Güvenlik·
8 Nisan 2026
Her gün milyarlarca e-posta dünya genelinde aktarılıyor; ancak bunların büyük çoğunluğu açık metin olarak iletildiğinden, ağ trafiğini dinleyen herhangi bir üçüncü taraf bu iletişimi okuyabilir. Kurumlar için bu durum hem ticari sır riski hem de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında sorumluluk doğurabilecek ciddi bir güvenlik açığıdır. İşte bu noktada uçtan uca e-posta şifreleme devreye girer; iki temel standart ise S/MIME ve OpenPGP'dir.
Standart SMTP protokolü (RFC 5321), e-postaları düz metin olarak aktarır. TLS (Transport Layer Security) ile sunucu-sunucu şifrelemesi sağlanabilse de, mesaj posta sunucusuna ulaştığında düz metin olarak depolanır ve sunucu yöneticileri tarafından okunabilir hale gelir. Uçtan uca şifreleme ise mesajı yalnızca alıcının özel anahtarıyla çözülebilecek biçimde şifreleyerek bu zafiyeti ortadan kaldırır.
Türkiye'de faaliyet gösteren şirketler açısından bakıldığında, 6698 sayılı KVKK'nın 12. maddesi, veri sorumlularına kişisel verilerin güvenliğini sağlamak amacıyla gerekli teknik tedbirleri alma yükümlülüğü getirir. E-posta yoluyla işlenen kişisel veriler bu kapsamda değerlendirildiğinde, uçtan uca şifreleme "teknik tedbir" olarak kabul edilebilir nitelikte bir uygulamadır. Benzer şekilde 6563 sayılı Elektronik Ticaret Kanunu da ticari iletişimin güvenliğine ilişkin çerçeve belirler.
S/MIME (Secure/Multipurpose Internet Mail Extensions), IETF tarafından RFC 8551 ile tanımlanan bir standarttır. Mesajları şifrelemek ve dijital olarak imzalamak için X.509 sertifikaları kullanır; bu sertifikalar DigiCert, Sectigo, GlobalSign gibi güvenilir Sertifika Otoriteleri (Certificate Authority — CA) tarafından düzenlenir.
Şifreleme mekanizması karma (hibrit) bir yapıya dayanır: Mesaj içeriği simetrik bir oturum anahtarıyla şifrelenir (genellikle AES-256), ardından bu oturum anahtarı alıcının açık anahtarıyla RSA veya ECDH algoritmasıyla şifrelenerek mesaja eklenir. Alıcı kendi özel anahtarıyla önce oturum anahtarını, ardından mesajı çözer.
S/MIME'nin en önemli avantajı, Microsoft Outlook, Apple Mail ve Mozilla Thunderbird gibi yaygın e-posta istemcilerinde ek bir eklenti gerekmeksizin desteklenmesidir. Kurumsal ortamlarda Active Directory ile entegrasyon, sertifika dağıtımını merkezi olarak yönetmeyi kolaylaştırır.
PGP (Pretty Good Privacy), Phil Zimmermann tarafından 1991 yılında geliştirilmiş bir şifreleme programıdır. Zaman içinde OpenPGP adıyla RFC 4880 ile (güncellenmiş sürüm RFC 9580 ile) bir açık standarda dönüştürülmüştür. En yaygın açık kaynaklı uygulaması GNU Privacy Guard'dır (GPG/GnuPG).
OpenPGP, merkezi bir sertifika otoritesine ihtiyaç duymayan "Web of Trust" (Güven Ağı) modelini benimser. Bu modelde kullanıcılar birbirlerinin açık anahtarlarını imzalayarak güven zinciri oluştururlar. Kurumsal kullanımda ise Keybase gibi platformlar ya da dahili anahtar sunucuları (örneğin SKS keyserver ağı) tercih edilir. E-posta istemcisi entegrasyonu için Thunderbird'de dahili destek bulunmakta; Outlook'ta ise Gpg4win (Kleopatra) gibi ek araçlara ihtiyaç duyulmaktadır.
| Özellik | S/MIME | OpenPGP (PGP/GPG) |
|---|---|---|
| Standart | RFC 8551 (X.509 sertifikaları) | RFC 4880 / RFC 9580 (OpenPGP) |
| Güven Modeli | Merkezi CA hiyerarşisi (PKI) | Merkezi olmayan Web of Trust |
| Anahtar Altyapısı | Ücretli CA sertifikası (ücretsiz seçenekler de mevcut) | Ücretsiz, kullanıcı tarafından oluşturulur |
| Simetrik Şifreleme | AES-128/256, 3DES | AES-256, Camellia, Twofish |
| Asimetrik Şifreleme | RSA, ECDH (P-256, P-384) | RSA, ElGamal, ECDH (Curve25519) |
| Dijital İmza | RSA, ECDSA | RSA, DSA, EdDSA (Ed25519) |
| Outlook Desteği | Dahili (ek araç gerekmez) | Gpg4win / Kleopatra gerektirir |
| Thunderbird Desteği | Eklenti ile (Enigmail veya yerleşik) | Thunderbird 78+ ile dahili |
| Apple Mail Desteği | Dahili | GPGMail eklentisi gerektirir |
| Kurumsal Uyum | Active Directory / MDM ile entegrasyon kolay | Merkezi yönetim karmaşık olabilir |
| Kullanım Senaryosu | Kurumsal, uyumluluk odaklı | Teknik kullanıcılar, aktivistler, açık kaynak toplulukları |
Her iki standart da şifrelemenin yanı sıra dijital imzalama özelliği sunar. Dijital imza, gönderenin kimliğini doğrular ve mesajın iletim sırasında değiştirilmediğini kanıtlar. İşleyiş şu şekildedir: Gönderen, mesajın kriptografik özetini (hash — özet) kendi özel anahtarıyla imzalar; alıcı ise gönderenin açık anahtarıyla bu imzayı doğrular. SHA-256 veya SHA-384 gibi güçlü özet algoritmaları kullanıldığında mesajın bütünlüğü garantilenir.
Hukuki açıdan değerlendirildiğinde, 5070 sayılı Elektronik İmza Kanunu kapsamında "güvenli elektronik imza" olarak kabul görmek için nitelikli elektronik sertifika (NES) gerekmekte olup bu sertifikalar yalnızca Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yetkilendirilmiş Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) aracılığıyla temin edilebilir. Standart S/MIME sertifikaları, uçtan uca şifreleme ve kimlik doğrulama amacıyla kullanılabilirse de 5070 sayılı Kanun kapsamındaki hukuki geçerlilik için NES zorunludur.
Kurumsal bir ortamda, özellikle Microsoft Exchange veya Microsoft 365 (eski adıyla Office 365) altyapısı kullanan organizasyonlar için S/MIME doğal tercih olacaktır. Exchange Online'da S/MIME desteği, Microsoft'un resmi dokümantasyonunda ayrıntılı biçimde açıklanmıştır. Sertifika yönetimi Active Directory Sertifika Servisleri (AD CS) üzerinden otomatize edilebilir; bu da büyük kullanıcı topluluklarında yönetimi önemli ölçüde kolaylaştırır.
Öte yandan teknik kullanıcılar, gazeteciler, siber güvenlik araştırmacıları veya merkezi bir CA'ya bağımlı olmak istemeyen organizasyonlar için OpenPGP daha uygun bir seçenek olabilir. Ücretsiz oluşturulabilen anahtar çiftleri ve GnuPG'nin komut satırı esnekliği, otomasyon senaryolarında da değer taşır. Proton Mail gibi şifreli e-posta servisleri de arka planda OpenPGP kullanmaktadır.
Kişisel Verileri Koruma Kurumu (KVKK), 6698 sayılı Kanun'un 12. maddesi uyarınca veri sorumlularının kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek için gerekli teknik ve idari tedbirleri almasını zorunlu kılmaktadır. E-posta yoluyla iletilen özlük bilgileri, sözleşme verileri, sağlık kayıtları gibi kişisel veriler açık metin olarak gönderildiğinde bu yükümlülük ihlal edilmiş sayılabilir. Uçtan uca şifreleme, söz konusu teknik tedbirin somut bir karşılığı olmakla birlikte tek başına yeterli değildir; erişim kontrolü, günlük kaydı (loglama) ve denetim mekanizmalarıyla birlikte bir bütün oluşturmalıdır.
Kurumsal bir S/MIME altyapısı kurmak isteyenler için genel adımlar şunlardır: (1) Güvenilir bir CA'dan (veya AD CS üzerinden dahili CA'dan) S/MIME sertifikası temin edin. (2) Sertifikayı e-posta istemcisine (Outlook, Apple Mail) aktarın. (3) Çalışanlarınızın açık anahtarlarını paylaşmak için bir mekanizma oluşturun (örneğin LDAP dizini veya dahili anahtar sunucu). (4) Politikanızı belirleyin: yalnızca imzalama mı, yoksa şifreleme de mi?
OpenPGP için ise: (1) GnuPG'yi (gpg.org) yükleyin ve bir anahtar çifti oluşturun. (2) Thunderbird (yerleşik OpenPGP desteğiyle) veya Outlook için Gpg4win kurun. (3) Açık anahtarınızı doğrulanmış bir kanalla (keys.openpgp.org gibi) paylaşın. (4) İletişim kurduğunuz tarafların açık anahtarlarını içe aktarın.
Teknik olarak her ikisini de aynı sistemde bulundurabilirsiniz; ancak bir e-posta yalnızca bir standartla şifrelenir. Alıcının aynı standardı desteklemesi gerektiğinden, iletişim kurduğunuz tarafla ortak bir standart üzerinde anlaşmak gerekir. Bazı kurumlar dahili iletişimde S/MIME, dış iletişimde PGP kullanmayı tercih eder.
Actalis (İtalya merkezli CA), kişisel kullanım için ücretsiz S/MIME sertifikası sunmaktadır. Ayrıca Let's Encrypt'in yöneticilerinden Aaron Gable gibi geliştiricilerin liderliğindeki çalışmalarla S/MIME alanında ücretsiz seçenekler genişlemektedir. Kurumsal kullanım için Sectigo, DigiCert veya GlobalSign'ın ücretli ürünleri daha güçlü destek ve garanti sunar.
S/MIME ile şifrelenmiş bir e-postayı Outlook'ta açtığınızda mesaj başlığında kilit simgesi görüntülenir. Thunderbird'de ise mesaj detaylarında şifreleme yöntemi ve sertifika bilgileri listelenir. Apple Mail'de de benzer kilit simgeleri kullanılır. Mesajın ham kaynağına (View Source) bakıldığında, S/MIME iletileri application/pkcs7-mime, PGP iletileri ise application/pgp-encrypted MIME türünü içerir.
Hayır. Hem S/MIME hem de OpenPGP yalnızca e-postanın gövdesini (body) ve eklerini şifreler. Konu satırı (Subject), gönderen (From), alıcı (To) ve tarih (Date) gibi SMTP başlıkları şifrelenmez; bu nedenle metadata analizi mümkün olmaya devam eder. Konu satırının da şifrelenmesi için bazı uygulamalar "Protected Headers" uzantısını (draft-ietf-lamps-header-protection) kullanmaktadır.
Modern uygulamalarında her iki standart da güçlü şifreleme algoritmaları kullanır. OpenPGP'de Curve25519 (Ed25519 ve X25519) ile eliptik eğri kriptografisi yaygınlaşmakta; S/MIME'de ise ECDH/ECDSA (P-256, P-384) desteklenmektedir. Pratik güvenlik açısından algoritma seçiminden çok, özel anahtarın korunması, anahtar uzunluğu (RSA için en az 2048, tercihen 4096 bit) ve yazılım güncellemeleri belirleyicidir.
Web of Trust, kullanıcıların birbirlerinin kimliğini doğrulayıp anahtarlarını imzalamasıyla oluşan merkezi olmayan bir güven ağıdır. Geniş bir kullanıcı tabanında bu model, kimin kimi doğruladığını takip etmeyi ve kurumsal politikaları uygulamayı güçleştirebilir. Bu nedenle kurumsal OpenPGP dağıtımlarında genellikle dahili anahtar sunucuları ve merkezi anahtar yönetim politikaları benimsenir; tamamen merkezi olmayan güven modeli tercih edilmez.
6698 sayılı KVKK, belirli bir şifreleme yöntemini açıkça zorunlu kılmamaktadır; ancak 12. madde kapsamında "gerekli teknik tedbirleri alma" yükümlülüğü, veri türüne ve işleme amacına bağlı olarak şifrelemeyi fiilen zorunlu kılabilir. Özellikle özel nitelikli kişisel veriler (sağlık verileri, biyometrik veriler vb.) e-posta ile aktarılıyorsa şifreleme, alınması beklenen teknik tedbirler arasında sayılır.
TLS (Taşıma Katmanı Güvenliği), e-postanın sunucular arasında iletimi sırasındaki şifrelemeyi sağlar. Ancak mesaj, posta sunucusuna ulaştığında düz metin olarak saklanır. Uçtan uca şifreleme (S/MIME veya OpenPGP) ise mesajın yalnızca alıcının cihazında çözülebildiği için sunucu ele geçirilse dahi içerik korunmuş olur. TLS ve uçtan uca şifreleme tamamlayıcı, birbirinin alternatifi olmayan teknolojilerdir.
Şifreli mesajların içeriği, ara sunucular tarafından taranamadığından bazı spam filtreleri şifreli iletileri şüpheli olarak işaretleyebilir. Kurumsal ortamlarda S/MIME ile imzalanmış (ancak şifrelenmemiş) e-postalar, kimlik doğrulama sayesinde spam puanını düşürebilir. Şifreli iletilerin spam filtresini geçmesi için ağ geçidi düzeyinde politika yapılandırması gerekebilir.
Evet, özel anahtar olmadan daha önce şifrelenmiş iletilerin şifresi çözülemez. Bu nedenle özel anahtarın güvenli bir yedeklemesi kritik önem taşır. Kurumsal S/MIME dağıtımlarında anahtar kurtarma (key escrow) mekanizmaları kullanılabilir; bu yöntemde yedek kopyalar güvenli bir merkezi depoda saklanır. OpenPGP'de ise GnuPG'nin yerleşik revocation certificate (iptal sertifikası) mekanizması kullanılarak kayıp anahtar geçersiz ilan edilebilir.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.