Mobil·
19 Mart 2026
Kurumsal iletişimin bel kemiğini oluşturan e-posta, günümüzde yalnızca mesaj göndermekten ibaret değildir. Çalışanların akıllı telefon, tablet ve dizüstü bilgisayar üzerinden kesintisiz erişebildiği, şirket politikalarıyla uyumlu, güvenli ve yönetilebilir bir altyapıyı zorunlu kılmaktadır. Yanlış seçilen bir uygulama, hem veri sızıntısı riskini artırır hem de BT yöneticilerine gereksiz iş yükü bindirir. Bu nedenle kurumsal e-posta uygulaması seçimi, salt kullanıcı deneyiminin ötesinde teknik, hukuki ve operasyonel boyutlarıyla ele alınması gereken stratejik bir karardır.
Bir e-posta uygulamasının sunucuyla nasıl konuştuğu, yönetilebilirlik ve özellik seti açısından belirleyicidir. RFC 3501'de tanımlanan IMAP protokolü, posta kutularının sunucu tarafında senkronize tutulmasını sağlar; bu sayede kullanıcı cihazını değiştirdiğinde tüm yazışma geçmişine erişmeye devam eder. Bununla birlikte IMAP, tek başına takvim, kişi ve görev senkronizasyonu sunmaz.
Microsoft'un Exchange ActiveSync (EAS) protokolü ise e-posta ile birlikte takvim, kişi rehberi ve görev listelerini eş zamanlı olarak senkronize eder; ayrıca uzaktan cihaz silme, parola politikası zorlama ve şifreli iletişim zorunluluğu gibi MDM özelliklerini doğrudan destekler. Apple'ın resmi iOS Mail belgeleri, Exchange hesapları için EAS'ı varsayılan protokol olarak önermekte ve bu sayede Push bildirimlerinin arka plan çalışmasına gerek kalmadan gerçek zamanlı ulaştırıldığını vurgulamaktadır. Benzer şekilde Google, Workspace ortamında modern kimlik doğrulama kapsamında OAuth 2.0 ile korunan IMAP ve SMTP bağlantısını zorunlu kılmakta; yönetici yardım merkezi bu ayarı hesap bazlı açma/kapama seçeneğiyle sunmaktadır.
Son yıllarda giderek yaygınlaşan Microsoft Graph API ise REST tabanlı bir alternatif sunarak Exchange'e bağlı uygulamaların takvim, dosya ve ekip kanallarına tek bir kimlik doğrulama akışıyla erişmesine olanak tanır. Seçeceğiniz uygulamanın bu protokollerden hangilerini desteklediğini ve hangi özellikleri kapsadığını net biçimde belgelemesi gerekir.
6698 sayılı KVKK'nın 12. maddesi, kişisel veri içeren iletişimlerde uygun güvenlik tedbirlerinin alınmasını zorunlu kılmaktadır. Avrupa Birliği'nde geçerli olan GDPR'ın 32. maddesi de paralel bir yükümlülük getirmekte; iletim sırasında ve depolamada şifrelemeyi teknik tedbir olarak önermektedir. Bu yasal çerçevede kurumsal e-posta uygulamasının en az şu özellikleri taşıması beklenir:
Büyük ölçekli kurumsal ortamlarda e-posta uygulamasını ayrı ayrı yapılandırmak yerine merkezi bir mobil cihaz yönetimi (MDM) platformuyla dağıtmak hem operasyonel verimliliği artırır hem de politika tutarlılığını güvence altına alır. Apple Business Manager ile entegre çalışan MDM çözümleri, iOS cihazlara e-posta profilini kullanıcı müdahalesi gerektirmeksizin gönderebilir. Android tarafında Google'ın Android Enterprise programı, "Work Profile" aracılığıyla kişisel ve kurumsal verileri izole eder; bu sayede kullanıcı kendi uygulamalarını yüklemeye devam ederken kurumsal e-posta konteyneri ayrı bir güvenlik alanında çalışır.
Microsoft Intune, Jamf ve VMware Workspace ONE gibi EMM platformları genellikle kendi e-posta istemcileriyle (Outlook, Boxer, Nine) entegre politika dağıtımını destekler. Bu entegrasyon sayesinde BT yöneticisi; ek dosya paylaşımını kısıtlayabilir, kopyala-yapıştır işlemini kurumsal konteyner dışına engelleyebilir ve uzaktan cihaz silme tetikleyebilir. Seçeceğiniz e-posta uygulamasının AppConfig Community standardını destekleyip desteklemediği, MDM uyumluluğu açısından pratik bir gösterge niteliği taşır.
Teknik kriterler ne kadar sağlam olursa olsun, çalışanlar kullanışsız buldukları bir uygulamayı kısa sürede resmi olmayan kanallarla (kişisel Gmail, WhatsApp vb.) ikame etmeye başlar. Bu "gölge BT" olgusu, güvenlik politikalarını fiilen işlevsiz kılar. Dolayısıyla kullanıcı deneyimi de bir seçim kriteri olarak ciddiye alınmalıdır:
Kurumsal e-posta uygulaması seçiminde yalnızca uygulama lisans bedeli değil, toplam sahip olma maliyeti (TCO) değerlendirilmelidir. Kullanıcı başına aylık abonelik modeliyle sunulan uygulamalar başlangıçta cazip görünse de şirket büyüdükçe maliyet hızla artabilir. Öte yandan bazı uygulamalar sunucu tarafı bileşen ya da ağ geçidi lisansı gerektirerek başlangıçta görünmeyen kalemler oluşturur.
| Uygulama | Desteklenen Protokoller | MDM / EMM | S/MIME | Platform | Lisans Modeli |
|---|---|---|---|---|---|
| Microsoft Outlook Mobile | EAS, IMAP, Graph API | Intune, Jamf, diğerleri | Evet | iOS, Android | Microsoft 365 planıyla dahil |
| Apple Mail (iOS / macOS) | IMAP, EAS, POP3 | Apple MDM profili | Evet | iOS, macOS | İşletim sistemiyle ücretsiz |
| Gmail (Google Workspace) | IMAP, SMTP, REST API | Android Enterprise, Jamf | Kısmi (S/MIME Enterprise) | iOS, Android, Web | Kullanıcı başına aylık abonelik |
| Nine – Email & Calendar | EAS, IMAP | AppConfig, Knox | Evet | Android | Tek seferlik veya yıllık lisans |
| Aqua Mail | IMAP, EAS, POP3 | Sınırlı | Evet | Android | Freemium / Pro lisans |
| Edison Mail | IMAP, EAS | Yok | Hayır | iOS, Android | Ücretsiz (reklam tabanlı) |
KVKK'nın yurt dışı veri aktarımına ilişkin 9. maddesi ve Kişisel Verileri Koruma Kurulu'nun bağlayıcı kararları, özellikle kamu kurumları ve finansal kuruluşlar için e-posta verilerinin hangi coğrafyada depolandığını belirleyici kılmaktadır. Microsoft, Azure veri merkezi lokasyonu olarak Türkiye'yi 2024 yılı itibarıyla hizmete açmıştır; bu durum Microsoft 365 kullanan kurumların veri egemenliği gereksinimlerini yurt içinde karşılayabilmesini kolaylaştırmaktadır. Google ise Workspace hizmetlerinde veri bölgesi (data region) politikasıyla Avrupa veya ABD tercihi sunmakta, ancak Türkiye yerel veri merkezi seçeneğini henüz sunmamaktadır. Şirketinizin sektörel mevzuatı (bankacılık, sağlık, telekomünikasyon) varsa bu hususun hukuk departmanıyla birlikte değerlendirilmesi zorunludur.
Kurumsal e-posta sistemi, yasal denetim ve iç uyumluluk süreçleri için gerekli iz kayıtlarını (audit log) üretmelidir. E-posta arşivleme, e-keşif (eDiscovery) ve yasal bekleme (legal hold) özellikleri; sözleşme ihtilafları, iş mahkemesi süreçleri veya düzenleyici incelemeler sırasında kritik önem kazanır. Microsoft 365'in Compliance Center'ı, içerik arama ve dışa aktarma işlevlerini EDRM (Electronic Discovery Reference Model) standardına uygun biçimde sunar. Google Vault ise Gmail ve Drive içeriklerini belirli arama kriterlerine göre dondurarak savcılık veya avukat tarafından incelenmesine olanak tanır. Seçilen uygulamanın bu tür uyumluluk iş akışlarını ne ölçüde desteklediği, özellikle 50'den fazla çalışanı olan şirketler için ihmal edilmemesi gereken bir kriterdir.
Herhangi bir uygulamayı şirket geneline yaymadan önce temsili bir kullanıcı grubuyla (farklı departmanlar, farklı cihaz modelleri, farklı teknik yetkinlik seviyeleri) en az iki haftalık bir pilot test yürütülmesi önerilir. Pilot sürecinde şu metrikler izlenmelidir: ilk kurulum süresi, BT destek talep sayısı, pil tüketimi, batarya ısınması ve bant genişliği kullanımı. Kullanıcı geri bildirimleri yapılandırılmış bir anketle toplanmalı; niteliksel bulgular karar matrisine yansıtılmalıdır. Özellikle Exchange'den farklı bir platforma geçiş planlanıyorsa e-posta geçmiş verilerinin taşınması (migration) süreci de pilot kapsamına alınmalı ve olası veri kaybı senaryoları test edilmelidir.
RFC 3501'de tanımlanan IMAP yalnızca e-posta senkronizasyonunu kapsar; takvim ve kişi verileri ayrı protokollerle (CalDAV, CardDAV) taşınır. Exchange ActiveSync ise e-posta, takvim, kişi ve görev listesini tek bir protokol üzerinden senkronize ederek aynı zamanda uzaktan silme ve parola politikası zorlama gibi MDM özelliklerini doğrudan sunar.
6698 sayılı KVKK'nın 12. maddesi uyarınca kişisel veri içeren e-posta yazışmaları için uygun teknik ve idari tedbirler alınmalıdır. Bu; iletim şifrelemesi, yetkisiz erişim kontrolü, veri ihlali bildirim prosedürleri ve gerektiğinde veri işleme sözleşmesi (DPA) imzalanması anlamına gelir.
Android Enterprise'ın "Work Profile" özelliği, kişisel ve kurumsal uygulamaları ayrı kriptografik konteynerlere yerleştirir. iOS'ta Apple MDM profili aracılığıyla "Managed Open In" politikası uygulanarak kurumsal e-postadan kişisel uygulamalara veri sızması engellenebilir.
Kurumsal ortamlarda S/MIME daha yaygın tercih edilir; zira merkezi sertifika yönetimi (PKI altyapısı) ile kurumsal politika kontrolüne olanak tanır ve Microsoft Outlook, Apple Mail gibi yaygın istemciler tarafından yerel olarak desteklenir. PGP ise web of trust modeline dayandığından merkezi yönetimi zorlaştırır ve genellikle teknik kullanıcıların bireysel tercihiyle sınırlı kalır.
Teknik olarak mümkündür; ancak bu durumda politika zorlama, uzaktan silme ve veri izolasyonu gibi kritik güvenlik kontrolleri uygulanamaz. Özellikle çalışan cihazı kaybolduğunda ya da işten ayrılma gerçekleştiğinde kurumsal e-postanın hızla erişilemez hale getirilmesi için MDM altyapısı fiilen zorunludur.
Push bildirimleri, arka plan senkronizasyon aralığı ve aktif bağlantı koruması (keep-alive) pil tüketimini doğrudan etkileyen faktörlerdir. Exchange ActiveSync'in Push mekanizması, IMAP IDLE'a kıyasla genellikle daha verimli çalışır; zira sunucu, yeni mesaj geldiğinde cihazı kendisi uyarır ve sürekli bağlantı gerektirmez. Pilot test sürecinde işletim sisteminin pil kullanım raporlamasından (iOS Ayarlar → Pil, Android Ayarlar → Batarya) veri alınması önerilir.
En az BT/güvenlik (teknik gereksinimler ve entegrasyon), hukuk/uyumluluk (KVKK, sektörel mevzuat), İK (çalışan gizliliği politikaları) ve satın alma (lisans müzakeresi, TCO analizi) ekipleri dahil edilmelidir. Büyük kurumlarda veri koruma görevlisi (DPO) de bu sürece katılmalıdır.
En yaygın sorunlar arasında klasör yapısının hedef sistemde birebir yansıtılamaması, büyük eklerin taşıma sırasında bozulması veya boyut sınırına takılması, paylaşılan posta kutuları ve dağıtım listelerinin yanlış yapılandırılması ve OAuth 2.0 gibi modern kimlik doğrulama mekanizmalarına geçişte eski istemcilerin bağlantı kuramaması sayılabilir.
Ücretsiz uygulamaların büyük çoğunluğu gelir modelini kullanıcı verisinin analizi veya reklam hedeflemesi üzerine kurar. Örneğin Edison Mail'in gizlilik politikası, toplu ve anonimleştirilmiş e-posta verilerini üçüncü taraflarla paylaştığını açıkça belirtmektedir. Bu durum KVKK kapsamında şirketin "veri sorumlusu" sıfatıyla ciddi yükümlülükler doğurabilir. Kurumsal kullanım için açık kaynaklı veya ticari lisanslı uygulamalar tercih edilmelidir.
Uygulama sağlayıcısının sunduğu SLA, en az %99,9 erişilebilirlik garantisi ve 4 saatlik kritik hata yanıt süresi içermelidir. Türkçe teknik destek kanalının varlığı, yerel iş saatleriyle uyumlu destek penceresi ve sözleşmede yer alan ceza hükümleri (SLA ihlali durumunda kredi/indirim) da müzakere edilmesi gereken unsurlardır. Açık kaynaklı çözümler tercih ediliyorsa destek sorumluluğu kurumun BT ekibine geçtiğinden iç kapasite değerlendirmesi yapılmalıdır.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.