Kamu Kurumları ile E-Posta Yazışmalarında Dikkat Edilecekler

Özel sektörden bir şirket olarak devlet kurumlarına e-posta gönderdiğinizde teknik, hukuki ve protokol açısından birden fazla engelle karşılaşırsınız. Mesajınız spam filtrelerine takılabilir, resmi yazışma kurallarını ihlal edebilir ya da KVKK kapsamında bir veri işleme sorumluluğu doğurabilir. Bu rehber, kamu kurumlarıyla elektronik yazışmayı doğru yapabilmek için bilmeniz gereken her şeyi somut ve doğrulanabilir kaynaklara dayandırarak açıklar.

TL;DR: Kamu kurumlarına e-posta gönderirken alan adınızın SPF, DKIM ve DMARC kayıtlarını eksiksiz yapılandırın; resmi yazışma formatına (kurum adı, konu satırı, imza) özen gösterin; kişisel veri içeren mesajlar için 6698 sayılı KVKK'nın 8. ve 12. maddelerini gözetin. Toplu iletişimde ise 6563 sayılı Kanun'un ticari elektronik ileti hükümleri kamu kurumlarına genellikle uygulanmaz, ancak kurumun onayı olmadan pazarlama içerikli e-posta göndermekten kaçının.

Neden Kamu Kurumlarına E-Posta Göndermek Özel Sektörden Farklıdır?

Bakanlıklar, belediyeler, üniversiteler ve diğer kamu kuruluşları çoğunlukla merkezi e-posta altyapısı kullanır. Türkiye'de birçok kamu kurumu @*.gov.tr veya @*.edu.tr uzantılı alan adları üzerinden çalışır ve bu alan adları BTK tarafından tahsis edilmektedir. Bu sunucular; kurumsal güvenlik duvarları, bağımsız spam filtreleme katmanları ve bazen de "beyaz liste" (whitelist) temelli gelen kutusu politikaları içerebilir. Dolayısıyla alan adınızın e-posta kimlik doğrulama kayıtları eksikse mesajınız teslim edilmeden silinebilir.

Bunun yanı sıra kamu kurumlarıyla yapılan yazışmaların bir kısmı resmi yazışma niteliği taşır ve 2 Şubat 2015 tarihli Resmî Gazete'de yayımlanan Resmî Yazışmalarda Uygulanacak Usul ve Esaslar Hakkında Yönetmelik (Bakanlar Kurulu Kararı: 2014/7074) kapsamına girer. Söz konusu yönetmelik e-posta ile resmi yazışmayı doğrudan düzenlemese de kurumun iç prosedürleri e-posta yoluyla alınan talepleri nasıl işleyeceğini belirler; bu nedenle "resmi yazışma formuna uyan" bir mesaj çok daha hızlı yanıt alır.

Teknik Altyapı: SPF, DKIM ve DMARC

E-postanızın kamu kurumunun sunucusuna ulaşabilmesi için gönderen alan adınızın üç temel DNS kaydını eksiksiz yapılandırması gerekir.

Kayıt Türü	Amacı	RFC Referansı	Eksik Olduğunda Risk
SPF (Sender Policy Framework)	Hangi IP adreslerinin bu alan adı adına e-posta gönderebileceğini bildirir.	RFC 7208	Alıcı sunucu SPF kontrolünü geçemeyen mesajı "softfail" veya "fail" olarak işaretler; spam klasörüne düşer ya da reddedilir.
DKIM (DomainKeys Identified Mail)	Her gönderilen mesaja kriptografik imza ekleyerek içeriğin değiştirilmediğini kanıtlar.	RFC 6376	İmzasız mesajlar iletim sırasında değiştirilmiş sayılabilir; kurumsal güvenlik politikaları bu mesajları otomatik siler.
DMARC (Domain-based Message Authentication, Reporting & Conformance)	SPF ve DKIM sonuçlarını yorumlar; uyumsuz mesajların ne yapılacağını (none / quarantine / reject) tanımlar.	RFC 7489	DMARC kaydı yoksa alıcı sunucu sahtecilik (spoofing) ihtimaline karşı ekstra katı filtreler uygulayabilir.

Uygulamada önerilen minimum yapılandırma şu şekildedir:

SPF: v=spf1 include:<ESP_SPF_DOMAIN> -all — -all ifadesi yetkisiz kaynakları kesinlikle reddeder.
DKIM: En az 2048 bit RSA anahtarı veya Ed25519; anahtar rotasyonu 6-12 ayda bir yapılmalıdır (NIST SP 800-131A önerisi).
DMARC: Başlangıç için p=none; rua=mailto:dmarc-rapor@sizinalandadiniz.com ile raporları izleyin, ardından p=quarantine veya p=reject politikasına geçin.

Hukuki Çerçeve: KVKK, ETK ve BTK Yönetmelikleri

Kamu kurumlarına e-posta gönderirken iki farklı hukuki başlık devreye girer.

6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK)

Yazışmanızda bir kamu görevlisinin adı, unvanı veya kurumsal iletişim bilgileri yer alıyorsa bu veriler KVKK kapsamında kişisel veri sayılır. Kanun'un 8. maddesi kişisel verilerin üçüncü taraflara aktarımını, 12. maddesi ise veri güvenliğine ilişkin teknik ve idari tedbirleri düzenler. Özetle:

Bir devlet memurunun kişisel iletişim bilgilerini (kişisel e-posta, telefon gibi) kurumsal yazışma dışında işliyorsanız açık rıza veya meşru menfaat gerekçesi arayın.
Toplu e-posta listelerinde kamu çalışanlarının kurumsal adreslerini tutuyorsanız bu listenin güvenliğini sağlamak KVKK md. 12 kapsamında zorunludur.
Veri ihlali durumunda Kişisel Verileri Koruma Kurumu'na (KVKK) 72 saat içinde bildirim yapılması gerekir (md. 12/5).

6563 Sayılı Elektronik Ticaret Kanunu (ETK)

6563 sayılı "Elektronik Ticaretin Düzenlenmesi Hakkında Kanun" ticari elektronik ileti gönderimini düzenler. Kamu kurumlarına yönelik yazışmalar kural olarak ticari amaç taşımadığından bu kanunun onay şartı doğrudan uygulanmaz. Ancak kamu kurumuna ürün veya hizmet tanıtımı içeren bir e-posta gönderiyorsanız alıcının "hizmet sağlayıcı" sıfatıyla değil bireysel olarak ele alınıp alınmadığını netleştirmeniz gerekir. BTK'nın Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik (RG: 4 Ocak 2020 – 30998) bu ayrımı açıklar.

Yazışma Formatı ve Protokol Kuralları

Teknik altyapı ne kadar mükemmel olursa olsun içerik ve format yanlışsa e-postanız dikkate alınmayabilir. Kamu kurumlarıyla yazışmada dikkat edilmesi gereken başlıca unsurlar şunlardır:

Konu satırı (Subject): Anlaşılır ve kısa olmalıdır. "Bilgi Talebi – [Konunun Adı] – [Şirket Adı]" formatı kurumun mesajı tasnif etmesini kolaylaştırır.
Kurumsal alan adı: Kişisel alan adlarından (Gmail, Hotmail vb.) gönderilen e-postalar kamu kurumları tarafından çoğunlukla dikkate alınmaz; mutlaka @sirketinizin-alanadi.com.tr kullanın.
İmza bloğu: Ad-soyad, unvan, şirket adı, telefon ve vergi numarası içermelidir. Bu bilgiler kurumun yazışmayı evrak sistemine kaydetmesine yardımcı olur.
Ek dosya formatları: PDF/A formatı arşivleme için tercih edilir; büyük ekleri kurumun güvenlik duvarı engelleyebileceğinden 10 MB sınırını aşmamaya özen gösterin.
CC ve BCC kullanımı: Aynı mesajı birden fazla birime gönderirken BCC yerine ayrı mesajlar gönderin; böylece kurumlar arası veri sızıntısı riski ortadan kalkar.

Spam Filtrelerinden Geçiş: İçerik ve Teknik İpuçları

Kamu kurumlarının e-posta sunucuları çoğunlukla SpamAssassin, Barracuda veya benzeri kurumsal filtreler kullanır. Bu filtrelerin puan sistemine göre mesajınızı "güvenli" kategorisinde tutmak için şu noktalara dikkat edin:

Aşırı büyük harfli konu satırlarından kaçının: "ACİL!! YANIT BEKLİYORUZ" gibi ifadeler spam puanını artırır.
Kısaltılmış URL kullanmayın: bit.ly veya benzeri kısaltılmış bağlantılar filtrelerde yüksek risk puanı alır. Tam ve doğrulanabilir URL'ler kullanın.
HTML/Düz metin dengesi: Yalnızca HTML içeren e-postalar şüpheli bulunabilir. Mesajınızın hem HTML hem de düz metin (plain text) versiyonu olsun; MIME standartlarına (RFC 2045–2049) uygun çok parçalı (multipart/alternative) yapı kullanın.
Gönderim IP itibarı: Paylaşımlı IP kullanıyorsanız gönderim altyapınızın kara listelerde (örn. Spamhaus ZEN, Barracuda BRBL) yer almadığını düzenli olarak kontrol edin.
Gönderim hızı (throttling): Kısa sürede yüzlerce e-posta aynı kuruma gönderilirse sunucu geçici bant dışı bırakma (rate limiting) uygulayabilir. Gönderimlerinizi saate yayın.

İzlenebilirlik ve Yanıt Yönetimi

Kamu kurumlarına gönderdiğiniz e-postaların teslim durumunu ve yanıt sürelerini takip etmek, olası anlaşmazlıklarda kritik öneme sahiptir. Dikkat edilmesi gereken noktalar:

Okundu bildirimi (Read Receipt / MDN – RFC 8098): Bazı kurumsal sunucular bunu otomatik reddeder; dolayısıyla teslim kanıtı olarak yalnızca SMTP delivery receipt (teslim alındısı) veya kurumdan gelen yanıt e-postasını kullanın.
Yazışma kaydı: Kamu kurumlarıyla yapılan yazışmalara ait e-postalar şirketinizin arşivleme politikası kapsamında en az 5 yıl saklanmalıdır (Türk Ticaret Kanunu md. 82). Kişisel veri içeriyorsa KVKK saklama süreleriyle çakışan durumlarda veri minimizasyonu ilkesi uygulanır.
Yanıt süreleri: "Bilgi Edinme Hakkı Kanunu" (4982 sayılı Kanun) kapsamında yapılan başvurulara kurumların 15 iş günü içinde yanıt vermesi yasal zorunluluktur. Bu kanun kapsamında e-posta ile başvuru yapılıyorsa mesajınızın konu satırında "Bilgi Edinme Başvurusu" ibaresini açıkça belirtin.

Sık Sorulan Sorular

Kamu kurumuna gönderdiğim e-posta spam olarak işaretlenirse ne yapmalıyım?

Önce MXToolbox veya benzeri araçlarla SPF, DKIM ve DMARC kayıtlarınızı doğrulayın. Kayıtlar doğruysa kurumun BT birimiyle telefon veya resmi faks yoluyla iletişime geçerek gönderen IP adresinizin beyaz listeye eklenmesini talep edin.

Gmail gibi ücretsiz bir adres kullanarak kamu kurumuna e-posta gönderebilir miyim?

Teknik olarak gönderebilirsiniz, ancak birçok kamu kurumu ücretsiz e-posta adreslerinden gelen yazışmaları resmi kabul etmez veya evrak sistemine kaydetmez. Kurumsal bir alan adı kullanmak hem güvenilirliği artırır hem de SPF/DKIM yapılandırmanızı doğrudan etkileyeceğinden kesinlikle önerilir.

Kamu kurumuna toplu e-posta (newsletter) gönderebilir miyim?

Kamu kurumları 6563 sayılı ETK anlamında "alıcı" değil, ancak pratik açıdan onayları olmadan toplu pazarlama içerikli e-posta göndermeniz kurumla ilişkinizi olumsuz etkiler ve kurumun spam filtrelerinin alan adınızı kalıcı olarak engellemesine yol açabilir. Düzenli iletişim için mutlaka kurumdan yazılı onay alın.

E-postanın resmi yazışma yerine geçmesi için ne gerekir?

Mevcut Türk hukukunda e-postanın tek başına resmi yazışma yerine geçmesi için genellikle Nitelikli Elektronik İmza (NES) kullanımı gerekir (5070 sayılı Elektronik İmza Kanunu, md. 5). NES, el yazılı imzayla eşdeğer hukuki geçerlilik sağlar. Bunun yanı sıra bazı kurumlar KEP (Kayıtlı Elektronik Posta) zorunlu kılabilir.

KEP (Kayıtlı Elektronik Posta) ile normal e-posta arasındaki fark nedir?

KEP, gönderilen mesajın teslim edildiğini, içeriğinin değiştirilmediğini ve zamanını hukuki olarak kanıtlayan zaman damgalı bir sistemdir. BTK'nın yetkilendirdiği KEP hizmet sağlayıcıları (PTTKEP, TNB KEP, Turkcell KEP vb.) bu hizmeti sunar. Kamu kurumlarıyla yapılacak sözleşme, ihale veya hukuki bildirim süreçlerinde KEP kullanımı tavsiye edilir.

Kamu çalışanının kişisel e-postasına yazışma göndermek KVKK ihlali mi?

Kişisel e-posta adresi açıkça KVKK kapsamında kişisel veridir. Bu adresi rızası olmadan kurumsal yazışma amacıyla kullanırsanız KVKK'nın 12. maddesi kapsamında sorumluluk doğabilir. Her zaman kurumun resmi iletişim kanallarını tercih edin.

E-posta ile yapılan bilgi edinme başvurusu geçerli midir?

Evet. 4982 sayılı Bilgi Edinme Hakkı Kanunu kapsamında e-posta ile başvuru yapılabilir. bilgiedinme.gov.tr portalı üzerinden elektronik başvuru da mümkündür. Kuruma doğrudan e-posta gönderiyorsanız konu satırında kanun kapsamında başvurduğunuzu belirtin.

E-posta içeriğinde hangi veriler paylaşılmamalıdır?

TC kimlik numarası, banka hesap bilgileri, sağlık verileri ve biyometrik veriler özel nitelikli kişisel veri sayılır (KVKK md. 6) ve şifrelenmemiş e-posta üzerinden paylaşılmamalıdır. Bu tür veriler için şifreli dosya paylaşım yöntemleri veya kurumun güvenli portal sistemleri kullanılmalıdır.

E-posta ile gönderilen teklif, sözleşme bağlayıcı mı?

Türk Borçlar Kanunu md. 1 gereği sözleşme, tarafların karşılıklı ve birbirine uygun irade beyanıyla kurulur; bu beyan e-posta yoluyla da gerçekleşebilir. Ancak kamu ihalelerinde 4734 sayılı Kamu İhale Kanunu prosedürleri önceliklidir ve teklif sunumu genellikle EKAP (Elektronik Kamu Alımları Platformu) üzerinden yapılır.

E-posta sunucusunu kara listeye alındım; nasıl çıkabilirim?

Önce hangi kara listede yer aldığınızı tespit edin (Spamhaus Lookup, Barracuda Central). Kara listenin kaldırma (delist) formunu doldurun ve gönderim altyapınızı temizleyin (spam kaynaklarını devre dışı bırakın). İşlem 24–72 saat sürebilir.

Kaynaklar ve İleri Okuma

RFC 7208 – Sender Policy Framework (SPF) — SPF protokolünün teknik spesifikasyonu; DNS TXT kaydı sözdizimi dahil.
RFC 6376 – DomainKeys Identified Mail (DKIM) Signatures — DKIM imzalama ve doğrulama mekanizmasının resmi standart belgesi.
RFC 7489 – DMARC (Domain-based Message Authentication, Reporting, and Conformance) — DMARC politika sözdizimi ve raporlama formatı.
6698 Sayılı Kişisel Verilerin Korunması Kanunu – Mevzuat.gov.tr — Kanunun tam metni; 8. ve 12. maddeler e-posta yazışmalarında kişisel veri işleme sorumluluklarını belirler.
6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun – Mevzuat.gov.tr — Ticari elektronik ileti tanımı ve onay zorunluluğu.
Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik (RG: 4 Ocak 2020) — BTK yönetmeliği; ticari elektronik ileti onay, ret ve şikâyet mekanizmaları.
5070 Sayılı Elektronik İmza Kanunu – Mevzuat.gov.tr — Nitelikli elektronik imzanın hukuki geçerlilik koşulları ve el yazılı imzayla eşdeğerliği.
Bilgi Edinme Hakkı Başvuru Portalı (bilgiedinme.gov.tr) — 4982 sayılı Kanun kapsamında kamu kurumlarına elektronik ortamda bilgi edinme başvurusu yapılabilen resmi portal.

Kamu Kurumları ile E-Posta Yazışmalarında Dikkat Edilecekler

Kamu Kurumları ile E-Posta Yazışmalarında Dikkat Edilecekler

Neden Kamu Kurumlarına E-Posta Göndermek Özel Sektörden Farklıdır?

Teknik Altyapı: SPF, DKIM ve DMARC

Hukuki Çerçeve: KVKK, ETK ve BTK Yönetmelikleri

6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK)

6563 Sayılı Elektronik Ticaret Kanunu (ETK)

Yazışma Formatı ve Protokol Kuralları

Spam Filtrelerinden Geçiş: İçerik ve Teknik İpuçları

İzlenebilirlik ve Yanıt Yönetimi

Sık Sorulan Sorular

Kamu kurumuna gönderdiğim e-posta spam olarak işaretlenirse ne yapmalıyım?

Gmail gibi ücretsiz bir adres kullanarak kamu kurumuna e-posta gönderebilir miyim?

Kamu kurumuna toplu e-posta (newsletter) gönderebilir miyim?

E-postanın resmi yazışma yerine geçmesi için ne gerekir?

KEP (Kayıtlı Elektronik Posta) ile normal e-posta arasındaki fark nedir?

Kamu çalışanının kişisel e-postasına yazışma göndermek KVKK ihlali mi?

E-posta ile yapılan bilgi edinme başvurusu geçerli midir?

E-posta içeriğinde hangi veriler paylaşılmamalıdır?

E-posta ile gönderilen teklif, sözleşme bağlayıcı mı?

E-posta sunucusunu kara listeye alındım; nasıl çıkabilirim?

Kaynaklar ve İleri Okuma

Kurumsal e-postaya ₺99'a geçin