mailin detaylarında “DKIM=fail”, “DKIM signature invalid” veya “DKIM imzası geçersiz” gibi bir uyarı görülmesi, gönderilen e-postanın imzasının alıcı sunucu tarafından doğrulanamadığını gösterir. Bu durum her zaman mailin zararlı olduğu anlamına gelmez. Ancak mesajların spam klasörüne düşmesine, güven puanının azalmasına veya bazı alıcı sunucular tarafından şüpheli olarak değerlendirilmesine neden olabilir.
Bu rehberde, DKIM imzası neden geçersiz olur, en sık karşılaşılan sebepler nelerdir ve sorun nasıl çözülebilir detaylı şekilde ele alacağız.
DKIM İmzası Nedir?
DKIM, gönderilen e-postalara dijital imza ekleyen bir e-posta doğrulama yöntemidir. Gönderici mail sunucusu, mesajın belirli başlıklarını ve içeriğini kullanarak özel bir imza oluşturur. Alıcı sunucu ise alan adının DNS kayıtlarında bulunan açık anahtarı kontrol ederek bu imzanın doğruluğunu teyit eder.
Bu işlem sayesinde alıcı taraf, e-postanın gerçekten ilgili alan adı üzerinden gönderilip gönderilmediğini ve gönderimden sonra mesaj içeriğinde değişiklik yaşanıp yaşanmadığını anlayabilir.
Örneğin domainadresiniz.com alan adından gönderilen bir e-posta için DKIM kaydı aşağıdaki yapıda olabilir:
Buradaki selector bölümü, kullanılan DKIM anahtarını ifade eder. Mail sunucusu hangi selector ile imza oluşturduğunu bildirir, alıcı sunucu ise ilgili anahtarı DNS üzerinden sorgular.
DNS Kaydının Hatalı veya Eksik Olması
DKIM geçersiz hatalarının en sık görülen nedeni, DNS tarafındaki TXT kaydının yanlış veya eksik tanımlanmasıdır. DKIM açık anahtarı DNS yönetiminde TXT kaydı olarak eklenir. Kayıt hatalı alana girilmişse, selector yanlış yazılmışsa veya anahtar eksikse alıcı sunucu doğru doğrulama bilgisine ulaşamaz.
Örneğin mail sunucusu şu selector üzerinden imza oluşturuyorsa:
DNS tarafında yalnızca farklı bir selector kaydı bulunması doğrulama hatasına yol açabilir.
Bu noktada özellikle aşağıdaki durumlar kontrol edilmelidir:
- TXT kaydının yanlış DNS alanına eklenmesi
- Selector bilgisinin hatalı yazılması
- Açık anahtarın eksik veya bozuk olması
- Aynı selector adına birden fazla çakışan DKIM kaydı eklenmesi
- DNS kaydında gereksiz karakter veya boşluk bulunması
- Yeni kaydın henüz DNS yayılımını tamamlamamış olması
DKIM kaydı eklenirken mail hizmet sağlayıcısının ilettiği selector ve TXT değeri birebir kullanılmalıdır.
Selector ile DKIM Anahtarının Uyuşmaması
DKIM sisteminde selector, alıcı sunucunun hangi açık anahtarı sorgulayacağını belirler. Mail başlığında bulunan selector bilgisi ile DNS tarafında yer alan kayıt aynı olmalıdır.
Örneğin mail başlığında şu bilgi yer alabilir:
Buradaki s=mail ifadesi selector bilgisidir. Alıcı sunucu doğrulama için şu adresi sorgular:
Bu kayıt DNS tarafında bulunmuyorsa veya farklı bir anahtar içeriyorsa DKIM doğrulaması başarısız olur.
Selector uyuşmazlığı çoğunlukla mail hizmeti değiştirildiğinde, yeni bir sunucu üzerinden gönderim yapılmaya başlandığında ya da eski DKIM kayıtları temizlenmeden yeni kayıtlar tanımlandığında ortaya çıkar.
Mail İçeriğinin Gönderim Sonrasında Değişmesi
DKIM imzası, e-posta içeriği ve belirli mail başlıkları üzerinden oluşturulur. Mail imzalandıktan sonra içerikte değişiklik yapılması, imzanın geçersiz görünmesine neden olabilir.
Bu durum özellikle mail yönlendirme kuralları, otomatik imza sistemleri, güvenlik yazılımları veya toplu mail araçları kullanıldığında görülebilir. Bazı sistemler, gönderim sonrasında mesaja reklam metni, yasal uyarı, görsel imza veya ek bilgi ekleyebilir.
Aşağıdaki durumlar DKIM imzasını bozabilir:
- Mail yönlendirme kuralları
- Otomatik imza ve footer ekleyen uygulamalar
- Antivirüs veya güvenlik yazılımlarının mail gövdesine müdahale etmesi
- Mailing list sistemleri
- Toplu mail yazılımlarının içeriği yeniden düzenlemesi
- Farklı SMTP sunucularının kullanılması
Bu tür yapılarda mümkün olduğunca imza işleminin, mail içeriği son haline geldikten sonra oluşturulması gerekir.
Yanlış Mail Sunucusu veya SMTP Üzerinden Gönderim Yapılması
DKIM kaydı doğru yapılandırılmış olsa bile mailler farklı bir SMTP sunucusu üzerinden gönderiliyorsa doğrulama başarısız olabilir. Bu durum özellikle Outlook, WordPress iletişim formları, e-ticaret siteleri, ERP yazılımları veya üçüncü taraf mail uygulamalarında görülür.
Örneğin kurumsal e-posta hesaplarınız kendi mail sunucunuz üzerinden gönderim yaparken, WordPress sitenizdeki iletişim formu farklı bir SMTP servisi kullanıyor olabilir. Bu durumda formdan gönderilen mailler alan adınıza ait DKIM anahtarıyla imzalanmayabilir.
Bu nedenle alan adınız üzerinden mail gönderen tüm sistemlerin belirlenmesi gerekir. Webmail, Outlook, WordPress, e-ticaret yazılımı, CRM, ERP ve toplu mail araçları aynı mail doğrulama yapısına uygun şekilde yapılandırılmalıdır.
Eski DKIM Anahtarının Kullanılması
DKIM anahtarları zaman zaman yenilenebilir. Mail sunucusunda kullanılan özel anahtar değiştirilmiş ancak DNS tarafındaki açık anahtar güncellenmemişse DKIM imzası geçersiz olur.
Bu durum genellikle sunucu taşıma işlemleri sonrasında, farklı bir mail hizmetine geçildiğinde veya güvenlik nedeniyle yeni DKIM anahtarı oluşturulduğunda görülür.
Eski anahtarın DNS tarafında kalması, yeni anahtarın ise mail sunucusunda aktif olması doğrulama hatasına yol açar. Bu nedenle DKIM anahtarı yenilendiğinde hem mail sunucusu hem de DNS kayıtları birlikte kontrol edilmelidir.
DKIM Doğrulaması Nasıl Kontrol Edilir?
DKIM kontrolü için gönderilen bir e-postanın başlık bilgileri incelenebilir. Gmail tarafında mailin sağ üst bölümünde bulunan menüden “Orijinali göster” seçeneğine girildiğinde SPF, DKIM ve DMARC sonuçları görüntülenebilir.
Başlıklarda aşağıdaki gibi bir satır görülebilir:
Bu ifade DKIM doğrulamasının başarılı olduğunu gösterir. dkim=fail veya dkim=neutral sonucu görülüyorsa DNS kaydı, selector bilgisi ve gönderim yapan sistem incelenmelidir.
Ayrıca mail başlığında bulunan DKIM-Signature satırındaki d= ve s= değerleri kontrol edilmelidir. Bu bilgiler, imzanın hangi alan adı ve selector üzerinden oluşturulduğunu gösterir.
DKIM Hatası Nasıl Çözülür?
DKIM imzası geçersiz hatasını çözmek için öncelikle DNS kaydı ile mail sunucusunda kullanılan selector bilgisinin aynı olduğundan emin olunmalıdır. Ardından maillerin hangi sistemler üzerinden gönderildiği kontrol edilmelidir.
WordPress formları, Outlook ayarları, web uygulamaları veya üçüncü taraf SMTP hizmetleri farklı bir gönderim yöntemi kullanıyorsa DKIM yapısı buna göre düzenlenmelidir. Mail içeriğine sonradan ekleme yapan otomatik imza, yönlendirme veya footer uygulamaları da gözden geçirilmelidir.
Sorun devam ediyorsa yeni bir DKIM anahtarı oluşturulabilir. Eski veya hatalı kayıtlar temizlenerek güncel TXT kaydı DNS tarafına eklenmelidir. İşlem sonrasında test maili gönderilerek doğrulama sonucu tekrar kontrol edilmelidir.
Sonuç
DKIM imzası, e-posta güvenilirliği ve teslim edilebilirlik açısından önemli bir doğrulama mekanizmasıdır. DNS kaydının hatalı olması, selector uyuşmazlığı, yanlış SMTP kullanımı, eski anahtarların aktif kalması veya mail içeriğinin sonradan değiştirilmesi DKIM doğrulamasını bozabilir.
Sorunun doğru şekilde çözülmesi için DNS kayıtları, mail başlıkları ve gönderim yapan tüm sistemler birlikte kontrol edilmelidir. SPF, DKIM ve DMARC kayıtlarının uyumlu çalışması, alan adınız üzerinden gönderilen maillerin daha güvenilir değerlendirilmesine yardımcı olur.
Domainhizmetleri olarak Kurumsal E-Mail hizmetlerimizle, e-posta hesaplarınızın güvenli ve stabil şekilde çalışması için güçlü bir altyapı sunuyoruz. Doğru yapılandırılmış mail doğrulama kayıtları sayesinde gönderimlerinizin daha sağlıklı ilerlemesine yardımcı oluyoruz.
