Verimlilik·
14 Nisan 2026
Her gün milyarlarca e-posta gönderilmekte; ancak kurumların büyük çoğunluğu bu mesajları sistematik biçimde arşivlemiyor. Yasal uyumluluk, veri güvenliği ve operasyonel süreklilik açısından e-posta arşivleme artık bir tercih değil, zorunluluktur. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve 6563 sayılı Elektronik Ticaret Kanunu (ETK), kurumların belirli iletileri belirli süreler boyunca saklamasını ya da silinebilir durumda tutmasını şart koşmaktadır. Kuralsız bir gelen kutusu yönetimi ise iş sürekliliğini tehdit eden veri kayıplarına zemin hazırlar.
E-posta arşivleme; gelen, giden ve dahili iletilerin otomatik olarak yakalanıp değiştirilemez, aranabilir ve merkezi bir depoda saklanması sürecidir. Basit bir yedekleme (backup) işleminden temel farkı, değişmezlik ilkesidir: yedeklemede veriler geri yüklenip değiştirilebilirken, arşivleme çözümleri WORM (Write Once, Read Many) teknolojisi veya kriptografik karma (hash) değerleriyle her iletinin orijinal halini korur.
IETF'nin RFC 5321 (SMTP) ve RFC 5322 (İnternet İleti Biçimi) standartları, bir e-posta iletisinin hangi başlık alanlarını (From, To, Date, Message-ID vb.) içermesi gerektiğini tanımlar. Arşivleme çözümleri bu başlık alanlarını da bütünüyle saklamalıdır; zira hukuki süreçlerde bir iletinin göndericisi, alıcısı ve zaman damgası sorgulanabilir.
Türkiye'de e-posta arşivlemeyi doğrudan ya da dolaylı etkileyen birkaç temel yasal düzenleme bulunmaktadır:
Kuruluşlar ihtiyaçlarına göre üç temel strateji arasından seçim yapabilir. Aşağıdaki tablo bu stratejilerin temel özelliklerini karşılaştırmaktadır:
| Strateji | Açıklama | Avantajları | Dezavantajları | Uygun Olduğu Durum |
|---|---|---|---|---|
| Şirket İçi (On-Premise) | Arşiv verileri kurum sunucularında tutulur. | Tam veri denetimi, ağ dışına çıkmaz | Yüksek donanım/lisans maliyeti, ölçekleme zorluğu | Savunma, bankacılık, kritik altyapı |
| Bulut Tabanlı (Cloud) | Arşiv, SaaS sağlayıcıda barındırılır (ör. Microsoft 365 Compliance, Google Vault). | Düşük TCO, otomatik ölçekleme, hızlı devreye alma | Veri egemenliği kaygıları, bant genişliği bağımlılığı | KOBİ'ler, uzak ekipler |
| Hibrit | Hassas veriler şirket içinde, genel iletişimler bulutta saklanır. | Esneklik, maliyet ve güvenlik dengesi | Yönetim karmaşıklığı, çift altyapı | Çok katmanlı uyumluluk gereksinimleri olan büyük kuruluşlar |
Hangi strateji seçilirse seçilsin, sağlam bir e-posta arşivleme mimarisi şu bileşenlere ihtiyaç duyar:
Microsoft Exchange ve Office 365'te journal kuralları, her iletinin arşiv kutusuna kopyalanmasını sağlar. Google Workspace'te benzer işlevi Vault retention rules üstlenir. BCC tabanlı yakalama daha basit olsa da başlık bilgilerini tam olarak korumayabilir; bu nedenle jurnal yöntemi tercih edilmelidir.
WORM depolama veya kriptografik hash (SHA-256) zincirleme, arşivlenmiş iletilerin sonradan değiştirilemediğini kanıtlar. Bu özellik, e-keşif (e-discovery) ve mahkeme süreçlerinde delil bütünlüğü için zorunludur.
Hem aktarım sırasında (TLS 1.2 / 1.3 — RFC 8446) hem de depoda (AES-256) şifreleme uygulanmalıdır. KVKK Madde 12 kapsamında kişisel veri barındıran arşivler için teknik önlem yükümlülüğü bulunmaktadır.
Tam metin indeksleme (full-text indexing), hukuki talepler veya iç denetimler sırasında binlerce ileti arasından saniyeler içinde arama yapılabilmesini sağlar. Metadata indeksleme (gönderici, alıcı, tarih, ek adı) arama verimliliğini artırır.
Farklı ileti türleri için farklı saklama süreleri tanımlanmalıdır. Örneğin ticari yazışmalar TTK uyarınca 10 yıl saklanırken, kampanya onay kayıtları ETK uyarınca daha kısa bir süre için yeterli olabilir. Politikalar mutlaka belgelenmelidir.
E-posta arşivleme projesini hayata geçirirken aşağıdaki sıra takip edilmelidir:
Yalnızca yedeklemeye güvenmek: Yedeklemeler geri yüklenip değiştirilebilir; arşivleme ayrı bir süreçtir. İkisini birbirine karıştırmak yasal uyumsuzluğa yol açar.
Sonsuz saklama politikası: "Her şeyi sonsuza dek saklayalım" yaklaşımı KVKK'nın veri minimizasyonu ve amaçla sınırlılık ilkelerine aykırıdır. Gereksiz saklama hem maliyeti artırır hem de veri ihlali riskini yükseltir.
Şifreleme anahtarı yönetimi ihmali: Arşivin tamamı tek bir anahtarla şifrelenip anahtar kaybedilirse tüm arşiv erişilemez hale gelir. Anahtar yönetim sistemi (KMS) kullanılmalı ve yedek anahtarlar güvenli biçimde saklanmalıdır.
Son kullanıcı eğitimini atlamak: Arşivleme sistemi arka planda çalışsa da kullanıcılar "sildiğim e-posta arşivde mi kalıyor?" sorusuna yanıt alacak şekilde bilgilendirilmelidir.
Yedekleme, sistemin belirli bir andaki anlık görüntüsünü alır ve geri yükleme amacıyla kullanılır; saklanan veriler değiştirilebilir. Arşivleme ise her iletinin orijinal halini değiştirilemez biçimde depolar; hukuki delil bütünlüğü ve aranabilirlik ön plandadır. Her iki yöntem birbirini tamamlar, birbirinin yerine geçemez.
KVKK, sabit bir süre belirtmez; işleme amacının gerektirdiği süre kadar saklanmasını ve sonrasında silinmesini öngörür. Ticari yazışmalar için TTK Madde 82 kapsamındaki 10 yıllık süre geçerlidir. ETK kapsamındaki onay kayıtları için ETK Yönetmeliği'nin öngördüğü süre esas alınır.
TTK Madde 82 her ölçekteki tacir için geçerlidir; yani ticaret siciline kayıtlı tüm şirketler ticari yazışmalarını 10 yıl saklamakla yükümlüdür. ETK kapsamında ticari elektronik ileti gönderen her işletme onay kayıtlarını tutmak zorundadır.
Veri egemenliği, verinin fiziksel olarak hangi ülkede saklandığıyla ilgilidir. Türkiye'de faaliyet gösteren bir şirket için KVKK Madde 9 kapsamında yurt dışı veri aktarımı ek şartlara tabidir. Bulut arşivleme çözümü seçerken sunucuların Türkiye veya yeterli koruma düzeyine sahip ülkelerde konumlandırıldığı doğrulanmalıdır.
5070 sayılı Elektronik İmza Kanunu ve Hukuk Muhakemeleri Kanunu (HMK) kapsamında elektronik belgeler delil olarak kabul edilebilir. Ancak delil gücü, bütünlüğün (hash değeri, zaman damgası) ve özgünlüğün kanıtlanmasına bağlıdır. WORM depolama veya güvenilir üçüncü taraf zaman damgası bu ispatı kolaylaştırır.
Aktarım katmanında TLS 1.2 veya tercihen TLS 1.3 (RFC 8446) kullanılmalıdır. Depolama katmanında AES-256 simetrik şifreleme endüstri standardıdır. Anahtar yönetimi için HSM (Hardware Security Module) veya bulut KMS hizmetleri önerilir.
Değişmezlik garantisi, tam metin arama hızı, yasal bekleme (legal hold) özelliği, rol tabanlı erişim denetimi (RBAC), denetim kaydı (audit log), SLA taahhütleri ve veri merkezinin konumu başlıca kriterlerdir. Ayrıca mevcut e-posta altyapısıyla entegrasyon kolaylığı da değerlendirilmelidir.
KVKK Madde 11/e kapsamındaki silinme talebi, işleme amacı ortadan kalkmışsa yerine getirilmelidir. Ancak TTK veya vergi mevzuatı gibi başka bir yükümlülük saklama gerektiriyorsa bu yükümlülük süresince silme zorunluluğu doğmaz. Çakışan yükümlülükler hukuki danışmanlıkla değerlendirilmelidir.
Migrasyon genellikle PST/MBOX dosya aktarımı veya IMAP senkronizasyonu ile gerçekleştirilir. Aktarım öncesinde yinelenen iletiler (duplicate) temizlenmeli, metadata bütünlüğü doğrulanmalı ve aktarım sonrasında hash karşılaştırmasıyla veri tutarlılığı teyit edilmelidir.
Politika; hukuk birimi (yasal uyumluluk), bilgi güvenliği ekibi (teknik gereksinimler) ve üst yönetim (kurumsal risk iştahı) tarafından birlikte hazırlanıp onaylanmalıdır. KVKK kapsamındaki veri işleme faaliyetleri için Veri Sorumlusu sıfatıyla hareket eden kişi veya birimin onayı da gereklidir.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.