Teknik·
23 Mart 2026
Bir çalışanınız şirketten ayrıldı; eski adresine gelen e-postalar kayboldu. Bir müşteri yanlış yazdı; mesajınız ulaşmadı. Catch-all (her şeyi yakala) adresi bu sorunların klasik çözümüdür; ancak yanlış yapılandırıldığında spam tuzağına, kara listeye ve KVKK sorunlarına kapı açar. Bu yazıda teknik temelini, doğru kullanım senaryolarını ve dikkat edilmesi gereken yasal noktaları ele alıyoruz.
E-posta altyapısı, bir alan adına gelen iletileri MX (Mail Exchanger) kaydı aracılığıyla doğru sunucuya iletir. Sunucu, SMTP oturumu sırasında alıcının var olup olmadığını kontrol eder; eğer adres tanımlı değilse normalde 550 5.1.1 User unknown (RFC 5321, §4.2.3) hatasıyla mesajı reddeder.
Catch-all yapılandırmasında ise sunucu, alan adı için tanımlanmamış her alıcıya gelen mesajı silmek yerine belirlenmiş bir posta kutusuna yönlendirir. Bu yönlendirme, posta sunucusu yazılımına göre farklı biçimlerde tanımlanır:
virtual_alias_maps içine @ornek.com info@ornek.com satırı eklenir.Teknik olarak catch-all, RFC 5321'in "RCPT TO" doğrulamasını sunucu tarafında gevşetir; mesaj kabul edilir, zarf alıcısı hedef kutuya yeniden yazılır. Bu mekanizma, varoluşsal adres doğrulaması (VRFY komutu) veya SMTP geç reddi (callout verification) ile birlikte kullanılmamalıdır; aksi takdirde yönlendirme döngüsüne girilir.
Bu iki kavram sık karıştırılır. Aşağıdaki tablo temel farkları özetler:
| Özellik | Alias (Takma Ad) | Catch-All Adresi |
|---|---|---|
| Kapsam | Yalnızca tanımlı adresi yakalar (satis@ornek.com) |
Tanımlanmamış tüm adresleri yakalar |
| Yapılandırma | Her alias için ayrı kural | Tek wildcard kural |
| Spam riski | Düşük (yalnızca bilinen adresler kabul edilir) | Yüksek (sözlük saldırıları tüm adresleri "geçerli" gösterir) |
| Kullanım amacı | Departman/rol yönlendirmesi | Geçici/yanlış yazılmış adresleri kurtarma |
| Bakım yükü | Her adres için güncelleme gerekir | Tek yapılandırma, otomatik kapsama |
| Bounce davranışı | Tanımsız alıcılar 550 ile reddedilir | Hiçbir adres 550 almaz; bounce oranı düşer, spam artabilir |
Geçerli kullanım senaryoları şunlardır:
destek@ornek.com yerine destk@ornek.com yazabilir. Catch-all bu mesajları düşürmez.Kullanılmaması gereken durumlar: Yüksek hacimli e-posta gönderen veya ESP (E-Posta Servis Sağlayıcı) ile çalışan domain'lerde catch-all açık bırakmak, sender reputation'ı doğrudan etkiler. E-posta doğrulama servisleri bir alanın catch-all olduğunu tespit ederse o domaine ait tüm adresleri "doğrulanamaz" olarak işaretler; bu da teslim edilebilirlik sorunlarına yol açar.
Catch-all'ın en ciddi teknik riski sözlük (dictionary) saldırısıdır: Kötü niyetli göndericiler binlerce rastgele adrese posta göndererek hangisinin aktif olduğunu anlamaya çalışır. Normal bir sunucuda bu denemeler 550 hatası üretir ve liste ayıklanabilir. Catch-all etkinken tüm denemeler kabul edilir; sonuç olarak sunucuya büyük miktarda spam girer ve gönderenler domain'in tüm adresleri "geçerli" sanar.
Bu riski azaltmak için önerilen önlemler:
Catch-all yapılandırması, Türkiye'de iki temel mevzuat kapsamında değerlendirilmelidir:
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK): Catch-all kutusu, potansiyel olarak farklı kişilere ait iletileri toplar. Bu iletiler kişisel veri içeriyorsa (ad, soyad, iletişim bilgisi, sağlık bilgisi vb.) yanlışlıkla catch-all'a düşen mesajlar "kazara elde edilen kişisel veri" niteliği taşıyabilir. KVKK'nın 12. maddesi (Veri güvenliğine ilişkin yükümlülükler) uyarınca veri sorumlusu bu verilerin gizliliğini ve güvenliğini sağlamak zorundadır. Catch-all kutusuna erişimi yalnızca yetkili personelle sınırlandırmak ve gereksiz mesajları kısa sürede silmek bu yükümlülüğün gereğidir.
6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETK) ve ilgili yönetmelikler: Catch-all kutusu, ticari elektronik ileti almış olmayı kasıtsız olarak tetikleyemez; yani catch-all sayesinde gelen bir ticari iletiyi "onay verilmiş" saymak mümkün değildir. Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik (son güncelleme: Temmuz 2022) uyarınca alıcının açık onayı zorunludur.
Özetle: Catch-all bir posta yönetim aracıdır; hukuki bir rıza mekanizması değildir.
E-posta servis sağlayıcıları (SendGrid, Mailchimp, AWS SES, Connect365 gibi) ve spam filtreleri, gönderen alan adlarını değerlendirirken bounce oranını ve spam şikayetini kritik metrikler olarak kullanır. Catch-all olan bir alanın alıcı listesinde bulunması şu sorunu yaratır: Liste doğrulama araçları bu adresleri "var" olarak işaretler; ancak gerçekte o adres hiç kullanılmıyor olabilir. Gönderim sonrası bounce olmaz, fakat mesajlar okunmaz ve spam olarak işaretlenebilir. Bu durum gönderenin itibarını zedeler.
Bu nedenle profesyonel e-posta pazarlama çözümleri, abonelik formlarında double opt-in (çift onay) uygulayarak catch-all alanlarından gelen sahte kayıtları eler.
Etki alanınızın barındırıldığı posta sunucusuna veya kontrol panelinize (cPanel, Plesk, Google Workspace Admin, Exchange Admin Center) erişim yeterlidir. Genellikle "Varsayılan Adres", "Catch-All" veya "Wildcard Alias" adıyla bir ayar bulunur; buraya hedef posta kutusunu girersiniz.
Doğrudan bir güvenlik açığı değildir; ancak sözlük saldırısı yüzey alanını genişletir. Sunucunuz tüm gelen mesajları kabul ettiği için spam hacmi artar, kaynak tüketimi yükselir. SPF/DKIM/DMARC ile birlikte güçlü bir spam filtresi bu riski büyük ölçüde azaltır.
Admin Console → Apps → Google Workspace → Gmail → Default routing yolundan mevcut catch-all kuralı silinir veya "No mailbox — Reject message" seçeneğiyle değiştirilir. Değişiklik yayılımı birkaç dakika sürebilir.
Mesaj içeriği gerçek kişilere ait kimlik, iletişim veya benzeri bilgi barındırıyorsa 6698 sayılı KVKK md. 3/1-d uyarınca kişisel veri sayılır. Yanlışlıkla gelen bu verilerin KVKK md. 12 çerçevesinde korunması, sınırlı süre saklanması ve gerektiğinde imha edilmesi gerekir.
Araç, rastgele bir adrese (zz12xx99@ornek.com gibi) SMTP RCPT TO testi gönderir. Sunucu bu adresi reddetmek yerine "250 OK" yanıtı dönerse alan "catch-all" olarak etiketlenir ve listedeki tüm adreslere "doğrulanamaz" işareti vurulur.
Catch-all alanlarından gelen aboneler list temizleme araçları tarafından "riski belirsiz" kategorisine konur. Bu adresler bounce etmediğinden listeden çıkarılmaz; ancak etkileşim göstermezlerse zamanla gönderenin engagement oranını düşürerek spam klasörüne düşme riskini artırır.
Belirli adresler için alias (takma ad) listesi oluşturmak daha güvenli alternatiftir. info@, destek@, satis@ gibi genel amaçlı alias'lar tanımlayarak yalnızca bu adresler aktif bırakılabilir; diğerleri 550 ile reddedilir.
MX kaydı, catch-all etkinliğinden bağımsızdır; sunucuyu işaret etme amacıyla aynı biçimde kalır. Değişen yalnızca sunucu tarafındaki alıcı doğrulama politikasıdır. Birden fazla MX kaydı (birincil/yedek) kullanıyorsanız catch-all kuralının her iki sunucuda da tutarlı biçimde tanımlı olduğundan emin olun.
Evet. Çoğu posta sunucusu, gelen mesajın "To:" ya da "Delivered-To:" başlığına göre alt klasörlere veya etiketlere yönlendirme kuralı tanımlamaya izin verir. Bu sayede catch-all/eski-calisan/, catch-all/bilinmeyen/ gibi klasörlerle gelen posta düzenli tutulabilir.
6563 sayılı ETK md. 6 uyarınca ticari elektronik ileti gönderilebilmesi için alıcının önceden onayının alınması zorunludur. Catch-all sayesinde gelen bir ileti alıcının onayını ispat etmez; bu nedenle ticari amaçlı gönderimler için catch-all onay mekanizması olarak kullanılamaz. İhlal durumunda Ticaret Bakanlığı idari para cezası uygulayabilir.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.