Sektörel·
28 Nisan 2026
Bir muhasebe ya da mali müşavirlik ofisi, her gün yüzlerce müşteriye ait finansal tablo, vergi beyannamesi, bordro ve ticari sır niteliğindeki bilgileri e-posta üzerinden iletir. Bu verilerin yetkisiz kişilerin eline geçmesi hem müşterinizi hem de ofisinizi telafisi güç hukuki ve mali sonuçlarla karşı karşıya bırakabilir. Oysa doğru yapılandırılmış bir e-posta altyapısı bu risklerin büyük bölümünü ortadan kaldırır.
Türkiye'de serbest muhasebeci mali müşavirler ve yeminli mali müşavirler, 3568 sayılı Kanun gereği mesleki sır saklama yükümlülüğü altındadır. Bu yükümlülük yalnızca fiziksel belgelerle sınırlı kalmayıp dijital iletişimi de kapsar. Aynı zamanda 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde kişisel veri işleyicisi veya veri sorumlusu sıfatını taşıyan her ofis, teknik ve idari güvenlik tedbirlerini almak zorundadır.
Saldırganlar için muhasebe ofisleri cazip bir hedef oluşturur: müşteri IBAN bilgileri, vergi kimlik numaraları, maaş dökümleri ve mali tablolar tek bir posta kutusunda bir arada bulunur. Kimlik avı (phishing) saldırıları ve iş e-postası ele geçirme (Business E-mail Compromise — BEC) saldırıları özellikle finans ve muhasebe sektörüne yönelik olarak artış göstermektedir. FBI'ın IC3 raporlarına göre BEC, dünya genelinde işletmelerin en fazla zarar gördüğü siber suç kategorisi olmaya devam etmektedir.
E-posta altyapısının güvenliği büyük ölçüde DNS kayıtlarıyla sağlanan üç protokole dayanır: SPF, DKIM ve DMARC. Bu protokoller, gönderen alan adınızı taklit eden sahte e-postaların alıcıya ulaşmasını engeller.
| Protokol | RFC | Ne Yapar? | DNS Kaydı Türü | Minimum Öneri |
|---|---|---|---|---|
| SPF (Sender Policy Framework) | RFC 7208 | Alan adı adına e-posta gönderebilecek IP adreslerini listeler | TXT | v=spf1 include:… -all (hard fail) |
| DKIM (DomainKeys Identified Mail) | RFC 6376 | Gönderici sunucu her e-postayı özel anahtarla imzalar; alıcı genel anahtarla doğrular | TXT (selector._domainkey) | 2048-bit RSA veya Ed25519 anahtar |
| DMARC (Domain-based Message Authentication) | RFC 7489 | SPF veya DKIM başarısız olan e-postalara ne yapılacağını (none / quarantine / reject) belirler ve raporlama sağlar | TXT (_dmarc) | p=quarantine ile başla, p=reject'e geç |
| MTA-STS (Mail Transfer Agent Strict Transport Security) | RFC 8461 | Alıcı sunucu TLS'i desteklemiyorsa mesajın iletilmesini engeller | TXT + HTTPS politika dosyası | Kritik veriler için etkinleştir |
Kendi barındırdığınız bir posta sunucusu yoksa bile, kullandığınız e-posta hizmeti (Microsoft 365, Google Workspace vb.) bu kayıtları DNS panelinizden eklemenizi gerektirir. Hizmet sağlayıcınızın kurulum kılavuzunu takip etmek yeterlidir; ancak -all (hard fail) yerine ~all (soft fail) ile bırakmak yaygın bir hatadır — muhasebe ofisleri için hard fail tavsiye edilir.
6698 sayılı KVKK'nın 12. maddesi, veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini ve bunlara hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorunda olduğunu belirtir. Kişisel Veri Güvenliği Rehberi (Kişisel Verileri Koruma Kurumu — KVKK, Ocak 2018) ise e-posta güvenliği özelinde şu tedbirlere atıfta bulunur:
KVKK ihlallerinde Kurul, 6698 sayılı Kanun'un 18. maddesi uyarınca idari para cezası uygulayabilir. 2024 yılı itibarıyla güvenlik ihlali bildirimi yapılmaması durumunda uygulanabilecek üst sınır 1.000.000 Türk lirası olarak güncellenmiştir.
Muhasebe ofisleri zaman zaman müşterilere ya da potansiyel müşterilere hizmet duyurusu, vergi takvimi hatırlatması veya kampanya bilgisi niteliğinde e-postalar gönderir. Bu tür toplu ve ticari nitelikteki iletişimler, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETK) kapsamına girer.
ETK'nın 6. maddesi gereği ticari elektronik ileti göndermek için alıcının önceden onayının alınması zorunludur. Onay olmaksızın gönderilen her bir ticari ileti, Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından denetlenen idari para cezasına yol açabilir. İleti Yönetim Sistemi (İYS — iys.org.tr) üzerinden onay yönetimi yapılması yasal zorunluluktur.
Pratik öneri: Müşteriye gönderilen kişisel iş yazışması (beyanname bildirimi, randevu hatırlatması gibi) ile genel duyuru niteliğindeki toplu postayı farklı gönderici alt alan adlarından yönetin. Örneğin bildirim@ofis.com.tr bireysel iş yazışmaları için, bulten@ofis.com.tr ise ETK kapsamındaki ticari iletiler için kullanılabilir. Bu ayrım hem DMARC raporlamasını kolaylaştırır hem de yasal sorumluluk sınırını netleştirir.
Finansal tablolar ve vergi beyannameleri çoğunlukla PDF veya Excel eki olarak iletilir. Eki şifresiz göndermek, e-postanın aktarım sırasında — sunucu-sunucu TLS olsa bile — ileride ele geçirilmesi durumunda belgeyi açık bırakır. Pratik çözümler şunlardır:
Teknik önlemlerin yanı sıra insan faktörü kritik önem taşır. Sosyal mühendislik saldırılarında hedef çoğunlukla teknik sistem değil, sistemi kullanan kişidir. Ofis içi e-posta güvenlik politikası en azından şunları içermelidir:
| # | Adım | Öncelik | Açıklama |
|---|---|---|---|
| 1 | SPF kaydını yayınla | Yüksek | -all ile hard fail kullan |
| 2 | DKIM imzalamayı etkinleştir | Yüksek | 2048-bit veya daha uzun anahtar tercih et |
| 3 | DMARC politikasını yayınla | Yüksek | p=none ile başla, raporları incele, p=reject'e geç |
| 4 | TLS zorunlu iletim | Yüksek | MTA-STS veya hizmet sağlayıcı ayarlarından zorla |
| 5 | S/MIME veya şifreli PDF | Orta | Finansal ek dosyaları için ek katman şifreleme |
| 6 | İYS kaydı ve onay yönetimi | Yüksek | Ticari iletiler için ETK uyumu |
| 7 | Personel eğitimi | Orta | Yılda en az bir kez phishing tatbikatı |
| 8 | E-posta log arşivleme | Orta | KVKK md. 12 kapsamında erişim loglarını sakla |
| 9 | Çok faktörlü kimlik doğrulama (MFA) | Yüksek | Tüm posta kutuları için TOTP veya donanım anahtarı |
SPF tek başına yeterli değildir. Alıcı sunucular genellikle SPF, DKIM ve DMARC'ın birlikte değerlendirilmesini bekler. DKIM imzası eksikse ya da DMARC politikası p=none olarak kalmışsa filtreler e-postanızı yine de şüpheli bulabilir. DMARC raporlarını (rua= etiketiyle bir adrese yönlendirin) inceleyerek hangi göndericilerin kimlik doğrulamayı geçemediğini tespit edin.
Hukuki bir yaptırım doğrudan yoktur; ancak KVKK Kişisel Veri Güvenliği Rehberi kurumsal e-posta adreslerinin kullanılmasını tavsiye eder. Ücretsiz hizmetler üzerinde veri işleme sözleşmesi (DPA) kurmak güçtür ve müşteri verilerinin hangi sunucularda işlendiği belirsizleşir. Mesleki itibar açısından da kurumsal alan adı (@ofisunvani.com.tr) kullanmak daha güvenilir bir izlenim verir.
KVKK açısından zorunluluk "uygun teknik tedbirler" çerçevesinde değerlendirilir; kanun belirli bir şifreleme yöntemi adını doğrudan belirtmez. Ancak veri ihlali durumunda Kurul, alınan önlemleri inceler. Hassas finansal veriler için ek şifreleme (parola korumalı PDF veya S/MIME) uygulamak ihlal riskini azaltır ve savunma argümanınızı güçlendirir.
6563 sayılı ETK'nın 2. maddesine göre ticari elektronik ileti; telefon, çağrı merkezi, faks, otomatik arama makinesi, akıllı ses kaydedici sistem, elektronik posta, kısa mesaj hizmeti gibi araçlar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli mesajlardır. Müşterinin kendi beyannamesiyle ilgili bireysel bildirim kural olarak ticari ileti sayılmaz; ancak genel "hizmetlerimizi deneyin" veya "kampanyamızdan yararlanın" niteliğindeki toplu postalar ticari ileti kapsamına girer ve İYS üzerinden alınmış onay gerektirir.
DMARC raporları XML formatında gönderilir ve ham haliyle okunması güçtür. dmarcian.com, MXToolbox DMARC Analyzer veya Postmark DMARC Digests gibi ücretsiz/ücretli araçlar bu XML dosyalarını görsel olarak işler ve hangi IP'lerin alan adınız adına e-posta gönderdiğini özet tablolarla sunar. İlk kurulumda en az 30 gün boyunca raporları izleyerek meşru göndericilerin SPF/DKIM'den geçtiğini doğrulayın.
Bu senaryoda BYOD (Bring Your Own Device) politikası ve MDM (Mobile Device Management — Mobil Cihaz Yönetimi) çözümü devreye girer. En azından: posta uygulamasında PIN/biyometrik kilit zorunluluğu, cihaz kayıplarında uzaktan posta hesabı silme yetkisi ve kişisel/kurumsal veri ayrımı (containerization) gibi önlemler alınmalıdır. Microsoft 365 Intune veya Google Workspace'in temel MDM özellikleri ek lisans gerektirmeden kullanılabilir.
KVKK, kişisel verilerin işlendikleri amaç için gerekli olan süre kadar saklanmasını öngörür. Muhasebe mevzuatı açısından ise 213 sayılı Vergi Usul Kanunu'nun 253. maddesi defter ve belgelerin beş yıl boyunca saklanmasını zorunlu kılar. E-posta loglarını da bu genel muhafaza süresiyle uyumlu biçimde — en az beş yıl — arşivlemeniz tavsiye edilir.
Öncelikle üç DNS kaydını ekleyin: SPF, DKIM ve DMARC (p=none modunda). Bu adımlar ücretsizdir ve yalnızca DNS erişimi gerektirir. Ardından tüm posta kutularına MFA ekleyin — Microsoft 365 ve Google Workspace'te ücretsizdir. Son olarak çalışanlara beş dakikalık bir "bu e-postaya tıklamayın" özet eğitimi verin. Bu üç adım, en yaygın saldırı vektörlerinin büyük bölümünü kapatır.
DMARC politikanızı p=reject'e taşımak, alan adınızı taklit eden e-postaların alıcılara ulaşmasını teknik olarak engeller. Bunun yanı sıra Google Postmaster Tools (Gmail ağındaki itibarınızı izler) ve Microsoft SNDS aracılığıyla alan adınızın itibarını takip edebilirsiniz. Suç teşkil eden durumlarda Türkiye'de BTK'ya bildirim yapabilir, alan adı kötüye kullanımı için ise ICANN'ın Whois Abuse kanallarını kullanabilirsiniz.
Türkiye'de e-Güven ve TürkTrust gibi yetkili sertifika otoritelerinin bireysel S/MIME sertifikaları genellikle yıllık birkaç yüz ile bin Türk lirası arasında değişir. Kurumsal toplu lisanslar daha avantajlı olabilir. Ücretsiz alternatif olarak Actalis tarafından sunulan kişisel S/MIME sertifikaları mevcuttur; ancak ücretsiz sertifikalar kurumsal destek ve garanti kapsamı sunmaz.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.