DMARC'ın yeni np etiketi DNSSEC ile çakışıyor
RFC 9989'daki DMARC np etiketi, DNSSEC'in RFC 9824 kompakt yokluk kanıtlama mekanizmasıyla çelişiyor; Cloudflare, AWS ve Azure gibi sağlayıcılar etkileniyor.
IETF'nin Mayıs 2026'da yayımladığı güncellenmiş DMARC spesifikasyonu (RFC 9989), var olmayan alt alan adları için ayrı bir politika tanımlamayı sağlayan yeni bir np etiketi getiriyor. Ancak bu etiketin dayandığı 'var olmayan alan adı' tanımı, DNSSEC için kompakt yokluk kanıtlama yöntemini tanımlayan RFC 9824 ile çelişiyor. Sorun, DNS sunucularının NXDOMAIN yanıtını, bir alan adının ve tüm alt alan adlarının gerçekten var olmadığını kanıtlamak için kullanmasına dayanıyor; oysa DNSSEC'te bunu NSEC/NSEC3 kayıtlarıyla kriptografik olarak imzalamak gerekiyor ve kompakt yöntemler bu süreci farklı şekilde ele alabiliyor.
Sonuç olarak, DNSSEC etkin olan ve Cloudflare, NS1, AWS Route 53 veya Azure gibi büyük DNS sağlayıcılarını kullanan alan adlarında np etiketi beklendiği gibi çalışmayabiliyor; alıcı sunucular bir alt alan adının gerçekten var olmadığını doğru şekilde tespit edemeyebiliyor. Araştırmacılar bu çakışmayı DMARC'tan sorumlu IETF çalışma grubuna bildirmiş, sorun kabul edilmiş ancak henüz üzerinde uzlaşılmış bir çözüm bulunmuyor.
DNSSEC kullanımı henüz yaygın olmasa da, bu uyumsuzluk e-posta güvenliği ve alan adı sahtekarlığına karşı koruma mekanizmalarını doğrudan ilgilendiriyor. DNS ve e-posta altyapısı kuran mühendisler için, iki farklı IETF standardının birbirini etkileyen varsayımlar üzerine kurulmasının pratikte nasıl beklenmedik sonuçlar doğurabileceğine dair somut bir örnek teşkil ediyor.