Sektörel·
19 Nisan 2026
Sivil toplum kuruluşları için güvenilirlik, bağışçılarla ve üyelerle sürdürülen iletişimin kalitesine doğrudan bağlıdır. Ücretsiz e-posta servisleri (@gmail.com, @hotmail.com gibi) teknik olarak işlevsel görünse de kurumsal kimlik, veri güvenliği ve yasal uyumluluk açısından ciddi riskler taşır. Bu rehber, dernekler ve sivil toplum kuruluşlarının kurumsal e-posta altyapısını doğru şekilde kurmasına yardımcı olmak için hazırlanmıştır.
Bir derneğin veya STK'nın bağışçıya, üyeye ya da kamu kurumuna "@gmail.com" uzantılı adresten yazı göndermesi, kurumsal profesyonellik açısından olumsuz bir sinyal verir. Ancak sorun yalnızca görüntüyle sınırlı değildir:
Kurumsal e-posta kurulumunun ilk adımı tescilli bir alan adıdır. Türkiye'de dernekler ".org.tr" uzantılı alan adı alabilir; bu uzantı kurumsal kimliği doğrudan yansıtır. ".org.tr" alan adı tescili için Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yetkilendirilmiş kayıt kuruluşları aracılığıyla başvuru yapılmaktadır.
Alan adı alındıktan sonra iki temel seçenek bulunur: kendi barındırma (self-hosted) veya bulut tabanlı e-posta servisi. Küçük ve orta ölçekli STK'lar için teknik bakım yükünü en aza indiren bulut tabanlı çözümler önerilir.
E-postanın gerçekten kurumunuzdan geldiğini alıcı sunuculara kanıtlayan üç kritik DNS (Alan Adı Sistemi) kaydı vardır. Bu kayıtlar eksik olduğunda e-postalar spam klasörüne düşer ya da hiç ulaşmaz.
| Kayıt | Tanım | Amacı | RFC |
|---|---|---|---|
| SPF | Sender Policy Framework | Alan adınız adına e-posta göndermeye yetkili sunucuları tanımlar | RFC 7208 |
| DKIM | DomainKeys Identified Mail | E-posta içeriğini kriptografik imzayla doğrular; içeriğin değiştirilmediğini kanıtlar | RFC 6376 |
| DMARC | Domain-based Message Authentication, Reporting & Conformance | SPF/DKIM doğrulaması başarısız olan e-postalara ne yapılacağını alıcı sunucuya bildirir; raporlama sağlar | RFC 7489 |
2024 yılı itibarıyla Google ve Yahoo, kendi kullanıcılarına gün içinde 5.000'den fazla e-posta gönderen alan adları için SPF, DKIM ve DMARC zorunluluğu getirmiştir. Bu değişiklik, toplu e-posta gönderen tüm kuruluşları doğrudan etkilemektedir. Konfigürasyon detayları için Google'ın resmi yardım merkezi ve DMARC.org kaynakları referans alınabilir.
Dernek ve STK'ların e-posta iletişiminde dikkate alması gereken iki temel yasal düzenleme mevcuttur:
KVKK'nın 5. maddesi kişisel verilerin işlenmesini açık rızaya veya kanunda sayılan diğer hukuki sebeplere bağlar. Üye sicilindeki ad, soyad, e-posta adresi kişisel veri niteliğindedir. Bu verilerin herhangi bir üçüncü taraf e-posta servisine aktarılması, Kanun'un 8. ve 9. maddeleri kapsamında değerlendirilebilir. Kişisel Verileri Koruma Kurumu (KVKK) rehber dokümanları ve kararları için resmi internet sitesi takip edilmelidir.
6563 sayılı Elektronik Ticaret Kanunu ile bu Kanun kapsamında çıkarılan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik (en son değişiklik: 2022), ticari elektronik ileti (bülten, kampanya, tanıtım vb.) göndermek için önceden onay (opt-in) zorunluluğu getirmektedir. Yönetmeliğin 6. maddesi gereğince alıcılara abonelikten çıkma (opt-out) imkânı sunmak zorunludur. Bu kural STK'lar için de geçerlidir; bağışçı bülteni veya etkinlik duyurusu ticari elektronik ileti kapsamına girebilir. İhlal durumunda Ticaret Bakanlığı tarafından idari para cezası uygulanabilir.
Pratik çıkarım: e-posta listenize eklediğiniz her kişi için kaydedilmiş, zaman damgalı onay belgesi bulundurun; abonelikten çıkma bağlantısını her e-postaya ekleyin.
Kurumsal e-posta altyapısı (Microsoft 365, Google Workspace vb.) bireysel yazışmalar için tasarlanmıştır. Yüzlerce veya binlerce kişiye bülten göndermek bu sistemleri zorlar ve alan adı itibarını (domain reputation) olumsuz etkiler. Bu nedenle toplu gönderimler için ayrı bir e-posta pazarlama platformu kullanmak hem teknik hem de yasal açıdan doğru yaklaşımdır.
İyi yapılandırılmış bir toplu gönderim altyapısında aşağıdakiler bulunmalıdır:
E-posta servis sağlayıcıları, gelen her e-postayı göndericinin itibarına göre değerlendirir. "Gönderici puanı" (sender score veya sender reputation) olarak adlandırılan bu değer; spam şikayetleri, hemen çıkma oranları, alıcıların e-postayı açıp açmaması ve göndericinin alan adının kara listelerde olup olmaması gibi faktörlere bağlıdır.
Teslimat oranını yüksek tutmak için uygulanabilecek pratik adımlar:
Dernek yönetim kurulunun dönemsel olarak değiştiği düşünüldüğünde, e-posta hesaplarının kişiye değil göreve bağlı kurulması sürdürülebilirliği artırır. Örneğin baskan@dernekadi.org.tr, sekreter@dernekadi.org.tr, uyelik@dernekadi.org.tr gibi rol tabanlı adresler, yönetim değişikliğinde hesabın devri kolaylaştırır ve kurumsal sürekliliği sağlar. Kişisel çalışma hesapları da açılabilir; ancak resmi yazışmalar ve halka açık iletişim için rol tabanlı adresler tercih edilmelidir.
Yasal olarak zorunlu kılınmamıştır; ancak KVKK kapsamındaki veri sorumluluğu, üye ve bağışçılara karşı kurumsal güvenilirlik ile e-posta teslimat kalitesi açısından kurumsal e-posta kullanmak güçlü biçimde önerilir. Ücretsiz bulut tabanlı planlarda aylık maliyetler oldukça düşük tutulabilir.
Türkiye'de tescilli bir derneğin ".org.tr" alan adı alabilmesi için resmi dernek tescil belgesi (İçişleri Bakanlığı'ndan alınan faaliyet belgesi) ve yetkili kişinin kimlik bilgileri yeterlidir. Başvuru, BTK tarafından yetkilendirilmiş kayıt kuruluşları (registrar) aracılığıyla yapılır.
MXToolbox (mxtoolbox.com/spf.aspx) veya Google Admin Toolbox gibi ücretsiz araçlara alan adınızı girerek mevcut SPF kaydını sorgulayabilirsiniz. Ayrıca dig TXT alanadi.org.tr komutunu terminal üzerinden çalıştırarak ham DNS kaydını da görebilirsiniz.
Kurulum aşamasında izleme modunda başlamak için p=none tercih edilir; bu sayede raporlar alınır ama e-postalar engellenmez. SPF ve DKIM doğru çalışır hale geldikten sonra sırasıyla p=quarantine (spam klasörü) ve ardından p=reject (engelle) politikasına geçilmesi önerilir.
6563 sayılı Kanun ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik uyarınca, ticari nitelikteki elektronik iletiler için önceden onay alınması zorunludur. Tamamen bilgilendirme amaçlı üye yazışmaları daha dar bir kapsamda değerlendirilebilse de hukuki güvence açısından her durumda onay kaydı tutulması tavsiye edilir.
Önce SPF, DKIM ve DMARC kayıtlarının doğru yapılandırıldığını kontrol edin. Ardından alan adınızın bilinen kara listelerde (blacklist) olup olmadığını MXToolbox Blacklist Check ile sorgulayın. Gönderim geçmişinde yüksek spam şikayeti veya hemen çıkma oranı (bounce rate) varsa liste temizliği yapmanız gerekir.
Rol tabanlı hesaplar (örn. baskan@dernekadi.org.tr) kullanıyorsanız eski yöneticinin yetkisi hesap yönetim panelinden kaldırılır; yeni yöneticiye erişim tanımlanır. Kişisel hesap kullandıysanız hesabın şifresini yönetici tarafından sıfırlamak ve e-postaları yeni adrese yönlendirmek gerekir; bu daha zahmetli bir süreçtir.
Google ve Yahoo, Şubat 2024'te günde 5.000'den fazla e-posta gönderen alan adları için yeni kimlik doğrulama kuralları uygulamaya koymuştur. Ancak çok daha düşük hacimlerde bile (aylık birkaç yüz e-posta) toplu bülten platformu kullanmak, kurumsal posta sunucusunun itibarını korumak açısından tavsiye edilir.
Türk mevzuatında dernekler için genel bir e-posta arşivleme süresi belirlenmemiştir; ancak KVKK kapsamında işlenen kişisel verilerin saklanma süresi veri işleme amacıyla orantılı olmalıdır. Muhasebe ve hukuki yazışmalar ise Türk Ticaret Kanunu'nun 82. maddesi uyarınca 10 yıl saklanmalıdır; bu kural dernekler açısından da yol gösterici bir referans teşkil eder.
Google Postmaster Tools (postmaster.google.com), alan adınıza gönderilen e-postaların Gmail kullanıcıları tarafından nasıl değerlendirildiğini gösteren ücretsiz bir araçtır. Alan adınızı doğruladıktan sonra spam oranı, kimlik doğrulama durumu ve teslimat hataları gibi metrikleri takip edebilirsiniz.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.