E-posta güvenliği söz konusu olduğunda, DMARC modern dijital iletişimin en kritik koruma mekanizmalarından biridir. Basitçe söylemek gerekirse, DMARC sizin domain adınızı kullanan sahte e-postaları engelleyen ve meşru e-postalarınızın güvenli bir şekilde iletilmesini sağlayan bir doğrulama protokolüdür. Aşağıda DMARC kaydının ne olduğunu daha detaylı açıklayacak ve DMARC kaydının nasıl oluşturulacağı ve DNS’e nasıl ekleneceğini adım adım açıklayacağız.
DMARC Nedir ve Ne İşe Yarar?
DMARC (Domain-based Message Authentication, Reporting & Conformance); bir alan adından gönderilen e-postaların gerçekten yetkili sunuculardan gelip gelmediğini kontrol eden bir e-posta doğrulama standardıdır. SPF ve DKIM protokollerinin üzerine inşa edilerek, bu iki sistemin sonuçlarını değerlendirir ve belirli kurallara göre hareket eder.
Gmail, Outlook, Yahoo gibi büyük e-posta sağlayıcıları DMARC uyumluluğunu zorunlu hale getirmeye başladı. Bu da demek oluyor ki, eğer DMARC kaydınız yoksa veya yanlış yapılandırılmışsa, e-postalarınız spam klasörüne düşebilir veya hiç teslim edilmeyebilir. Özellikle toplu e-posta gönderen işletmeler, pazarlama ekipleri ve kurumsal firmalar için DMARC artık bir lüks değil, zorunluluk haline geldi.
DMARC’ın çalışma mekanizması katmanlı bir yapıya dayanır. İlk katmanda SPF (Sender Policy Framework) bulunur; bu protokol hangi IP adreslerinin sizin domain’iniz adına e-posta gönderebileceğini belirler. İkinci katmanda DKIM (DomainKeys Identified Mail) yer alır; bu da e-postaya dijital imza ekleyerek içeriğin değiştirilmediğini doğrular. DMARC ise bu iki protokolün sonuçlarını değerlendirir ve “alignment” (hizalama) kontrolü yapar. Yani sadece SPF veya DKIM’in geçmesi yetmez, aynı zamanda e-postanın “From” başlığındaki domain ile SPF veya DKIM’de kontrol edilen domain’in eşleşmesi gerekir. Bu hizalama kontrolü, gelişmiş phishing tekniklerine karşı ekstra bir koruma sağlar.
DMARC kaydı DNS’te TXT kaydı olarak yayınlanır ve özel bir formata sahiptir. Bu kayıt, alıcı e-posta sunucularına “eğer bu e-posta doğrulama testlerinden geçmezse ne yapılması gerektiğini” söyler. Ayrıca, raporların nereye gönderileceğini de belirtir.
DMARC Kayıt Yapısı
DMARC kaydı, DNS sunucunuzda TXT türünde özel bir kayıt olarak yayınlanır ve “_dmarc.alanadi.com” formatında bir alt alan adı altında bulunur. Bu kayıt, e-posta alıcı sunucularına alan adınızdan gelen e-postaların nasıl doğrulanacağı ve doğrulama başarısız olduğunda ne yapılması gerektiği konusunda talimatlar verir.
- Temel DMARC Etiketi:
v=DMARC1; p=none;
rua=mailto:dmarc@alanadi.com;
ruf=mailto:forensic@alanadi.com;
pct=100;
adkim=r; aspf=r;- Etiket Açıklamaları:
- v: DMARC sürümü (her zaman DMARC1)
- p: Politika türü (none/quarantine/reject)
- rua: Toplu raporların gönderileceği e-posta
- ruf: Detaylı hata raporlarının e-postası
- pct: Politikanın uygulanma yüzdesi
- adkim: DKIM hizalama modu
- aspf: SPF hizalama modu
DMARC kaydının en kritik bileşeni “p” etiketidir ve üç farklı değer alabilir. “p=none” politikası, hiçbir eylemin gerçekleştirilmemesini ancak raporların gönderilmesini sağlar. Bu, DMARC uygulamasının ilk aşamasında kullanılması gereken güvenli bir başlangıç noktasıdır. “p=quarantine” politikası, doğrulama başarısız olan e-postaların spam klasörüne yönlendirilmesini talep eder. “p=reject” ise en sıkı politikadır ve doğrulama başarısız olan e-postaların tamamen reddedilmesini ister.
“rua” (Reporting URI for Aggregate reports) etiketi, günlük toplu raporların gönderileceği e-posta adresini belirtir. Bu raporlar XML formatında olup, alan adınızdan gönderilen tüm e-posta trafiğinin özet istatistiklerini içerir. Hangi IP adreslerinden kaç e-posta gönderildiği, kaçının doğrulama testlerini geçtiği veya geçemediği gibi bilgiler bu raporlarda yer alır.
“ruf” (Reporting URI for Forensic reports) etiketi ise, başarısız doğrulama girişimlerinin detaylı raporlarının gönderileceği adresi tanımlar. Bu raporlar gerçek zamanlıya yakın gönderilir ve her başarısız e-posta için ayrı bir rapor oluşturur. Ancak, gizlilik endişeleri nedeniyle pek çok e-posta sağlayıcısı forensic raporları göndermemektedir.
Hizalama modları (alignment modes) ise SPF ve DKIM doğrulamasının ne kadar katı olacağını belirler. “r” (relaxed) gevşek mod, “s” (strict) ise katı mod anlamına gelir. Gevşek modda, alt alan adlarından gelen e-postalar da kabul edilirken, katı modda tam alan adı eşleşmesi gerekir. Çoğu durumda gevşek mod yeterlidir ve daha esnek bir yapılandırma sağlar.
| Etiket | Zorunluluk | Açıklama |
|---|---|---|
| v=DMARC1 | Zorunlu | DMARC versiyonunu belirtir, her zaman kaydın başında yer almalıdır |
| p= | Zorunlu | Ana domain politikası: none, quarantine veya reject |
| rua= | Önerilen | Toplu raporların gönderileceği e-posta adresi (mailto: ile başlar) |
| ruf= | İsteğe bağlı | Adli (forensic) raporların gönderileceği e-posta adresi |
| sp= | İsteğe bağlı | Subdomain’ler için politika (belirtilmezse ana politika geçerlidir) |
| pct= | İsteğe bağlı | Politikanın uygulanacağı e-posta yüzdesi (0-100 arası, varsayılan 100) |
| adkim= | İsteğe bağlı | DKIM hizalama modu: r (relaxed) veya s (strict), varsayılan r |
| aspf= | İsteğe bağlı | SPF hizalama modu: r (relaxed) veya s (strict), varsayılan r |
| fo= | İsteğe bağlı | Adli rapor seçenekleri: 0, 1, d, s (varsayılan 0) |
| rf= | İsteğe bağlı | Adli rapor formatı: afrf veya iodef (varsayılan afrf) |
| ri= | İsteğe bağlı | Toplu rapor gönderim aralığı (saniye cinsinden, varsayılan 86400) |
Adım Adım DMARC Kaydı Oluşturma
DMARC kaydınızı oluştururken dikkatli ve aşamalı bir yaklaşım benimsemek, olası e-posta teslimat sorunlarını önlemenin anahtarıdır. İşte detaylı adım adım kurulum süreci:
- SPF ve DKIM Kontrolü– DMARC uygulamadan önce domain’iniz için SPF ve DKIM kayıtlarının doğru yapılandırıldığından emin olun. SPF kaydınızı kontrol etmek için domain’inizin DNS kayıtlarında TXT kaydı arayın; kaydın “
v=spf1” ile başlaması gerekir. DKIM kontrolü için ise e-posta başlıklarınızda “DKIM-Signature” alanını inceleyin veya mail sunucu yöneticinizle iletişime geçin. - Raporlama E-posta Adresi Hazırlama– DMARC raporlarını alacak bir veya birden fazla e-posta adresi belirleyin (örn: dmarc-reports@example.com).
- Başlangıç Politikası Belirleme– İlk kurulumda her zaman
p=nonepolitikası ile başlayın, bu size risk almadan veri toplama imkanı verir. - DMARC Kaydını Oluşturma– Belirlediğiniz parametrelerle DMARC kayıt dizesini oluşturun, basit bir metin editörü yeterlidir.
- DNS’e Kayıt Ekleme– Oluşturduğunuz kaydı, DNS yönetim panelinizden TXT kaydı olarak _dmarc subdomain’ine ekleyin.
- Test ve Doğrulama– DMARC sorgulama araçları ile kaydınızın doğru yayınlandığını kontrol edin.
- Raporları İzleme– 24-48 saat sonra gelen DMARC raporlarını analiz etmeye başlayın.
- Optimizasyon– Raporlara göre SPF/DKIM ayarlarınızı optimize edin ve meşru e-posta kaynaklarını tanımlayın.
- Politika Sertleştirme– 2-4 hafta sonra p=quarantine’e, ardından 2-4 hafta sonra p=reject’e geçin.
- Sürekli İzleme– DMARC raporlarını düzenli olarak kontrol etmeye devam edin ve gerektiğinde ayarlamalar yapın.
İlk DMARC kaydınız şu şekilde görünmelidir: “v=DMARC1; p=none; rua=mailto:dmarc-raporlar@alanadi.com; ruf=mailto:dmarc-forensic@alanadi.com; pct=100; adkim=r; aspf=r;” Bu kayıt, hiçbir engelleme yapmadan tüm e-posta trafiğiniz hakkında rapor toplamanızı sağlar.
DNS kaydını eklerken dikkat etmeniz gereken bazı teknik detaylar vardır. Host veya Name alanına “_dmarc” yazmalısınız (bazı DNS panellerinde “_dmarc.alanadi.com” şeklinde tam adres gerekebilir). Type alanında mutlaka “TXT” seçili olmalıdır. Value veya Content alanına ise DMARC politika metnini tırnak işareti olmadan yapıştırmalısınız. TTL değeri için 3600 saniye (1 saat) veya 86400 saniye (24 saat) uygun bir başlangıç değeridir. İlk kurulumda daha düşük TTL kullanarak, gerekirse değişiklikleri daha hızlı yayabilirsiniz. Kaydınız stabil hale geldiğinde TTL değerini artırabilirsiniz.
DMARC kaydını ekledikten sonra aşağıdaki doğrulama yöntemlerini kullanarak kaydınızın düzgün şekilde yayınlandığını kontrol edin. Çevrimiçi DMARC kontrol araçları, kaydınızdaki syntax hatalarını tespit edebilir ve iyileştirme önerileri sunabilir. Kaydınızın doğru çalıştığından emin olana kadar test etmeye devam edin.
# Örnek DMARC Kayıtları ve Kullanım Senaryoları
Farklı ihtiyaçlar ve güvenlik seviyeleri için örnek DMARC kayıtlarını inceleyelim. Bu örnekler, sizin durumunuza en uygun yapılandırmayı seçmenize yardımcı olacaktır:
Örnek 1: Temel Başlangıç Kaydı (İzleme Modu)
v=DMARC1; p=none; rua=mailto:dmarc@example.com- Kullanım durumu: DMARC’a yeni başlayanlar için ideal. Hiçbir e-postayı engellemez, sadece rapor toplar.
- Açıklama: Bu en basit DMARC kaydıdır. Domain’iniz üzerinden gönderilen tüm e-postalar hakkında günlük raporlar alırsınız ancak hiçbir e-posta engellenmez.
Örnek 2: Orta Seviye Koruma (Karantina)
v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc@example.com; ruf=mailto:dmarc-forensic@example.com- Kullanım durumu: İzleme modundan sonraki geçiş aşaması. Kademeli koruma sağlar.
- Açıklama: Başarısız doğrulamaların %50’sini spam klasörüne yönlendirir. Hem toplu hem de adli raporlar alırsınız.
Örnek 3: Maksimum Koruma (Tam Reddetme)
v=DMARC1; p=reject; sp=reject; pct=100; rua=mailto:dmarc@example.com; aspf=r; adkim=r- Kullanım durumu: Olgun DMARC uygulaması, yüksek güvenlik gereksinimleri.
- Açıklama: Tüm başarısız doğrulamaları reddeder, subdomain’ler için de aynı politikayı uygular. Relaxed hizalama modu kullanır.
Örnek 4: Çoklu Rapor Alıcılı Kurumsal Yapılandırma
v=DMARC1; p=reject; rua=mailto:dmarc@example.com,mailto:security@example.com; ruf=mailto:security-alerts@example.com; fo=1; adkim=s; aspf=s; ri=3600- Kullanım durumu: Büyük kurumlar, çoklu güvenlik ekipleri, sıkı güvenlik gereksinimleri.
- Açıklama: Strict hizalama, çoklu rapor alıcıları, saatlik rapor aralığı ve SPF veya DKIM başarısız olduğunda adli rapor gönderimi içerir.
Örnek 5: Subdomain’e Özel Politika
v=DMARC1; p=reject; sp=quarantine; rua=mailto:dmarc@example.com- Kullanım durumu: Ana domain için sıkı güvenlik, yeni subdomain’ler için esnek yaklaşım.
- Açıklama: Ana domain başarısız e-postaları reddederken, subdomain’lerden gelen başarısız e-postalar karantinaya alınır.
Bu örnekleri kendi ihtiyaçlarınıza göre uyarlayabilirsiniz. Örneğin, farklı e-posta adresleri kullanabilir, pct değerini değiştirebilir veya hizalama modunu ayarlayabilirsiniz. Önemli olan, domain’inizin e-posta gönderim altyapısını tam olarak anlamak ve buna uygun bir kayıt oluşturmaktır.
DMARC Kaydı Sorgulama ve Test Etme
- Online DMARC Test Araçları– Bu araçlar sadece kaydınızın var olup olmadığını kontrol etmez, aynı zamanda sözdizimi hatalarını tespit eder, politika önerilerinde bulunur ve SPF/DKIM kayıtlarınızla uyumluluğunu kontrol eder. Bu araçlar genellikle raporlama e-posta adreslerinizin geçerliliğini de doğrular. İşte tercih edebileceğiniz ücretsiz araçlar:
- E-posta Gönderimi ile Test– Test e-postası gönderin ve başlıkları inceleyin:
- Gmail’de: E-postayı açın → ⋮ menü → “Show original”
- Outlook’ta: E-postayı açın → File → Properties → Internet headers
- “Authentication-Results” başlığını arayın
- DMARC=pass görmeli veya dmarc=fail nedenleri yazmalıdır.
- Komut Satırı ile Sorgulama (nslookup)- Terminal veya Command Prompt’u açın ve şu komutu çalıştırın:
nslookup -type=txt _dmarc.example.com- Doğru çıktı, DMARC kaydınızı gösterecektir.
- dig Komutu ile Detaylı Sorgulama– Linux veya Mac kullanıcıları için daha detaylı sonuçlar:
dig _dmarc.example.com TXT- Bu komut TTL değeri ve diğer DNS bilgilerini de gösterir.
DNS’e DMARC Kaydı Ekleme: Popüler Sağlayıcılar
DMARC kaydınızı oluşturduktan sonra, bunu DNS sunucunuza eklemeniz gerekir. Her DNS sağlayıcısının arayüzü farklı olsa da, temel adımlar benzerdir. İşte en popüler DNS sağlayıcıları için adım adım talimatlar:
Cloudflare:
- Cloudflare hesabınıza giriş yapın. İlgili domain’i seçin. “DNS” sekmesine tıklayın.
- “Add record” butonuna basın.
- Type: TXT seçin.
- Name: _dmarc yazın.
- Content: DMARC kaydınızı yapıştırın.
- TTL: Auto veya 3600 bırakın.
- “Save” butonuna basın.
Namecheap:
- Namecheap hesabınıza giriş yapın. “Domain List” bölümünden domain’inizi seçin. “Advanced DNS” sekmesine tıklayın.
- “Add New Record” butonuna basın.
- Type: TXT Record seçin.
- Host: _dmarc yazın.
- Value: DMARC kaydınızı yapıştırın.
- TTL: Automatic bırakabilirsiniz.
- Yeşil onay işaretine tıklayın.
GoDaddy:
- GoDaddy hesabınıza giriş yapın. “My Products” bölümüne gidin. Domain’inizi bulun ve “DNS” seçeneğine tıklayın. “Add” butonuna basın.
- Type: TXT seçin
- Host: _dmarc yazın
- TXT Value: DMARC kaydınızı yapıştırın
- TTL: 1 hour (3600 saniye) seçin
- “Save” butonuna basın
Amazon Route 53:
- AWS Console’a giriş yapın ve Route 53 servisine gidin. “Hosted zones” bölümünden domain’inizi seçin. “Create record” butonuna basın.
- Record name: _dmarc yazın.
- Record type: TXT seçin.
- Value: DMARC kaydınızı yapıştırın (tırnak işaretleri içinde)
- TTL: 300 veya istediğiniz değer.
- “Create records” butonuna basın.
📌 DNS değişikliklerinin yayılması 24-48 saat sürebilir, ancak genellikle birkaç saat içinde aktif hale gelir. Subdomain kullanıyorsanız (örneğin mail.example.com için DMARC), kayıt adı “_dmarc.mail” olmalıdır. DMARC kaydını girerken tırnak işaretleri kullanmanıza gerek yoktur (Route 53 hariç). Birden fazla DMARC kaydı eklememeye dikkat edin; bu kaydın çalışmamasına neden olur. Kaydı ekledikten sonra, değişikliklerin yayılmasını bekleyin. Bu süre zarfında eski ayarlarınız aktif olmaya devam edecektir. DNS propagation kontrolü için “whatsmydns.net” gibi online araçları kullanabilirsiniz.
DMARC Raporlarını Okuma ve Analiz Etme
DMARC raporları, e-posta güvenliğinizin nabzını tutmanızı sağlayan en değerli veri kaynaklarıdır. İki tür rapor vardır: Aggregate (RUA) raporları ve Forensic (RUF) raporları. Her birinin kendine özgü yapısı ve kullanım amacı vardır.
- Aggregate (RUA) Raporları: XML formatındaki bu raporlar insan tarafından doğrudan okunması zor olabilir. Çoğu organizasyon bu raporları görselleştiren üçüncü taraf araçlar kullanır. Ancak temel yapıyı anlamak önemlidir:
- Report Metadata: Raporu gönderen organizasyon, tarih aralığı, domain bilgisi
- Policy Published: Sizin yayınladığınız DMARC politikası
- Record: Her bir gönderici IP için ayrı kayıt, içinde mesaj sayısı, SPF ve DKIM sonuçları
- Auth Results: SPF ve DKIM doğrulama detayları, hizalama bilgileri.
- Forensic (RUF) Raporları:
- Format: MIME mesajı formatı
- Sıklık: Anında (başarısızlık durumunda)
- İçerik: Bireysel e-posta başlıkları, spesifik başarısızlık detayları
- Kullanım: Sorun giderme, güvenlik incelemeleri, detaylı analiz.
- Raporlarda dikkat edilmesi gerekenler: Yüksek hacimli başarısız doğrulamalar (phishing girişimi olabilir), tanımadığınız IP adreslerinden gelen e-postalar (yetkisiz kullanım), SPF veya DKIM’in sürekli başarısız olduğu meşru kaynaklar (yapılandırma sorunu), subdomain’lerden beklenmeyen trafik.
Popüler DMARC rapor analiz araçları:
- Ücretsiz Araçlar:
- DMARC Analyzer (kısıtlı)
- Postmark DMARC
- Parsedmarc (self-hosted)
- Ücretli Platformlar:
- Valimail
- Agari
- Proofpoint
- Dmarcian
Raporları düzenli olarak (en az haftada bir) inceleme alışkanlığı edinin. İlk başta gelen veri miktarı size fazla gelebilir, ancak zaman içinde domain’inizin normal e-posta trafiğini tanıyacak ve anormallikleri hızlıca fark edeceksiniz.
DMARC Politikasını Kademeli Olarak Sıkılaştırma
DMARC’ın asıl gücü, politikanızı zamanla sıkılaştırarak alan adınızı tam olarak korumanızdan gelir. Ancak bu süreç sabır ve dikkat gerektirir. Aceleyle sıkı politikalara geçmek, meşru e-postalarınızın engellenmesine neden olabilir.
- Faz 1: Gözlem (p=none)– 4-8 hafta boyunca
p=nonepolitikasıyla raporları toplayın ve tüm e-posta kaynaklarınızı tespit edin. Bu sürede SPF ve DKIM yapılandırmalarınızı optimize edin. - Faz 2: Karantina (p=quarantine)– Tüm kaynaklarınızı doğruladıktan sonra,
p=quarantinepolitikasına geçin. İlk olarak pct=10 gibi düşük bir yüzdeyle başlayıp kademeli olarak artırın. - Faz 3: Reddetme (p=reject)– Karantina fazında sorun yaşamadıysanız,
p=rejectpolitikasına geçin. Yine pct parametresiyle kademeli uygulama yapabilirsiniz. - Faz 4: Tam Koruma–
p=reject ve pct=100ile alan adınız tam koruma altındadır. Raporları düzenli kontrol etmeye devam edin.
İlk fazda, “p=none” politikasıyla başladığınızda, hiçbir e-posta engellenmez veya filtrelenmez. Bu faz tamamen bilgi toplama aşamasıdır. Bu süreçte alacağınız DMARC raporlarını dikkatlice inceleyerek, alan adınızdan e-posta gönderen tüm sistemleri tespit etmelisiniz. E-posta pazarlama platformları, CRM sistemleri, otomasyon araçları, bildirim servisleri gibi tüm kaynakları listeleyin. Her bir kaynak için SPF kaydınıza uygun yetkilendirmelerin eklendiğinden ve DKIM imzalarının aktif olduğundan emin olun. Raporlarda SPF veya DKIM başarısızlığı gören ancak meşru olan kaynaklarınız varsa, bunları düzeltmeniz kritik önem taşır. Aksi takdirde, politikayı sıkılaştırdığınızda bu kaynaklardan gelen e-postalar engellenecektir.
İkinci faza geçerken, “p=quarantine” politikasını kullanacaksınız. Ancak bunu yaparken “pct” (percentage) parametresini kullanarak kademeli bir geçiş yapmanız önerilir. Örneğin, “p=quarantine; pct=10;” şeklinde bir kayıtla başlayarak, doğrulama başarısız olan e-postaların sadece %10’unun karantinaya alınmasını sağlarsınız. 1-2 hafta sorun yaşamazsanız, pct değerini 25’e, ardından 50’ye ve sonunda 100’e çıkarabilirsiniz.
Üçüncü faz olan “p=reject” politikası, en yüksek koruma seviyesidir. Bu politikada, DMARC doğrulamasını geçemeyen e-postalar alıcı sunuculara hiç ulaşmaz, tamamen reddedilir. Bu politikaya geçmeden önce, en az 4-8 hafta boyunca p=quarantine politikasıyla sorunsuz çalıştığınızdan emin olmalısınız. Yine pct parametresiyle kademeli geçiş yaparak, beklenmeyen sorunları minimize edebilirsiniz.
Her faz geçişinde mutlaka raporlarınızı yakından takip edin. E-posta teslimat oranlarınızda düşüş varsa veya kullanıcılardan e-posta alamama şikayetleri geliyorsa, bir adım geriye dönüp sorunları analiz edin ve düzeltin. DMARC uygulaması bir maraton, sprint değildir. Aceleyle ilerlemek yerine, her adımda sağlam temel oluşturmak çok daha önemlidir.
Alt Alan Adları İçin DMARC Yapılandırması
Birçok organizasyon, farklı amaçlar için alt alan adları kullanır. Örneğin, pazarlama e-postaları için newsletter.alanadi.com, müşteri bildirimleri için notifications.alanadi.com gibi. Bu alt alan adlarının DMARC koruması için de özel dikkat gerekir.
- Ana Alan Adı DMARC Kaydı– Ana alan adınızdaki (_dmarc.alanadi.com) DMARC kaydı, aynı zamanda tüm alt alan adları için varsayılan politika görevi görür. Ancak alt alan adınız için özel bir DMARC kaydı tanımlamadıysanız, ana alan adının politikası uygulanır.
- Alt Alan Adı Özel DMARC Kaydı– Belirli bir alt alan adı için farklı bir politika uygulamak istiyorsanız, o alt alan adı için ayrı bir DMARC kaydı oluşturabilirsiniz. Örneğin: _dmarc.newsletter.alanadi.com için ayrı bir TXT kaydı ekleyebilirsiniz.
Alt alan adları için DMARC yapılandırması yaparken, “sp” (subdomain policy) etiketini kullanabilirsiniz. Bu etiket, ana alan adı kaydında tanımlandığında, tüm alt alan adları için geçerli olacak politikayı belirtir. Örneğin: “v=DMARC1; p=reject; sp=quarantine;” kaydı, ana alan adı için reject politikası uygularken, alt alan adları için quarantine politikası uygular.
Bu yaklaşım özellikle test amaçlı veya daha az kritik alt alan adları için kullanışlıdır. Ana alan adınızı tam koruma altına almışken (p=reject), yeni eklenen veya üçüncü parti servislerin kullandığı alt alan adları için daha esnek politikalar uygulayabilirsiniz. Bazı durumlarda, belirli bir alt alan adı için tamamen özel bir DMARC politikası isteyebilirsiniz. Bu durumda, o alt alan adı için ayrı bir DMARC TXT kaydı oluşturmalısınız. Örneğin, “marketing.alanadi.com” alt alan adı için “_dmarc.marketing.alanadi.com” DNS kaydı ekleyerek, bu alt alan adına özel politikalar, raporlama adresleri ve diğer ayarları tanımlayabilirsiniz.
Alt alan adı yönetiminde dikkat edilmesi gereken bir diğer nokta ise, kullanılmayan veya terk edilmiş alt alan adlarıdır. Bu alan adları, saldırganlar tarafından kötüye kullanılmaya açık hedeflerdir. Tüm alt alan adlarınız için DMARC koruması sağlamak, bu tür saldırıları önlemenin önemli bir yoludur. Periyodik olarak DNS kayıtlarınızı gözden geçirin ve artık kullanılmayan alt alan adları için sıkı DMARC politikaları (p=reject) uygulayın.
