E-Ticaret Firmaları için Kurumsal E-Posta Kurulumu

Bir müşteri siparişini onaylamak, iade talebini yanıtlamak ya da kampanya duyurusu göndermek için kullandığınız e-posta adresi, markanızın dijital vitrini kadar önemlidir. siparisler@gmail.com gibi ücretsiz bir adres yerine destek@markadiniz.com.tr kullanmak; teslimat güvenilirliğini artırır, kimlik avı (phishing) riskini azaltır ve Türk mevzuatı olan 6563 sayılı Elektronik Ticaret Kanunu kapsamındaki ticari ileti yükümlülüklerini karşılamanızı kolaylaştırır.

Neden Özel Alan Adına Bağlı E-Posta?

E-ticaret dünyasında e-posta; sipariş bildirimleri, kargo takip mesajları, fatura iletimleri ve pazarlama bültenleri olmak üzere en az dört farklı iş akışını taşır. Bu iş akışlarının her biri farklı gönderim hacmi ve teknik gereksinim içerir. Ücretsiz posta sağlayıcıları (Gmail, Hotmail vb.) bu hacimleri yasal sınırlara tabi tutar ve markanızın adını arama motorlarında, sosyal medyada ya da alıcıların adres defterinde öne çıkarmaz.

Öte yandan alan adınıza bağlı bir e-posta (@markadiniz.com.tr), aşağıdaki somut faydaları sağlar:

• Marka güveni: Alıcılar, tanıdık alan adından gelen e-postaları daha az "spam" olarak işaretler.
• Teslim edilebilirlik: SPF, DKIM ve DMARC kayıtlarını alan adı DNS'inize eklediğinizde büyük posta sunucuları (Gmail, Outlook) mesajları meşru kabul eder.
• Yasal uyum: 6563 sayılı Kanun'un 6. maddesi, ticari elektronik ileti gönderenin kimliğini açıkça belirtmesini zorunlu kılar; kendi alan adınız bu şeffaflığı sağlar.
• Operasyonel kontrol: Çalışan ayrılıklarında hesabı kapatmak ya da devretmek kolaylaşır.

Posta Sunucusu Seçenekleri: Karşılaştırma

Piyasada başlıca üç model bulunur: kendi sunucunuzu barındırmak (self-hosted), yönetilen bulut posta hizmeti kullanmak veya e-posta teslimat API'si ile çalışmak. Aşağıdaki tablo bu modelleri e-ticaret perspektifinden karşılaştırır.

DNS Kayıtları: SPF, DKIM ve DMARC

Kurumsal e-postanın teknik temeli üç DNS kaydına dayanır. Bu kayıtlar, alıcı posta sunucularına "Bu e-posta gerçekten bu alan adından gönderildi" güvencesini verir.

SPF (Sender Policy Framework — RFC 7208)

SPF, alan adınız adına e-posta göndermeye yetkili IP adreslerini veya posta sunucularını listeleyen bir DNS TXT kaydıdır. RFC 7208'de tanımlanan bu standart, sahte gönderen adreslerini (e-posta sahteciliği/spoofing) tespit etmede ilk savunma hattını oluşturur. Örnek bir kayıt:

v=spf1 include:_spf.google.com include:amazonses.com ~all

Bu kayıt; Google Workspace ve Amazon SES'in alan adınız adına e-posta göndermesine izin verir, diğer kaynaklardan gelenleri ise yumuşak hata (~all) olarak işaretler.

DKIM (DomainKeys Identified Mail — RFC 6376)

RFC 6376'da tanımlanan DKIM, her giden e-postaya kriptografik bir imza ekler. Alıcı sunucu, bu imzayı DNS'te yayınlanmış açık anahtarla doğrular. Böylece mesajın iletim sırasında değiştirilmediği kanıtlanır. Çoğu yönetilen posta sağlayıcısı DKIM anahtarlarını otomatik oluşturur; self-hosted kurulumda OpenSSL ile 2048-bit RSA anahtarı üretmeniz önerilir.

DMARC (Domain-based Message Authentication, Reporting and Conformance — RFC 7489)

RFC 7489 ile tanımlanan DMARC, SPF veya DKIM doğrulaması başarısız olan e-postalara ne yapılacağını bildirir (none, quarantine veya reject) ve size raporlama sağlar. E-ticaret firmaları için önerilen başlangıç politikası:

v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-raporlar@markadiniz.com.tr

Raporları belirli bir süre izledikten sonra p=reject'e geçmek, alan adınızın kötüye kullanılmasını neredeyse tamamen engeller.

Google, Şubat 2024'ten itibaren günde 5.000'den fazla e-posta gönderen alanlar için DMARC kaydını zorunlu kıldığını duyurmuştur. Bu eşiğin altındaki gönderenler için de DMARC uygulanması güçlü biçimde önerilmektedir.

E-Ticaret İş Akışları İçin E-Posta Mimarisi

Tek bir e-posta adresi tüm iş akışları için yeterli değildir. Aşağıdaki rol bazlı yapı, hem operasyonel netlik sağlar hem de hukuki izlenebilirliği kolaylaştırır:

• siparis@markadiniz.com.tr — otomatik sipariş onayları ve fatura gönderimleri
• destek@markadiniz.com.tr — müşteri hizmetleri gelen kutusu
• bulten@markadiniz.com.tr — pazarlama ve kampanya bültenleri (6563 sayılı ETK kapsamındaki izinli ticari iletiler)
• iade@markadiniz.com.tr — iade ve şikayet talepleri
• noreply@markadiniz.com.tr — sistem bildirimleri (yanıt beklenmez; ancak From alanında bu adres kullanılırken Reply-To mutlaka gerçek bir adrese yönlendirilmelidir)

Türk Mevzuatına Uyum: ETK ve KVKK

Türkiye'de e-ticaret firmalarının e-posta gönderimi söz konusu olduğunda iki temel kanunu gözetmesi gerekir.

6563 Sayılı Elektronik Ticaret Kanunu (ETK)

11 Kasım 2014 tarihli ve 6563 sayılı "Elektronik Ticaret'in Düzenlenmesi Hakkında Kanun", ticari elektronik ileti gönderimini düzenler. Kanunun 6. maddesi uyarınca:

• Ticari elektronik ileti ancak alıcının önceden onayı (opt-in) alınarak gönderilebilir.
• Her iletide gönderenin kimliği, iletişim bilgileri ve abonelikten çıkma (opt-out) bağlantısı yer almalıdır.
• Opt-out talebi en geç üç iş günü içinde işleme alınmalıdır.

Kanuna aykırılık halinde Ticaret Bakanlığı tarafından idari para cezası uygulanabilir. Güncel yaptırım miktarları için Ticaret Bakanlığı'nın resmi duyurularını takip etmeniz önerilir.

6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK)

7 Nisan 2016 tarihli 6698 sayılı KVKK, müşteri e-posta adreslerinin bir kişisel veri olduğunu açıkça ortaya koyar. Bu kapsamda e-ticaret firmaları:

• E-posta listelerini toplarken aydınlatma yükümlülüğünü (Madde 10) yerine getirmeli,
• Posta sağlayıcısı ile veri işleme sözleşmesi (Madde 12 kapsamında teknik ve idari tedbirler) imzalamalı,
• Yurt dışı posta sunucusu kullanıyorsa yeterli koruma sağlayan ülkelere veri aktarımı kurallarına (Madde 9) uymalıdır.

Kişisel Verileri Koruma Kurumu (KVKK), sektör özelinde rehber belgeler yayımlamaktadır; bu rehberlere kvkk.gov.tr üzerinden ulaşılabilir.

Pratik Adımlar: Kuruluma Başlarken

Aşağıdaki sıra, kurumsal e-posta altyapısını sıfırdan kuracak e-ticaret firmaları için önerilen yoldur:

1. Alan adı ve DNS yetkilisi doğrulama: Alan adının DNS yönetim paneline erişiminizin olduğundan emin olun (örn. Natro, İsimtescil, Cloudflare).
2. Posta sağlayıcısı seçimi: İhtiyaca göre yukarıdaki karşılaştırma tablosundan yararlanın.
3. MX kaydı ekleme: Posta sağlayıcısının verdiği MX kayıtlarını DNS panelinize ekleyin; yayılma süresi 24-48 saate kadar uzayabilir.
4. SPF TXT kaydı ekleme: Posta sağlayıcısının verdiği v=spf1 ... kaydını DNS'e ekleyin.
5. DKIM yapılandırması: Sağlayıcının oluşturduğu DKIM CNAME veya TXT kaydını DNS'e ekleyin.
6. DMARC kaydı ekleme: _dmarc.markadiniz.com.tr alt alanına TXT kaydı ekleyin; başlangıçta p=none ile raporlama modunda başlayın.
7. Test: MXToolbox veya Mail Tester gibi ücretsiz araçlarla kayıtların doğru yayıldığını kontrol edin.
8. Teslimat API entegrasyonu: Sipariş bildirimleri için e-ticaret platformunuzu (WooCommerce, Ticimax, İdeasoft vb.) seçtiğiniz SMTP veya API ile entegre edin.
9. Yasal uyum kontrolü: Tüm giden şablonlarda gönderen kimliği, iletişim bilgileri ve abonelikten çıkma bağlantısı bulunduğundan emin olun.

Sık Sorulan Sorular

Kaynaklar ve İleri Okuma

• RFC 7208 — Sender Policy Framework (SPF) — SPF standardının tam teknik tanımı (IETF).
• RFC 6376 — DomainKeys Identified Mail (DKIM) Signatures — DKIM imzalama mekanizmasının resmi standardı (IETF).
• RFC 7489 — DMARC (Domain-based Message Authentication, Reporting and Conformance) — DMARC politika ve raporlama standardı (IETF).
• 6563 Sayılı Elektronik Ticaret Kanunu — Resmî Gazete — Türkiye'de ticari elektronik ileti gönderimini düzenleyen kanunun tam metni.
• 6698 Sayılı Kişisel Verilerin Korunması Kanunu — Resmî Gazete — Kişisel veri işleme yükümlülüklerini düzenleyen kanunun tam metni.
• KVKK — Kişisel Veri Güvenliği Rehberi — Kişisel Verileri Koruma Kurumu'nun teknik ve idari tedbirler rehberi.
• Google Postmaster Tools — Alan adı itibarı, spam şikayet oranı ve teslimat sorunlarını izleme aracı.
• Google — Bulk Sender Guidelines (E-posta Toplu Gönderim Yönergeleri) — Gmail'in 2024 itibarıyla zorunlu kıldığı SPF/DKIM/DMARC gerekliliklerinin resmi açıklaması.