Teknik·
27 Mart 2026
Binlerce işletme, kurumsal e-posta adreslerini barındırmak için aynı anda yüzlerce başka müşteriyle IP adresi paylaşan ucuz hosting paketlerine güvenmektedir. Komşu bir hesabın spam göndermesi, bir güvenlik açığının sömürülmesi ya da basit bir yapılandırma hatası, sizin e-postalarınızın da kara listeye düşmesine, KVKK kapsamında ihlal bildirim yükümlülüğü doğurmasına veya müşterilerinize gönderdiğiniz her mesajın çöp kutusuna gitmesine yol açabilir. Bu riskleri anlamak ve yönetmek, kurumsal iletişimin güvenilirliği açısından kritik önem taşır.
Paylaşımlı hosting, tek bir fiziksel ya da sanal sunucunun kaynaklarının (CPU, RAM, depolama ve ağ bant genişliği) onlarca ila binlerce farklı müşteri arasında paylaştırıldığı barındırma modelidir. Hosting sağlayıcılar maliyet avantajı sunarken genellikle aynı IP adresi havuzunu da tüm müşterilere tahsis eder. E-posta gönderiminde bu durum, gönderici IP adresinin itibarının tüm hesaplar arasında ortak olduğu anlamına gelir.
Bir e-posta sunucusu mesaj gönderdiğinde alıcı taraftaki posta sunucusu, gönderici IP adresini önce yerel kara listelerine (blocklist), ardından Spamhaus, Barracuda Reputation Block List (BRBL) ve Sender Score gibi bağımsız itibar veritabanlarına karşı sorgular. Paylaşımlı bir sunucu üzerindeki başka bir hesap yoğun spam gönderimi yaparsa, o IP'nin itibarı düşer ve aynı IP'yi kullanan tüm hesapların e-postaları reddedilmeye veya spam klasörüne düşmeye başlar. Bu senaryoya "kötü komşu etkisi" (bad neighbor effect) denir.
Modern e-posta kimlik doğrulama altyapısı üç temel standarda dayanır: SPF (Sender Policy Framework, RFC 7208), DKIM (DomainKeys Identified Mail, RFC 6376) ve DMARC (Domain-based Message Authentication, Reporting and Conformance, RFC 7489). Paylaşımlı hosting ortamlarında bu standartların doğru yapılandırılması çoğu zaman kullanıcının kontrolü dışındadır.
SPF (RFC 7208): Hangi IP adreslerinin sizin alan adınız adına e-posta gönderebileceğini tanımlar. Paylaşımlı hosting'de sağlayıcı, kendi IP havuzunu SPF kaydına ekler; bu da yüzlerce başka müşterinin de sizin alan adınız adına teknik olarak geçerli posta gönderebileceği anlamına gelebilir.
DKIM (RFC 6376): E-posta içeriğinin değiştirilmediğini kriptografik olarak imzalayarak doğrular. Paylaşımlı sunucularda DKIM özel anahtarları sunucu düzeyinde yönetilir; sunucuya erişim sağlayan bir saldırgan bu anahtarları ele geçirebilir.
DMARC (RFC 7489): SPF ve DKIM başarısız olduğunda alıcı sunucunun ne yapacağını belirler. DMARC politikasını p=reject olarak ayarlamak meşru postalara zarar verebilir; paylaşımlı ortamlarda bu ayarı optimize etmek güçtür.
Bunlara ek olarak, 2024 yılı başından itibaren Gmail ve Yahoo Mail günde 5.000 ve üzeri e-posta gönderen alanlar için SPF, DKIM ve DMARC'ın zorunlu olduğunu duyurmuştur. Paylaşımlı hosting ile bu gereksinimleri eksiksiz karşılamak teknik olarak mümkün olsa da sağlayıcıya tam bağımlılık anlamına gelir.
Paylaşımlı barındırma ortamları, çok kiracılı (multi-tenant) yapıları nedeniyle çeşitli güvenlik açıklarına zemin hazırlar:
E-posta, kişisel veri niteliği taşıyan bilgileri barındırır. Bu nedenle Türkiye'de faaliyet gösteren işletmeler için iki temel yasal düzenleme öne çıkar:
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK): Madde 12 uyarınca veri sorumluları, işledikleri kişisel verilerin hukuka aykırı olarak açıklanmasını, erişilmesini veya kaybedilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmek zorundadır. Paylaşımlı hosting kaynaklı bir veri ihlalinde, veri sorumlusu olarak şirketiniz bu yükümlülüğü yerine getirmediği gerekçesiyle Kişisel Verileri Koruma Kurulu tarafından idari para cezasıyla karşılaşabilir. Madde 18 kapsamındaki cezalar 2024 yılı itibarıyla güncel yeniden değerleme katsayısına göre önemli tutarlara ulaşmaktadır.
6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETK): Ticari elektronik ileti gönderimi için alıcının önceden onayının alınmasını zorunlu kılar. Aynı IP üzerinden ticari ileti gönderen başka bir hesabın kara listeye girmesi, sizin meşru onaylı listelerinize gönderdiğiniz iletilerin de spam olarak işaretlenmesine neden olabilir. Bu durum hem itibar kaybına hem de ETK'nın 6. maddesi kapsamındaki ihlal riskine yol açar.
BTK'nın "Elektronik Haberleşme Güvenliği Yönetmeliği" de e-posta servislerinde belirli teknik güvenlik standartlarına uyumu teşvik etmektedir.
| Özellik | Paylaşımlı Hosting E-Postası | Dedicated Sunucu / Bulut E-Posta Servisi |
|---|---|---|
| IP itibarı kontrolü | Yok — tüm kiracılarla ortak | Tam kontrol, münhasır IP |
| SPF/DKIM/DMARC yapılandırması | Sınırlı, sağlayıcıya bağımlı | Tam özelleştirme imkânı |
| Şifreleme (depolama) | Genellikle yok veya isteğe bağlı | Varsayılan olarak etkin (enterprise servislerde) |
| SLA (Hizmet Seviyesi Anlaşması) | Genellikle %99 veya altı | %99,9 – %99,99 arası (Google Workspace, Microsoft 365) |
| KVKK uyumluluk kolaylığı | Düşük — veri işleme zinciri belirsiz | Yüksek — DPA sözleşmesi imzalanabilir |
| Kara liste riski | Yüksek (komşu hesaplar) | Düşük (izole IP, izleme araçları) |
| Depolama sınırı | Kısıtlı, genellikle 1–10 GB/hesap | Ölçeklenebilir (örn. Google Workspace'te 30 GB – sınırsız) |
| Yedekleme ve kurtarma | Temel, manuel müdahale gerekebilir | Otomatik, nokta bazlı geri yükleme |
| Maliyet (kullanıcı başına/ay) | ₺30 – ₺100 arası (genellikle) | ₺150 – ₺400 arası (Google Workspace, M365) |
E-posta kara listeleri (DNS-based Blocklists, DNSBL), spam gönderdiği tespit edilen IP adreslerini ve alan adlarını kataloglayan dağıtık veritabanlarıdır. En yaygın kullanılan servisler arasında Spamhaus ZEN, SORBS, Barracuda Reputation Block List ve SpamCop yer alır. Alıcı posta sunucuları, gelen bağlantı isteğinin kaynak IP'sini bu listelere DNS sorgusuyla kontrol eder; listedeki IP'den gelen mesajlar reddedilir ya da spam olarak işaretlenir.
Paylaşımlı hosting müşterileri kara listede olup olmadıklarını genellikle şu belirtilerle fark eder: Müşterilerinden veya iş ortaklarından e-postalarının ulaşmadığına dair geri bildirim almak, NDR (Non-Delivery Report) hata mesajları almak veya e-posta teslimat istatistiklerinde ani düşüş gözlemlemek. MXToolbox (mxtoolbox.com/blacklists.aspx) gibi ücretsiz araçlarla IP durumunuzu anlık olarak sorgulayabilirsiniz.
Paylaşımlı hosting'in barındırdığı risklerden korunmak için izlenebilecek başlıca yollar şunlardır:
p=none → p=quarantine → p=reject şeklinde sıkılaştırmak, meşru posta akışını bozmadan sahte gönderimi engeller.Evet. Paylaşımlı sunucuda yer alan başka bir hesap toplu spam gönderirse, aynı IP'yi kullanan sizin hesabınız da otomatik olarak kara listeye girebilir. Bunun önüne geçmenin tek yolu münhasır (dedicated) IP kullanmaktır.
SPF tek başına yeterli değildir. SPF yalnızca gönderen IP'nin yetkili olup olmadığını doğrular; mesajın içeriğinin değiştirilmediğini garanti etmez (bu DKIM'in görevidir) ve politika uygulamasını tanımlamaz (bu DMARC'ın görevidir). Üç standart birlikte kullanılmalıdır.
6698 sayılı KVKK'nın 12. maddesi, veri sorumlularına kişisel verilerin güvenliğini sağlamak için "teknik ve idari tedbirleri" alma yükümlülüğü getirir. E-posta üzerinden iletilen kişisel veriler (müşteri adı, adresi, sipariş detayları vb.) bu kapsama girer. Yetersiz güvenlik nedeniyle yaşanan ihlaller Kurul tarafından idari para cezasına konu edilebilir.
Sağlayıcının sunduğu DKIM'in doğru yapılandırıldığını ve 2048 bit anahtar uzunluğu kullandığını doğrulamanız gerekir. Eski 1024 bit anahtarlar kriptografik olarak zayıf kabul edilmektedir. Ayrıca DKIM özel anahtarlarının güvenli yönetimi de kritiktir; paylaşımlı ortamlarda bu anahtarlar sunucu genelinde erişilebilir olabilir.
Doğrudan bir hüküm bulunmamakla birlikte, paylaşımlı IP'nin kara listeye girmesi sonucunda onaylı alıcılara ulaşılamaması ETK'nın ticari ileti gerekliliklerini yerine getirmenizi engelleyebilir. Bunun yanı sıra yetersiz güvenlik altyapısı, kişisel veri içeren iletilerin üçüncü taraflarca ele geçirilmesi riskini artırarak hem ETK hem de KVKK açısından sorumluluk doğurabilir.
Türkiye merkezli sağlayıcılarda temel bir VPS (1–2 vCPU, 2–4 GB RAM) aylık ₺200–₺600 aralığında sunulmaktadır. Bu, çok sayıda kullanıcı hesabı barındıran kurumsal senaryolarda paylaşımlı hosting'e kıyasla makul bir maliyet farkı anlamına gelir.
Her iki sağlayıcı da GDPR (AB Genel Veri Koruma Tüzüğü) ile uyumlu Veri İşleme Ek Sözleşmeleri (DPA) sunmakta olup bu sözleşmeler KVKK kapsamındaki yükümlülükleri büyük ölçüde karşılar. Ancak veri işleme faaliyetlerinizi VERBIS'e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt yaptırmanız ve hangi verilerin bu sistemlerde işlendiğini Kişisel Veri Envanterinizde belgelemeniz gerekmektedir.
MXToolbox Blacklist Check (mxtoolbox.com), Spamhaus lookup (check.spamhaus.org) ve Google Postmaster Tools gibi ücretsiz araçları kullanabilirsiniz. Google Postmaster Tools, Gmail'e gönderilen e-postalarınızın alan adı itibarını ve spam oranını izlemenize olanak tanır.
Evet ve bu en sık önerilen yaklaşımdır. DNS MX kayıtlarını ayrı bir e-posta sağlayıcısına (örn. Google Workspace, Microsoft 365 veya özel posta sunucunuza) yönlendirerek web sitenizi hosting'de, e-postanızı güvenli bir altyapıda tutabilirsiniz. Bu yapılandırma birkaç DNS kaydı değişikliğiyle dakikalar içinde gerçekleştirilebilir.
Evet. KVKK, işlenen kişisel veri miktarından bağımsız olarak veri sorumlusu olan tüm gerçek ve tüzel kişilere uygulanır. Üstelik küçük işletmeler için bir müşterinin "e-postanız spam'e düşüyor" demesi büyük bir itibar kaybıdır; bu tür teknik sorunların çözümüne ayıracak BT kaynağı da genellikle kısıtlıdır.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.