Teknik·
28 Mart 2026
Kurumsal e-posta altyapısı, bir işletmenin dijital iletişiminin omurgasıdır. Yanlış bir hosting kararı; düşük teslim oranları (deliverability), veri sızıntısı riskleri ve yasal uyumsuzluk gibi ciddi sonuçlar doğurabilir. E-posta sunucusu kurmayı ya da mevcut altyapınızı taşımayı düşünüyorsanız, "en ucuz plan" veya "en fazla disk alanı" gibi yüzeysel ölçütler yerine teknik ve hukuki derinliği olan bir değerlendirme yapmanız gerekir.
Bir e-postanın alıcının gelen kutusuna ulaşması için alıcı sunucu birkaç temel doğrulama mekanizmasını sırayla uygular. Bu mekanizmaların tamamı doğru yapılandırılmış bir hosting ortamına bağlıdır.
Piyasada farklı hosting modelleri bulunmakta olup her modelin e-posta sunucusu işletimi açısından kendine özgü avantaj ve kısıtları vardır. Aşağıdaki tablo temel farklılıkları özetlemektedir.
| Hosting Türü | Adanmış IP | rDNS Yönetimi | Port 25 Açık | KVKK Uyumu | Aylık Maliyet (tahmini) |
|---|---|---|---|---|---|
| Paylaşımlı Hosting | Hayır | Hayır / Kısıtlı | Genellikle Kapalı | Belirsiz | 50–200 ₺ |
| Sanal Özel Sunucu (VPS) | Evet (ek ücretle) | Evet | Evet | Sağlayıcıya Bağlı | 300–1.500 ₺ |
| Fiziksel Sunucu (Dedicated) | Evet | Evet | Evet | Evet (TR datacenter) | 2.000–10.000+ ₺ |
| Yönetilen E-Posta Hizmeti (MSP) | Havuz veya Adanmış | Sağlayıcı Yönetir | Uygulanmaz | SLA'ya Bağlı | Kullanıma Göre |
Not: Port 25, SMTP (Simple Mail Transfer Protocol — RFC 5321) için kullanılan standart gönderim portudur. Birçok paylaşımlı ve bulut sağlayıcı, spam kötüye kullanımını önlemek amacıyla bu portu varsayılan olarak kapatmaktadır.
Paylaşımlı IP havuzu (shared IP pool), aynı IP adresini kullanan onlarca veya yüzlerce müşteriden birinin spam göndermesi durumunda o IP'nin kara listeye (blacklist) girmesine yol açabilir. Bu durumda sizin meşru e-postalarınız da teslim edilemez hale gelir.
Spamhaus, SURBL ve Barracuda gibi küresel kara liste sağlayıcıları, kötü itibarına sahip IP bloklarını günlük olarak günceller. Hosting sağlayıcınızı değerlendirirken o sağlayıcının IP bloklarının bu listelerde yer alıp almadığını MXToolbox Blacklist Checker veya Spamhaus Lookup üzerinden kontrol etmenizi öneririz.
Toplu e-posta gönderimi (bulk mailing) yapan işletmeler için adanmış IP (dedicated IP) neredeyse bir zorunluluktur. Bu sayede IP itibarınız yalnızca kendi gönderim davranışınıza bağlı olur.
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin yurt dışına aktarılmasını belirli koşullara bağlamaktadır (Madde 9). E-posta içerikleri çoğunlukla kişisel veri niteliği taşıdığından, sunucu konumunun Türkiye'de olması hem yasal uyum hem de gecikme (latency) açısından avantaj sağlar.
Bunun yanı sıra Bilgi Teknolojileri ve İletişim Kurumu (BTK), elektronik ticari iletişim alanında çeşitli yönetmelikler yayımlamıştır. 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETK) kapsamındaki ticari e-postalar için alıcının açık rızasının alınması ve İYS (İleti Yönetim Sistemi) entegrasyonunun sağlanması yasal bir yükümlülüktür.
E-posta sunucunuzun barındırıldığı hosting ortamı aşağıdaki güvenlik özelliklerini sunmalıdır:
Bir hosting sağlayıcısını e-posta sunucusu için değerlendirirken aşağıdaki soruların tamamına olumlu yanıt almanız beklenir:
Hosting seçiminiz, kullanmayı planladığınız e-posta sunucu yazılımıyla da uyumlu olmalıdır. Yaygın açık kaynaklı seçenekler arasında Postfix, Exim ve Dovecot sayılabilir. Bu yazılımların sorunsuz çalışabilmesi için hosting ortamının Linux tabanlı olması, kernel parametrelerinin düzenlenebilmesi ve cron işlerinin (zamanlanmış görevlerin) çalıştırılabilmesi gerekir; bu da genellikle en az VPS düzeyinde bir çözüm anlamına gelir.
Öte yandan kendi e-posta sunucunuzu yönetmek ciddi bir teknik yük getirir: spam filtresi güncelleme, sertifika yenileme, log analizi ve kara liste takibi gibi görevler düzenli bakım gerektirir. Bu nedenle ölçek küçükse yönetilen e-posta hizmetleri (Google Workspace, Microsoft 365, Zoho Mail veya Türkiye merkezli alternatifler) değerlendirilebilir.
Hayır, adanmış fiziksel sunucu zorunlu değildir; ancak adanmış IP zorunludur. Bir VPS üzerinde adanmış IP ile e-posta sunucusu kurabilirsiniz. Paylaşımlı hostingde ise genellikle adanmış IP ve rDNS yönetimi mümkün olmadığından e-posta sunucusu kurulumu önerilmez.
SPF kaydınızı doğrulamak için dig TXT yourdomain.com komutu veya MXToolbox gibi çevrimiçi araçlar kullanılabilir. Geçerli bir SPF kaydı v=spf1 ile başlar ve ~all ya da -all yönergesiyle biter. RFC 7208, SPF'nin tam teknik tanımını içermektedir.
1024-bit RSA anahtarları artık yeterince güvenli kabul edilmemektedir; NIST ve çeşitli güvenlik otoriteleri en az 2048-bit kullanılmasını önermektedir. Bazı alıcı sistemler 1024-bit DKIM imzaları için puan düşürebilmektedir.
Port 25, MTA'dan MTA'ya (sunucudan sunucuya) SMTP iletiminde kullanılır. Port 587 ise son kullanıcı istemcilerinin (Outlook, Thunderbird vb.) e-posta göndermek için posta sunucusuna bağlandığı submission portudur ve kimlik doğrulama gerektirir (RFC 6409). Birçok hosting sağlayıcısı spam önlemi olarak port 25'i kısıtlarken 587'yi açık bırakır; bu durum ancak kendi sunucunuza gelen posta almak istemiyorsanız sorun yaratmaz.
6698 sayılı KVKK'nın 9. maddesi, kişisel verilerin yurt dışına aktarılabilmesi için ilgili kişinin açık rızasını veya Kişisel Verileri Koruma Kurulu'nun yeterli koruma bulunduğuna dair kararını ya da bağlayıcı kurumsal kurallar gibi ek güvenceleri şart koşmaktadır. E-posta içerikleri kişisel veri taşıyabileceğinden hukuki risk minimize etmek için Türkiye'deki veri merkezlerini tercih etmek önerilir.
Doğrudan etkilemez; ancak İleti Yönetim Sistemi (iys.org.tr) ile uyumlu ticari e-posta gönderimi yapabilmek için platformunuzun izin durumunu anlık sorgulayabilmesi gerekir. Bu entegrasyonun sorunsuz çalışması için hosting ortamının dışa açık API çağrılarına izin vermesi ve yeterli bant genişliği sunması önemlidir.
İlk adım, hangi kara listede yer aldığınızı tespit etmektir (MXToolbox veya MultiRBL.valli.org kullanılabilir). Ardından spam kaynaklı sorun varsa çözülmeli, ilgili kara liste sağlayıcısına delisting (listeden çıkarma) talebi gönderilmelidir. Spamhaus gibi büyük sağlayıcıların kendi web siteleri üzerinden delisting formu bulunmaktadır.
Hayır, zorunlu değildir. Let's Encrypt gibi ücretsiz ve otomatik sertifika otoriteleri SMTP, IMAP ve web arayüzü için geçerli TLS sertifikası sunar. Sağlayıcınızın Let's Encrypt Certbot'un çalışmasına olanak tanıyan bir ortam (SSH erişimi, port 80/443 açıklığı) sağlaması yeterlidir.
Günlük 10.000'den az e-posta gönderiyorsanız ve teknik ekibiniz sınırlıysa Google Workspace, Microsoft 365 veya Zoho Mail gibi yönetilen hizmetler genellikle daha düşük toplam sahip olma maliyeti (TCO) sunar. Toplu pazarlama e-postası gönderimi, özelleştirilmiş rotalama ihtiyacı veya veri egemenliği kaygılarınız varsa kendi sunucunuzu işletmek daha uygun olabilir.
DMARC politikasını doğrudan p=reject olarak ayarlamak yerine önce p=none (izleme modu) ile başlamak, ardından DMARC raporlarını analiz etmek önerilir. Tüm meşru gönderim kaynaklarının SPF ve DKIM doğrulamasını geçtiğini doğruladıktan sonra p=quarantine ve nihayetinde p=reject moduna geçilebilir. Bu süreç genellikle birkaç hafta ile birkaç ay arasında sürer.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.