Güvenlik·
6 Nisan 2026
Her e-posta, görünür mesaj metninin çok ötesinde gizli bir yol haritası taşır: başlıklar (headers). Bir iletinin kimden geldiğini, hangi sunuculardan geçtiğini, güvenlik protokollerinin onu imzalayıp imzalamadığını ve spam filtrelerinin ne tepki verdiğini anlatan bu teknik kayıtlar, e-posta güvenliğinin temel çözümleme aracıdır. Kimlik avı (phishing) saldırılarını tespit etmek, teslimat sorunlarını çözmek ve yasal kanıt toplamak için başlıkları okumayı bilmek artık temel bir dijital okuryazarlık becerisidir.
Received, Authentication-Results, DKIM-Signature gibi alanları analiz ederek sahte gönderici tespiti yapabilir, teslimat sorunlarını izleyebilir ve güvenlik ihlallerini kanıtlayabilirsiniz. Türkiye'de ticari e-postalar 6563 sayılı Kanun kapsamında denetlenmekte; başlık sahteciliği ciddi hukuki yaptırımlara yol açabilmektedir.İnternet e-postasının teknik temeli RFC 5322 (İnternet Mesaj Biçimi) standardıyla belirlenmiştir. Bu standart, her mesajın iki bölümden oluştuğunu tanımlar: boş bir satırla ayrılan başlık bölümü (header section) ve gövde (body). Başlıklar, Alan-Adı: değer biçiminde satırlardan oluşur ve posta istemcileri bunları genellikle kullanıcıdan gizler; oysa içerdikleri bilgi son derece zengindir.
Bir başlık alanı en basit hâliyle şöyle görünür:
From: Ahmet Yılmaz <ahmet@ornek.com>
To: fatma@hedef.com
Subject: Toplantı Daveti
Date: Mon, 06 Apr 2026 09:00:00 +0300
Message-ID: <20260406090000.12345@ornek.com>Ancak asıl analitik değer, posta sunucularının iletiye otomatik olarak eklediği Received, Authentication-Results, DKIM-Signature ve X-Spam-Status gibi alanlarda yatar.
Aşağıdaki tablo, en sık karşılaşılan başlık alanlarını, tanımlarını ve güvenlik açısından ne ifade ettiklerini özetlemektedir:
| Başlık Alanı | Tanım | Güvenlik Önemi |
|---|---|---|
From |
Görünen gönderici adresi (RFC 5322 §3.6.2) | Kolaylıkla taklit edilebilir; tek başına güvenilir değil |
Return-Path |
Geri dönüş (bounce) adresi; SMTP MAIL FROM komutuyla belirlenir | From ile farklıysa dikkatli olunmalı |
Received |
Her aktarım noktasının eklediği zincir kaydı | İletinin gerçek yolculuğunu gösterir; en alta eklenenden en üste doğru okunur |
Message-ID |
Mesaja özgü küresel tanımlayıcı (RFC 5322 §3.6.4) | Yineleme ve sahteciliğe karşı kontrol noktası |
DKIM-Signature |
DomainKeys Identified Mail (RFC 6376) kriptografik imzası | Mesajın gönderen alan adı tarafından imzalandığını kanıtlar |
Authentication-Results |
Alıcı sunucunun SPF/DKIM/DMARC sonuçlarını kaydettiği alan (RFC 8601) | pass / fail değerleri kimlik doğrulama durumunu özetler |
X-Originating-IP |
İletiyi gönderen son kullanıcının IP adresi (standart dışı, yaygın kullanım) | Coğrafi konum ve abuse analizi için kritik |
X-Spam-Status |
SpamAssassin veya benzeri filtrenin kararı | Teslimat sorunlarını açıklamada yardımcı |
Received başlıkları, SMTP protokolünün (RFC 5321) en şeffaf özelliğidir. Her aktarım ajanı (MTA) iletiyi aldığında bu alana kendi damgasını vurur. Kritik nokta, son alınan sunucunun kaydının en üstte, ilk gönderenin kaydının en altta yer almasıdır. Bu nedenle zinciri alttan yukarıya okumak gerekir.
Örnek bir Received satırı:
Received: from mail.ornek.com (mail.ornek.com [203.0.113.10])
by mx.hedef.com (Postfix) with ESMTPS id A1B2C3D4E5
for <fatma@hedef.com>; Mon, 06 Apr 2026 09:00:45 +0300 (TRT)Bu satırda 203.0.113.10 IP adresi iddia edilen gönderen sunucudur. Bu IP'nin gerçekten ornek.com alan adına ait olup olmadığı, ters DNS (rDNS) sorgusuyla doğrulanabilir. Zincirde beklenmedik bir sunucu görünüyorsa, iletiyi ele geçiren bir ara düğüm olabilir.
Modern e-posta güvenliği üç birbirini tamamlayan protokole dayanır. Bunların başlıklardaki izleri, iletinin meşruiyeti hakkında en güvenilir bilgiyi verir.
SPF (Sender Policy Framework — RFC 7208): Alan adının DNS kaydında hangi IP adreslerinin o alan adı adına posta gönderebileceği listelenir. Alıcı sunucu, gönderenin IP'sini bu listeyle karşılaştırır. Sonuç Authentication-Results alanında spf=pass veya spf=fail olarak görünür.
DKIM (DomainKeys Identified Mail — RFC 6376): Gönderen sunucu, mesaj gövdesinin ve seçili başlıkların hash değerini özel anahtarıyla imzalar. Bu imza DKIM-Signature başlığına eklenir. Alıcı sunucu, alan adının DNS'inden açık anahtarı çekerek imzayı doğrular. İmzanın geçerliliği dkim=pass olarak raporlanır. Mesaj aktarım sırasında değiştirilmişse imza bozulur.
DMARC (Domain-based Message Authentication, Reporting and Conformance — RFC 7489): SPF ve DKIM sonuçlarını bir politikayla birleştirir: none (yalnızca raporla), quarantine (spam klasörüne gönder) veya reject (iletimi reddet). DMARC aynı zamanda alan adı sahibine hizalama (alignment) kontrolü sağlar: From adresinin, SPF veya DKIM tarafından doğrulanmış alan adıyla aynı olmasını zorunlu kılar.
Üç protokol de geçerliyse başlıkta şuna benzer bir sonuç görürsünüz:
Authentication-Results: mx.hedef.com;
spf=pass smtp.mailfrom=ornek.com;
dkim=pass header.d=ornek.com;
dmarc=pass action=none header.from=ornek.comHer posta istemcisi başlıkları farklı bir menü altında sunar. En yaygın yöntemler:
Ham başlık metnini kopyaladıktan sonra analiz için çeşitli araçlar kullanabilirsiniz. Google'ın Message Header Analyzer ve MXToolbox'ın Email Header Analyzer aracı, zinciri görsel olarak düzenleyerek her adımdaki gecikmeyi ve kimlik doğrulama durumunu gösterir.
E-posta sahteciliği (email spoofing), saldırganın From alanını keyfi biçimde değiştirmesine dayanır. SMTP protokolü tarihsel olarak bu alana erişimi kısıtlamaz. Başlık analizinde sahtecilik belirtileri şunlardır:
From alan adı ile Return-Path alan adının farklı olmasıReceived zincirindeki ilk (en alttaki) IP'nin, iddia edilen gönderenin SPF kaydıyla eşleşmemesidkim=fail veya dmarc=fail sonuçlarıMessage-ID alan adının From alan adından farklı bir etki alanı içermesiReceived zincirinin geriye doğru izlendiğinde yabancı veya tanımsız sunuculara dayanmasıTüm bu işaretler tek başına kesin kanıt olmasa da birlikte değerlendirildiğinde güçlü bir kimlik avı göstergesi oluşturur.
Türkiye'de ticari elektronik ileti (TEİ) gönderimine ilişkin temel düzenleme 6563 sayılı Ticari İletişim ve Ticari Elektronik İletiler Hakkında Kanun (RG: 05.11.2014, Sayı: 29166) ve bu kanuna dayanan Ticari Elektronik İletilere İlişkin Yönetmelik (RG: 04.01.2020, Sayı: 31001)'dir. Söz konusu mevzuat, ticari e-postaların From ve Reply-To alanlarında gerçek gönderici bilgisi içermesini zorunlu kılmaktadır (Yönetmelik md. 6). Yanıltıcı başlık kullanan gönderenler BTK tarafından idari para cezasına çarptırılabilir.
Öte yandan kişisel veri niteliği taşıyan X-Originating-IP gibi başlık bilgileri, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında değerlendirilir. Bu verilerin üçüncü taraflarla paylaşılması veya log amaçlı saklanması KVKK'nın 5. ve 12. maddelerine uyumu gerektirir.
Hukuki süreçlerde e-posta başlıkları delil olarak kullanılabilir; ancak 5651 sayılı Kanun kapsamında delil zincirinin bütünlüğü (chain of custody) titizlikle korunmalı, hash değerleriyle doğrulanmalıdır.
Hayır. Google Workspace'in "Orijinali göster" sekmesi ve MXToolbox gibi çevrimiçi araçlar, başlıkları otomatik olarak ayrıştırıp renkli ve açıklamalı biçimde sunar. Temel kavramları (SPF/DKIM/DMARC sonuçları, Received zinciri) bilmek analizinizi büyük ölçüde kolaylaştırır.
Hayır. SMTP'nin tasarımı gereği From alanı serbestçe değiştirilebilir. Güvenilir tek doğrulama, Authentication-Results alanındaki DKIM ve DMARC sonuçlarıdır; zira bunlar kriptografik imzaya dayanır.
DKIM yalnızca mesajın belirtilen alan adının anahtarıyla imzalandığını doğrular; içeriğin zararsız olduğunu garanti etmez. Saldırganlar kendi alan adlarını kayıt ettirip DKIM imzası kullanarak phishing e-postası gönderebilir. DMARC politikasının reject seviyesinde olması ve gönderenin itibar (reputation) skorunun incelenmesi gerekir.
Alıcı sunucunun eklediği en üstteki Received kaydı güvenilirdir; çünkü bu kaydı alıcı sunucu kendisi yazar. Ancak zincirin altındaki kayıtlar gönderen tarafça manipüle edilebilir. Bu nedenle ilk güvenilir aktarım noktasından önceki kayıtlar şüpheyle değerlendirilmelidir.
Gönderenin kendi sunucusu, iletim öncesinde bazı başlıkları ekleyebilir veya değiştirebilir; ancak alıcı sunucunun eklediği Received ve Authentication-Results başlıklarına dokunmak mümkün değildir. DKIM imzası da gövde ve seçili başlıklar üzerinde kriptografik bütünlük sağladığından imzalanan alanlar değiştirilirse imza geçersiz hale gelir.
Hayır. Bu alan standart (RFC) dışıdır; yalnızca bazı e-posta sağlayıcıları (özellikle webmail hizmetleri) kullanıcı IP'sini bu başlıkla ekler. Gizlilik gerekçesiyle birçok büyük sağlayıcı bu bilgiyi artık eklememeyi tercih etmektedir. Örneğin Gmail, 2012'den itibaren webmail üzerinden gönderilen iletilerde kullanıcı IP'sini başlıklara dahil etmemektedir.
İletinin hangi sunucuda ne kadar beklediği her Received kaydındaki zaman damgasından hesaplanabilir. Geri dönüş (bounce) e-postasındaki başlıklar genellikle SMTP hata kodunu (örn. 550 5.1.1: kullanıcı bulunamadı; 421: geçici red) ve sorunlu sunucunun bilgisini içerir. Bu veriler, sorunu altyapı mı, içerik filtresi mi yoksa DNS mi kaynaklıdır diye belirlemenizi sağlar.
6563 sayılı Kanun ve bağlı Yönetmelik'e göre ticari elektronik iletilerde gerçek gönderici kimliği ve iletişim bilgisi bulunmalı; başlık veya konu satırı yanıltıcı olmamalıdır. BTK'nın İYS (İleti Yönetim Sistemi) entegrasyonu kapsamında onaylı gönderimler için ek teknik gereklilikler de mevcuttur.
DMARC raporları (aggregate ve forensic), alan adı sahibine gönderilen XML tabanlı toplu istatistiklerdir; binlerce iletinin özetini içerir. Başlık analizi ise tek bir ileti üzerinde gerçek zamanlı, detaylı inceleme imkânı sunar. İkisi birbirini tamamlar: DMARC raporları trendi gösterir, başlık analizi somut olayı açıklar.
MXToolbox, Google Apps Toolbox gibi köklü araçlar yaygın olarak kullanılır; ancak başlıkları bu araçlara yapıştırırken hassas veri içerip içermediğini kontrol edin. Başlıklar IP adresleri, dahili sunucu isimleri ve kullanıcı e-posta adresleri barındırabilir. Kurumsal ortamlarda yerel veya açık kaynaklı araçları tercih edin.
From, To, Message-ID gibi alanların sözdizimi burada tanımlanmıştır.DKIM-Signature başlığının yapısını ve doğrulama sürecini kapsamaktadır.Authentication-Results yorumlaması için temel referans.Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.