Güvenlik·
7 Nisan 2026
Kurumsal ağların çevresi artık sabit bir duvar değil; bulut servisleri, uzaktan çalışma düzenleri ve mobil cihazlar bu sınırı çoktan ortadan kaldırdı. Siber saldırıların yüzde sekseninden fazlası kimlik bilgisi çalınmasıyla başlıyor ve e-posta bu saldırıların birincil giriş kapısı olmaya devam ediyor. Bu gerçeklik karşısında "güvenli iç ağ" varsayımına dayanan geleneksel güvenlik yaklaşımı işlevsiz kalmaktadır. Zero Trust — "Hiçbir şeye güvenme, her şeyi doğrula" ilkesi — e-posta altyapısında da uygulanabilir ve uygulanmalıdır.
Zero Trust, ilk kez 2010 yılında Forrester Research analistlerinden John Kindervag tarafından formüle edilen ve "asla güvenme, her zaman doğrula" (never trust, always verify) ilkesine dayanan bir güvenlik çerçevesidir. Bu yaklaşım, kurumsal ağ içinde bulunan bir kullanıcının veya cihazın varsayılan olarak güvenilir sayılmamasını öngörür.
NIST SP 800-207 standardı (National Institute of Standards and Technology, 2020), Zero Trust mimarisini yedi temel ilke etrafında tanımlar: tüm veri kaynaklarının kaynak olarak değerlendirilmesi, tüm iletişimlerin güvenli hale getirilmesi, kaynaklara erişimin oturum bazında yetkilendirilmesi, davranışsal analiz ile dinamik politikalar uygulanması ve ağ bütünlüğünün sürekli izlenmesi.
E-posta bu çerçevede özellikle kritik bir konumdadır çünkü Verizon'un 2023 Veri İhlali Araştırmaları Raporu'na (DBIR) göre sosyal mühendislik saldırılarının büyük çoğunluğu e-posta aracılığıyla gerçekleşmektedir. Bunun yanı sıra e-posta, kuruluşların 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamındaki yükümlülüklerini en yoğun biçimde taşıdığı kanallardan biridir.
Zero Trust e-posta güvenliğinin ilk katmanı, gönderen kimliğinin teknik olarak doğrulanmasıdır. Bu amaçla üç temel protokol birlikte çalışır:
SPF (Sender Policy Framework — RFC 7208): Alan adı sahibinin hangi IP adreslerinden e-posta gönderebildiğini DNS TXT kaydı olarak ilan ettiği protokoldür. Alıcı sunucu bu listeyi sorgulayarak zararlı göndericileri tespit eder.
DKIM (DomainKeys Identified Mail — RFC 6376): Gönderenin e-postayı özel anahtarıyla imzaladığı ve alıcının DNS'te yayımlanan açık anahtarla bu imzayı doğruladığı asimetrik şifreleme tabanlı protokoldür. İçerik manipülasyonunu engeller.
DMARC (Domain-based Message Authentication, Reporting and Conformance — RFC 7489): SPF ve DKIM sonuçlarını birleştiren, politika tanımlayan (none / quarantine / reject) ve alan adı sahibine raporlama sunan protokoldür. DMARC'ın p=reject politikasıyla yapılandırılması, alan adı sahteciliğine (spoofing) karşı en güçlü teknik engeldir.
| Protokol | RFC | Koruduğu Tehdit | Yapılandırma Yeri | Zero Trust Katkısı |
|---|---|---|---|---|
| SPF | RFC 7208 | Yetkisiz sunucudan gönderim (IP sahteciliği) | DNS TXT kaydı | Gönderen IP kimliğini doğrular |
| DKIM | RFC 6376 | İçerik manipülasyonu, başlık sahteciliği | Posta sunucusu + DNS | Mesaj bütünlüğünü kriptografik olarak kanıtlar |
| DMARC | RFC 7489 | Alan adı sahteciliği (domain spoofing) | DNS TXT kaydı + raporlama | Politika uygular, görünürlük sağlar |
| BIMI | IETF Draft | Marka güveni, görsel kimlik | DNS + SVG logo | DMARC p=quarantine/reject üstüne katman ekler |
| MTA-STS | RFC 8461 | Aktarım sırasında şifreleme atlama | HTTPS politika dosyası + DNS | TLS zorunluluğu ile kanal güvenliğini sağlar |
Protokol katmanının ötesinde Zero Trust, kurumsal e-posta erişiminde de uygulanır. Geleneksel yaklaşımda çalışan bir kez VPN'e bağlandığında tüm e-posta sistemine erişebilir; bu yaklaşım "güvenilen iç ağ" varsayımı üzerine kuruludur. Zero Trust'ta ise erişim her oturumda bağımsız olarak değerlendirilir.
Çok faktörlü kimlik doğrulama (MFA): NIST SP 800-63B rehberi, kimlik doğrulama güvence düzeylerini üçe ayırır. Kurumsal e-posta erişimi için AAL2 veya AAL3 önerilir; bu düzeylerde SMS tabanlı OTP yerine TOTP (RFC 6238) ya da FIDO2/WebAuthn tabanlı donanım anahtarı kullanımı beklenir.
Cihaz güveni (device trust): Yalnızca kurumsal MDM (Mobile Device Management) kaydındaki veya belirli güvenlik politikalarını karşılayan cihazların e-posta istemcisine erişmesine izin verilir. Bu kontrol Microsoft Intune, Jamf Pro veya benzer araçlarla uygulanır.
En az ayrıcalık ilkesi (least privilege): Çalışana yalnızca göreviyle orantılı posta kutusu erişimi tanınır. Paylaşım kutuları, dağıtım listeleri ve yönetici hesapları sıkı rol tabanlı erişim kontrolüne (RBAC) tabi tutulur.
Sürekli oturum izleme: Kullanıcı davranışı anormallik analizine (UEBA — User and Entity Behavior Analytics) tabi tutulur. Olağandışı saatlerde veya coğrafi konumdan giriş, büyük veri indirme ya da toplu yönlendirme kuralı oluşturma gibi davranışlar gerçek zamanlı uyarı tetikler.
Türkiye'de kurumsal e-posta güvenliği yalnızca teknik bir tercih değil, aynı zamanda yasal bir yükümlülüktür.
6698 sayılı KVKK (Kişisel Verilerin Korunması Kanunu): Madde 12, veri sorumlularına kişisel verilerin güvenliğini sağlamak için teknik ve idari tedbirleri alma zorunluluğu getirir. Kişisel veri içeren e-postaların şifresiz aktarımı veya yeterli erişim denetimi olmaksızın paylaşılması bu maddeyi ihlal edebilir. KVKK md. 18 kapsamında idari para cezaları uygulanmaktadır; Kişisel Verileri Koruma Kurulu'nun kararlarında e-posta güvenliği açıkları nedeniyle veri ihlali bildirimi gerektiren olaylar kayıt altına alınmıştır.
6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETK): Ticari elektronik ileti gönderimi için alıcının onayı ve gönderenin kimliğinin doğrulanabilir olması zorunludur. Bu bağlamda DMARC uygulaması hem teknik hem de yasal gereksinimi karşılar.
BTK Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması Hakkında Yönetmelik (2012): İletişim güvenliğine yönelik teknik önlemlerin alınmasını şart koşar. Bu yönetmelik kapsamında e-posta hizmet sağlayıcıları ve işletmecileri aktarım şifrelemesi (TLS) ve erişim kaydı tutma yükümlülüğü altındadır.
Bir kurumun Zero Trust e-posta güvenliğine geçişi aşamalı olarak gerçekleştirilmelidir. Aşağıdaki sıra, riskin hızla azaltılmasını ve operasyonel sürekliliği gözetir:
p=none ile başlatılarak mevcut durumun gözlemlenmesi.p=quarantine, ardından p=reject politikasına geçiş.E-postanın gönderici ve alıcı arasındaki yolculuğu sırasında şifrelemenin atlatılması ciddi bir tehdit oluşturur. RFC 8461 ile tanımlanan MTA-STS (Mail Transfer Agent Strict Transport Security), alıcı alan adının TLS kullanımını zorunlu kıldığını HTTPS üzerinden ilan etmesini ve gönderenin buna uyması gerektiğini belirtir. Bu protokol, STARTTLS saldırılarını (downgrade attack) engeller.
Buna ek olarak RFC 8460 ile tanımlanan TLS-RPT (TLS Reporting), alıcı alan adı için başarısız TLS bağlantı denemelerinin raporlanmasını sağlar. Bu raporlar, aktarım altyapısındaki güvenlik zafiyetlerinin proaktif tespitine olanak tanır.
Hayır. Zero Trust ilkeleri ölçekten bağımsızdır. Küçük ve orta ölçekli işletmeler SPF/DKIM/DMARC yapılandırması ve MFA zorunluluğuyla Zero Trust'ın temel katmanlarını düşük maliyetle uygulayabilir. Bulut tabanlı e-posta çözümleri (Microsoft 365, Google Workspace) bu kontrollerin büyük bölümünü yerleşik olarak sunar.
Geçiş aşamasında yapılmazsa evet, bozabilir. Bu nedenle önce p=none ile raporlama başlatılır, tüm meşru göndericiler SPF ve DKIM ile hizalanır, ardından p=quarantine ve son olarak p=reject'e geçilir. Bu süreç genellikle 4–12 hafta sürer ve DMARC Analyzer, Postmark veya Google Postmaster Tools gibi araçlarla izlenir.
6698 sayılı KVKK'nın 12. maddesi kapsamında yetersiz teknik tedbir alınması durumunda Kişisel Verileri Koruma Kurulu, md. 18 uyarınca idari para cezası uygulayabilir. Ayrıca veri ihlali gerçekleşmesi halinde ihlal Kurul'a ve ilgili kişilere bildirilmek zorundadır (md. 12/5).
NIST SP 800-63B, SMS tabanlı OTP'yi AAL1 düzeyinde değerlendirmekte ve SIM takası (SIM swapping) saldırılarına karşı kırılgan olduğunu vurgulamaktadır. Kurumsal e-posta erişimi için TOTP (RFC 6238) uygulamaları (Google Authenticator, Microsoft Authenticator) veya tercihen FIDO2/WebAuthn tabanlı donanım anahtarları önerilir.
Microsoft 365'te Koşullu Erişim (Conditional Access) politikaları, Google Workspace'te Context-Aware Access ve BeyondCorp özellikleri Zero Trust kontrollerini doğrudan posta platformuna entegre eder. Bu politikalar cihaz uyumluluğu, konum, oturum riski ve uygulama duyarlılığına göre erişimi dinamik olarak kısıtlar veya onaylar.
Zero Trust'ta "veriyi sınıflandır ve izle" ilkesi gereği e-posta arşivleri de erişim kontrol politikalarına tabi tutulur. Arşive erişim yalnızca yetkili roller tarafından, belirli iş gerekçesiyle ve denetim izi bırakacak biçimde yapılmalıdır. Bu yaklaşım aynı zamanda KVKK'nın kişisel veri saklama ve imha yükümlülükleriyle (Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, 2017) uyumludur.
Zero Trust'ın temel değeri burada ortaya çıkar: iç kullanıcılar da varsayılan olarak güvenilmez kabul edildiğinden, aşırı yetkili hesaplar ve olağandışı veri erişimleri UEBA araçlarıyla tespit edilebilir. En az ayrıcalık ilkesi, veri sızıntısının (data exfiltration) kapsamını sınırlar.
BIMI (Brand Indicators for Message Identification), DMARC p=quarantine veya p=reject politikasının uygulandığı alan adları için e-posta istemcisinde marka logosunun görüntülenmesini sağlar. Bu, alıcının gönderenin kimliğini görsel olarak doğrulamasına yardımcı olur ve kimlik avı (phishing) girişimlerine karşı kullanıcı farkındalığını artırır.
NIST SP 800-207 (Zero Trust Architecture), ISO/IEC 27001:2022 (özellikle Annex A kontrolleri A.8.20, A.8.22), CIS Controls v8 (Kontrol 9: E-Posta ve Web Tarayıcı Korumaları) ve ENISA'nın "Good Practices for Security of IoT and Smart Infrastructures" rehberi başvuru noktaları arasındadır. Türkiye'de BTK'nın Siber Güvenlik Bilgi Sistemi (SGBİS) de kurumsal güvenlik yükümlülüklerini izlemek için kullanılmaktadır.
Ek kimlik doğrulama adımları kullanıcı direncine yol açabilir. Bu riski azaltmak için Single Sign-On (SSO) ile MFA entegrasyonu önerilir: kullanıcı günde bir kez güçlü kimlik doğrulaması yapar, ardından oturum süresi boyunca SSO token'ı geçerlidir. Kullanıcı eğitim programları ve aşamalı geçiş planı da direnç yönetiminde kritik rol oynar.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.