Güvenlik·
7 Nisan 2026
Her gün milyarlarca e-posta ekiyle birlikte iletilen belgeler, sunumlar ve sıkıştırılmış arşivler, siber saldırganların en çok tercih ettiği kanallar arasında yer almaktadır. Antivirüs yazılımlarını atlatmak için sürekli evrilen teknikler, kullanıcıların yalnızca sezgilerine güvenmesini olanaksız kılmaktadır. Hangi dosya uzantılarının gerçekten tehlikeli olduğunu bilmek, kurumsal ve bireysel e-posta güvenliğinin temel taşıdır.
E-posta, kurumsal iletişimin omurgasını oluşturduğundan saldırganlar için son derece cazip bir vektördür. Verizon'un 2023 Veri İhlali Soruşturmaları Raporu (DBIR), kimlik avı (phishing) yöntemlerinin sosyal mühendislik kaynaklı ihlallerin büyük çoğunluğunda rol oynadığını ortaya koymaktadır. Raporun güvenilirliği, 16.000'i aşkın güvenlik olayı incelenerek oluşturulmuş gerçek veriye dayanmasından kaynaklanmaktadır.
Temel sorun, e-posta protokolünün (RFC 5321 — Simple Mail Transfer Protocol) tasarımı gereği içerik doğrulamasına değil iletiye odaklanmasıdır. MIME standardı (RFC 2045–2049), herhangi bir dosya türünün ek olarak gönderilmesine izin verir. Bu özgürlük, kötü niyetli aktörler tarafından istismar edilmektedir.
Aşağıdaki tablo, yaygın e-posta eki türlerini risk düzeyine göre sınıflandırmaktadır. Sınıflandırma, Microsoft Güvenlik Yanıt Merkezi (MSRC), CISA (Cybersecurity and Infrastructure Security Agency) ve SANS Internet Storm Center yayınlarına dayanmaktadır.
| Uzantı / Tür | Açıklama | Risk Düzeyi | Tipik Tehdit |
|---|---|---|---|
| .exe, .com, .scr, .pif | Windows yürütülebilir dosyaları | Çok Yüksek | Doğrudan kötü amaçlı yazılım (malware) çalıştırma |
| .js, .jse, .vbs, .vbe, .wsf | Windows betik (script) dosyaları | Çok Yüksek | WScript/CScript ile sistem komutları çalıştırma |
| .docm, .xlsm, .pptm | Makro etkin Office belgeleri | Yüksek | VBA makroları aracılığıyla zararlı kod indirme |
| .doc, .xls, .ppt (eski format) | Eski ikili Office formatları | Yüksek | Gömülü OLE nesneleri ve makrolar |
| .iso, .img, .vhd | Disk imaj dosyaları | Yüksek | Windows'un otomatik bağlaması (mount) ile MOTW'u atlama |
| .zip, .rar, .7z, .gz | Sıkıştırılmış arşivler | Orta–Yüksek | Zararlı dosyaları antivirüs taramasından gizleme |
| Taşınabilir belge formatı | Orta | JavaScript içeren PDF, gömülü bağlantılar, açık yönlendirme | |
| .lnk | Windows kısayol dosyası | Yüksek | PowerShell veya CMD komutu tetikleyebilir |
| .docx, .xlsx, .pptx | Modern Office XML formatları (makrosuz) | Düşük–Orta | Harici bağlantı (remote template injection) riski |
| .txt, .csv | Düz metin dosyaları | Düşük | Genellikle güvenli; sosyal mühendislik içeriği taşıyabilir |
Saldırganlar, dosyalara fatura.pdf.exe gibi çift uzantı vererek Windows'un varsayılan olarak gizlediği son uzantıyı kullanıcıdan saklar. Kullanıcı fatura.pdf sandığı dosyayı açtığında aslında bir çalıştırılabilir dosya başlatmış olur. Bu teknikten korunmak için Windows'ta "Bilinen dosya türleri için uzantıyı gizle" seçeneği kapatılmalıdır.
Windows, internetten indirilen dosyalara MOTW (Zone.Identifier) etiketi ekler; bu etiket sayesinde Office, makroları otomatik olarak engeller. Ancak .iso veya .zip içine yerleştirilen dosyalar bu etiketi miras almayabileceğinden filtre atlatılabilir. Microsoft, 2022 yılı sonunda yayımladığı güvenlik güncelleştirmeleriyle (CVE-2022-41091) bu açığı büyük ölçüde kapatmıştır; ancak yamalar uygulanmış sistemlerde bile dikkatli olunmalıdır.
VBA (Visual Basic for Applications) makroları, Office belgelerine gömülü küçük programlardır. Saldırganlar bu makroları; uzak sunucudan ikincil yük (payload) indirmek, kullanıcı bilgilerini çalmak veya fidye yazılımı başlatmak için kullanır. Microsoft, 2022'de internet kaynaklı Office dosyalarında makroları varsayılan olarak devre dışı bırakmıştır. Bu politika değişikliği, eski .doc/.xls tabanlı saldırıların görece azalmasına yol açmıştır.
PDF standardı (ISO 32000), JavaScript çalıştırmayı ve harici dosya yüklemeyi destekler. Bazı PDF okuyucuları bu özellikleri varsayılan olarak etkin bırakır. Güvenilir olmayan kaynaklardan gelen PDF dosyaları, tarayıcı tabanlı PDF görüntüleyicilerinde veya güncel olmayan Adobe Acrobat sürümlerinde açıldığında kod çalıştırabilir.
Aşağıdaki katmanlı savunma yaklaşımı, risk yüzeyini önemli ölçüde azaltır:
p=quarantine olarak ayarlamak, alan adı sahteciliğine dayalı saldırıları önemli ölçüde azaltır.Türkiye'de faaliyet gösteren kuruluşlar için e-posta güvenliği yalnızca teknik değil aynı zamanda hukuki bir zorunluluktur.
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) — Madde 12 uyarınca veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesini ve yetkisiz erişimi önlemek amacıyla uygun güvenlik düzeyini sağlamak zorundadır. E-posta yoluyla gerçekleşen bir veri ihlalinde bu yükümlülüğün yerine getirilmediği tespit edilirse idari para cezası uygulanabilir. Kişisel Verileri Koruma Kurumu (KVKK), ihlal bildiriminin 72 saat içinde yapılmasını beklemektedir.
6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun — Ticari elektronik iletilerin teknik güvenliğine ilişkin yükümlülükler bu kanun çerçevesinde değerlendirilmektedir. Bilgi Teknolojileri ve İletişim Kurumu (BTK), ilgili yönetmelikleri yayımlamaktadır.
ISO/IEC 27001:2022 — Uluslararası bilgi güvenliği yönetim sistemi standardı, e-posta güvenliğini Ek-A kontrollerinde (özellikle A.8.23 — Web filtrelemesi, A.5.14 — Bilgi transferi) açıkça ele almaktadır. Bu standarda sertifikalı kuruluşlar, e-posta eki kontrollerini belgeli politikalarla yönetmek durumundadır.
PDF'ler genellikle diğer yürütülebilir dosyalara kıyasla daha düşük risk taşır; ancak tamamen güvenli değildir. JavaScript içeren veya harici kaynaklara bağlantı veren PDF dosyaları, özellikle güncel olmayan okuyucularda tehlike oluşturabilir. Güvenilir olmayan kaynaklardan gelen PDF'leri tarayıcı tabanlı bir görüntüleyicide (ör. Chrome'un yerleşik PDF okuyucusu) açmak, saldırı yüzeyini azaltır.
Çoğu modern antivirüs çözümü arşiv içeriğini tarayabilir; ancak parola korumalı zip dosyaları genellikle taranamaz. Saldırganlar bu durumu bilerek şifreli arşivler gönderir ve parolayı aynı e-postanın gövdesinde paylaşır. Kurumsal güvenlik politikaları, parola korumalı arşivleri karantinaya alacak kurallar içermelidir.
Makro etkinleştirme isteğini içeren belgeler, özellikle beklenmedik kaynaklardan geliyorsa büyük olasılıkla kötü amaçlıdır. Makroyu etkinleştirmeden önce dosyanın gerçek gönderenden geldiğini farklı bir iletişim kanalıyla doğrulayın. Meşru kurumlar nadiren makro etkinleştirmenizi talep eder.
Evet, makro içermeyen modern XML formatları (.docx, .xlsx) daha güvenlidir; ancak "remote template injection" gibi tekniklerle bu dosyalara da makro yüklenebilir. Bu nedenle hiçbir Office formatı %100 güvenli sayılmamalıdır.
.lnk, Windows kısayol dosyasıdır. Çift tıklandığında yalnızca bir hedef dosyaya gitmiyor, aynı zamanda parametre olarak PowerShell veya komut satırı komutları çalıştırabilir. Bu özellik saldırganlar tarafından sıkça istismar edilmektedir. Beklenmedik .lnk ekleri hiçbir koşulda açılmamalıdır.
iOS ve Android'in uygulama kum havuzu (sandbox) mimarisi, masaüstü işletim sistemlerine kıyasla bazı avantajlar sunar. Ancak mobil platformlara yönelik kötü amaçlı yazılım sayısı giderek artmakta; sosyal mühendislik ve kimlik avı bağlantıları mobil cihazlarda da aynı derecede etkili olmaktadır.
Minimum olarak şu uzantılar engellenmelidir: .exe, .com, .scr, .pif, .bat, .cmd, .js, .jse, .vbs, .vbe, .wsf, .wsc, .msi, .msp, .ps1, .lnk, .iso, .img, .vhd. Bu liste statik değildir; yeni tehdit vektörleri ortaya çıktıkça güncellenmesi gerekir.
6698 sayılı KVKK'nın 18. maddesi uyarınca güvenlik önlemlerini almayan veri sorumlusuna 1.000.000 TL'ye kadar idari para cezası uygulanabilir (ceza tavanları her yıl yeniden değerlendirilmektedir). Ayrıca ihlal, 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirilmezse ek yaptırım söz konusu olabilir.
En etkili yöntem, gerçek saldırıları simüle eden phishing simülasyonlarıdır. Bu eğitimler; kullanıcıların tıklama oranını ölçer, hata yapanları anında bilinçlendirir ve zaman içindeki gelişimi takip etmeye olanak tanır. Yılda en az iki kez yapılması önerilir.
Hayır. Tek bir güvenlik katmanı yeterli değildir. Antivirüs yazılımları imza tabanlı çalışır ve sıfır gün (zero-day) saldırılarını kaçırabilir. Etkili koruma; uç nokta güvenliği, e-posta ağ geçidi filtrelemesi, kullanıcı eğitimi ve olay müdahale planını kapsayan katmanlı bir yaklaşım gerektirir.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.