Kurumsal e-posta hesapları her gün hassas iş bilgilerinin taşındığı kritik bir kanal. Veri ihlallerini önlemek için hangi güvenlik katmanlarına ihtiyaç var ve Türk işletmeler KVKK kapsamında nelere dikkat etmeli?
TL;DR — Hızlı Yanıt
Kurumsal e-postada veri güvenliği; TLS şifreleme, SPF/DKIM/DMARC kaydları, güçlü kimlik doğrulama ve KVKK uyumlu altyapıdan geçiyor. Verilerinizin Türkiye sınırları içinde kalması için yerli veri merkezi kullanan, KVKK tam uyumlu bir kurumsal e-posta servisi tercih etmek kritik önem taşıyor. Connect365, Turkcell veri merkezinde barındırılan altyapısıyla bu gereksinimleri karşılayan bir seçenek.
Siber güvenlik araştırmalarına göre şirketlere yönelik siber saldırıların yüzde 90'ından fazlası e-posta yoluyla başlıyor. Fatura PDF'leri, sözleşme taslakları, müşteri verileri, banka bilgileri — bunların tamamı günlük iş yazışmalarının içinde yer alıyor. Bir çalışanın e-posta şifresi ele geçirildiğinde saldırgan yalnızca o çalışanın yazışmalarına değil, çoğu zaman şirket içi sistemlere, bulut depolama alanlarına ve hatta mali tablolara ulaşabiliyor.
Bu tablo Türkiye'deki işletmeler için ek bir boyut taşıyor: 6698 sayılı KVKK, kişisel verilerin yurt dışına aktarılmasına ciddi kısıtlamalar getiriyor. Sunucuları yurt dışında olan bir e-posta sağlayıcısı kullanmak, farkında olmadan KVKK ihlali yapmanıza yol açabilir.
E-posta göndericiden alıcıya ulaşırken pek çok sunucudan geçer. Bu yolculuk sırasında mesajın okunmasını önlemek için TLS (Transport Layer Security) zorunludur. Modern kurumsal e-posta sağlayıcıları, sunucudan sunucuya iletimde TLS 1.2 veya TLS 1.3 kullanmalıdır.
Dikkat edilmesi gereken nokta: TLS yalnızca aktarım sırasında koruma sağlar. Mesaj hedef sunucuya ulaştıktan sonra depolama şifrelemesi ayrıca değerlendirilmelidir.
Bir saldırgan sizin şirket adınıza sahte e-posta gönderebilir; buna e-posta sahteciliği (spoofing) denir. Üç DNS kaydı bu saldırıyı engeller:
Bu üç kaydın birlikte yapılandırılması, şirketiniz adına gönderilen sahte e-postaların büyük bölümünü otomatik olarak engeller.
Şifre güvenliği hâlâ en zayıf halka olmaya devam ediyor. Güvenli bir kurumsal e-posta ortamında şunlar zorunlu olmalıdır:
Saldırıların büyük bölümü phishing (oltalama) e-postasıyla başlar. Kurumsal e-posta çözümleri, yapay zeka destekli spam filtreleri ve şüpheli URL analizi ile bu tür e-postaları gelen kutusuna düşmeden önce engellemelidir. Özellikle CEO dolandırıcılığı (BEC — Business Email Compromise) gibi hedefli saldırılara karşı yönetici hesaplarında ekstra filtreleme katmanı kritik önem taşır.
KVKK madde 9 kapsamında kişisel verilerin yurt dışına aktarılması ilke olarak yasaktır; yeterli koruma veya açık rıza olmadan yapılan aktarımlar idari para cezasına yol açabilir. Bu durum özellikle şu senaryolarda sorun yaratır:
Çözüm: Verilerin Türkiye'deki veri merkezlerinde depolandığı, KVKK tam uyumlu bir e-posta hizmeti kullanmak. Connect365, Turkcell'in Türkiye'deki veri merkezlerini kullanarak bu gereksinimi karşılamaktadır.
| Özellik | Connect365 | Google Workspace | Microsoft 365 | Yandex 360 |
|---|---|---|---|---|
| Veri Lokasyonu | Türkiye | ABD / AB | AB / Küresel | Rusya / AB |
| KVKK Uyumu | Tam uyumlu | Kısmi | Kısmi | Belirsiz |
| TLS Şifreleme | Evet | Evet | Evet | Evet |
| Reklamsız | Evet | Evet | Evet | Hayır (ücretsiz planda) |
| Aylık Fiyat (kullanıcı başı) | ₺99 | ~₺290 | ~₺270 | ~₺200+ |
| Ücretsiz Kurulum & Migrasyon | Evet | Hayır | Hayır | Hayır |
En gelişmiş güvenlik altyapısı bile eğitimsiz bir çalışanın üzerine tıkladığı phishing bağlantısını engelleyemez. Kurumsal e-posta güvenliğinin insan boyutunu güçlendirmek için:
Veri güvenliği yalnızca yetkisiz erişimi önlemekle sınırlı değildir; yanlışlıkla silinen ya da teknik bir arıza sonucunda kaybolan verilerin geri kazanılması da güvenlik kapsamındadır. Kurumsal e-posta ortamınızda şunlara dikkat edin:
Tüm bu güvenlik gereksinimlerini tek çatı altında karşılamak isteyen Türk işletmeleri için Connect365, aylık yalnızca ₺99/kullanıcı (yıllık ödemede ₺83/kullanıcı) ile Turkcell altyapısında barındırılan, KVKK tam uyumlu kurumsal e-posta çözümü sunuyor.
Mevcut e-postalarınızı taşımak için ayrıca ücret ödemiyorsunuz: kurulum ve mail migrasyonu ücretsiz, geçiş sürecini Connect365 ekibi kayıpsız olarak gerçekleştiriyor. IMAP, SMTP ve POP3 protokollerinin tamamı destekleniyor; Classic, Thread ve Dense webmail arayüzlerinden çalışma şeklinize en uygun olanı seçebiliyorsunuz.
Daha fazla bilgi için 0312 434 35 34 numaralı hattı arayabilirsiniz.
Phishing (oltalama), iş e-postası dolandırıcılığı (BEC), kötü amaçlı yazılım ekleri ve e-posta spoofing en yaygın tehditlerdir. Bu saldırıların büyük bölümü SPF, DKIM, DMARC yapılandırması ve çalışan eğitimiyle önlenebilir.
Zorunlu olmasa da bu üç DNS kaydı olmadan alan adınız adına sahte e-posta gönderilmesini engelleyemezsiniz. Ayrıca bu kayıtlar eksikse meşru e-postalarınız spam klasörüne düşebilir. Kurumsal kullanımda kesinlikle yapılandırılması önerilir.
Sunucuların Türkiye'de bulunması ve sağlayıcının KVKK kapsamında veri işleme sözleşmesi (VİS) sunması gerekiyor. Yurt dışında veri depolayan sağlayıcılar, kişisel veri aktarımı hükümleri kapsamında hukuki risk oluşturabilir.
TLS, e-postanın sunucular arasında taşınırken şifrelenmesini sağlar. Uçtan uca şifreleme (S/MIME veya PGP) ise mesajı gönderici cihazında şifreleyip yalnızca alıcı cihazında açılmasına olanak tanır; sunucu bile mesajı okuyamaz. Kurumsal ortamlarda genellikle TLS yeterlidir.
Derhal hesap şifresini sıfırlayın ve aktif oturumları kapatın. Hesabın son erişim loglarını inceleyin; gönderilen e-postaları kontrol edin; varsa e-posta yönlendirme kurallarını silin. Olayı BT/güvenlik birimine bildirin ve diğer çalışanları uyarın.
Araştırmalar, 2FA'nın hesap ele geçirme saldırılarının yüzde 99'undan fazlasını engellediğini gösteriyor. Şifreniz çalınsa bile saldırgan ikinci faktör olmadan hesaba giremez. Kurumsal e-posta hesaplarında 2FA zorunlu hale getirilmesi güçlü bir güvenlik önlemidir.
E-posta arşivleme; yasal uyumluluk, iş anlaşmazlıklarında delil, çalışan ayrılışlarında veri sürekliliği ve yanlışlıkla silinen mesajların kurtarılması açısından kritiktir. Özellikle mali, hukuki ve sağlık sektörlerinde e-posta arşivleme yasal zorunluluk haline gelebilir.
Hayır. Connect365 ekibi, mevcut e-posta hesaplarınızı ve geçmiş yazışmalarınızı kayıpsız olarak taşıma (migrasyon) hizmetini ücretsiz olarak gerçekleştiriyor. Geçiş süreci iş sürekliliğini aksatmadan planlanıyor.
IMAP, SMTP ve POP3 protokollerinin tamamı desteklenmeli; SMTP iletiminde TLS zorunlu olmalı; webmail erişiminde HTTPS kullanılmalıdır. Connect365 bu protokollerin hepsini desteklemektedir.
Sunucuları yurt dışında bulunan sağlayıcılar, KVKK madde 9 kapsamında kişisel veri aktarımı hükümleriyle değerlendirilmelidir. Yeterli koruma düzeyine sahip olmayan ülkelere yapılan aktarımlar için ilgili kişilerin açık rızası veya KVK Kurulu izni gereklidir. Bu nedenle pek çok Türk şirketi Türkiye'de sunucu barındıran sağlayıcıları tercih etmektedir.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.