Karşılaştırma·
10 Mart 2026
Kurumsal e-posta altyapısı seçimi, yalnızca teknik bir tercih değil; veri egemenliği, operasyonel maliyet ve uyumluluk açısından stratejik bir karardır. Kendi sunucunuzu mu yönetmelisiniz, yoksa bulut tabanlı bir hizmetçiye mi güvenmelisiniz? Bu sorunun yanıtı, işletmenizin ölçeğine, sektörüne ve güvenlik gereksinimlerine doğrudan bağlıdır.
Self-hosted (kendi barındırmalı) e-posta, SMTP, IMAP ve POP3 gibi protokolleri destekleyen sunucu yazılımlarının (Postfix, Dovecot, Microsoft Exchange Server, Zimbra gibi) şirketin kendi veri merkezinde ya da kiraladığı bir VPS/bare-metal sunucuda çalıştırılmasıdır. RFC 5321 standardına göre SMTP sunucuları, posta iletiminde doğrudan alıcı MTA'ya (Mail Transfer Agent) bağlanır; bu da kurumun tüm e-posta trafiği üzerinde tam denetim sahibi olması anlamına gelir.
Bulut e-posta ise Microsoft 365, Google Workspace, Zoho Mail veya Connect365 gibi yönetilen hizmetlerin sunduğu, altyapı yönetiminin tamamen sağlayıcıya devredildiği modeldir. IETF'nin RFC 8314'te tanımladığı TLS şifreleme zorunlulukları da dahil olmak üzere güvenlik yamaları, yedekleme ve yüksek erişilebilirlik (HA) hizmet sağlayıcı tarafından yönetilir.
Self-hosted çözümlerin ilk bakışta "ücretsiz" göründüğü yanılgısı yaygındır. Açık kaynak bir Postfix + Dovecot kurulumu için lisans bedeli olmasa da gizli maliyetler hızla birikmektedir. Bir sunucu yöneticisinin aylık çalışma saati, spam filtresi için ayrılan veri merkezi kaynakları, SSL sertifikaları ve olası ihlallere karşı sigorta kalemleri hesaba katıldığında toplam sahip olma maliyeti (TCO) yıllık kullanıcı başına 150–400 USD aralığına ulaşabilir. Gartner'ın e-posta güvenliği piyasasına ilişkin değerlendirmeleri, operasyonel yükün lisans maliyetini çoğunlukla 3–5 kat aştığını ortaya koymaktadır.
Öte yandan Microsoft 365 Business Basic planı kullanıcı başına aylık 6 USD; Google Workspace Business Starter ise 6 USD'den başlamaktadır. Yönetilen bulut çözümlerinde sistem yöneticisi gereksinimleri büyük ölçüde azalır; bu da KOBİ'ler için gerçek toplam maliyeti self-hosted seçeneğin belirgin biçimde altına çeker.
| Kriter | Self-Hosted | Bulut E-Posta |
|---|---|---|
| Kurulum Süresi | 1–4 hafta (yapılandırma dahil) | 1–3 gün |
| Kullanıcı Başına Tahmini Yıllık TCO | 150 – 400 USD | 72 – 180 USD |
| Veri Egemenliği | Tam kontrol | Sağlayıcıya bağlı |
| Uptime Garantisi (SLA) | Ekibe bağlı (%95–%99,9) | Genellikle %99,9+ |
| Güvenlik Yamaları | Manuel / ekip sorumluluğu | Otomatik |
| Ölçeklenebilirlik | Donanım alımı gerekir | Anında |
| Spam / Antivirus | Ayrıca yapılandırılmalı | Dahil (hizmete göre değişir) |
| KVKK / Veri Yerleşimi Uyumu | Doğrudan sağlanır | Sözleşmeye bağlı |
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) 12. maddesi, veri sorumlularının kişisel verilerin hukuka aykırı erişimini önlemek için gerekli teknik ve idari tedbirleri almasını zorunlu kılmaktadır. Bu açıdan self-hosted çözümler avantaj gibi görünse de gerçekte tam tersi bir risk tablosu ortaya çıkabilir: yama uygulanmamış bir Postfix sürümü ya da yanlış yapılandırılmış SPF/DKIM/DMARC kayıtları, kurumu ciddi güvenlik açıklarına maruz bırakır. Nitekim NIST SP 800-177 Rev.1 kılavuzu, e-posta güvenliği için SPF, DKIM ve DMARC'ın birlikte uygulanmasını öncelikli gereklilik olarak sıralamaktadır.
Bulut sağlayıcıları genellikle ISO 27001, SOC 2 Type II ve GDPR uyumluluğunu belgeli biçimde sunar. Ancak Türkiye'de faaliyet gösteren firmalar için veri yerleşimi kritik bir faktördür: KVKK'nın 9. maddesi, yurt dışına aktarılacak kişisel veriler için açık rıza ya da yeterlilik kararı şartı getirmektedir. Türkiye'de veri merkezi bulundurmayan yabancı bulut sağlayıcılarla çalışılması durumunda bu madde kapsamında ek sözleşme düzenlemeleri (Standart Sözleşme Maddeleri, bağlayıcı şirket kuralları vb.) zorunlu hale gelmektedir.
Self-hosted bir e-posta altyapısını işletmek yalnızca kurulumla bitmez. DNS kayıtları (MX, SPF, DKIM, DMARC, PTR), IP itibar yönetimi, kara liste takibi, TLS sertifika yenileme ve log analizi gibi görevler sürekli dikkat gerektirir. RFC 7208'de tanımlanan SPF mekanizmasının doğru yapılandırılmaması, kurumsal e-postaların spam klasörlerine düşmesine yol açarak iş sürekliliğini tehdit edebilir. Bu nedenle self-hosted tercih eden firmalar en az bir tam zamanlı sistem yöneticisine ya da dış kaynak destek hizmetine ihtiyaç duyar.
Bulut çözümlerinde ise yönetim paneli üzerinden kullanıcı ekleme, parola sıfırlama ve alan adı doğrulama gibi işlemler teknik bilgi gerektirmeksizin dakikalar içinde tamamlanabilir. Google'ın Workspace yönetici yardım merkezi, alan adı MX kaydı güncellemesinin 24–48 saat içinde etkili olduğunu ve ek sunucu yapılandırması gerektirmediğini belgelemektedir.
E-posta teslim edilebilirliği, özellikle pazarlama ve bildirim e-postaları gönderen kurumlar için kritik bir ölçüttür. Yeni kurulan self-hosted sunucular "soğuk IP" problemiyle karşılaşır; büyük alıcı sağlayıcılar (Gmail, Outlook, Yahoo) bilinmeyen IP'lerden gelen postaları istatistiksel filtrelere tabi tutar. Warmup süreci haftalar, hatta aylar alabilir. Return Path (artık Validity) ve Sender Score gibi itibar izleme araçları, IP itibarının ısınma sürecini gerçek zamanlı takip etmeyi mümkün kılar; ancak bu süreç profesyonel yönetim gerektirir.
Yönetilen bulut çözümlerinde sağlayıcılar, yüksek itibar puanına sahip paylaşımlı ya da özel IP havuzları sunar. Connect365 gibi Türkiye merkezli e-posta pazarlama platformları, yerel alan adı itibarını ve Türkçe içerik filtrelerini optimize ederek yerel teslim oranlarını %95'in üzerinde tutabilmektedir.
Bankacılık Düzenleme ve Denetleme Kurumu'nun (BDDK) yayımladığı bilgi sistemleri yönetimi tebliğleri, finansal kuruluşların kritik sistem verilerini yurt içi altyapıda saklamasını zorunlu kılmaktadır. Bu nedenle bankalar, sigorta şirketleri ve ödeme kuruluşları büyük ölçüde self-hosted ya da yerel veri merkezi üzerinden yönetilen özel bulut çözümlerine yönelmektedir. Benzer düzenlemeler Sağlık Bakanlığı'nın sağlık verileri ikincil kullanım yönetmeliği kapsamında hastane ve klinikleri de bağlamaktadır.
Öte yandan hızlı büyüyen teknoloji şirketleri, perakende zincirleri ve e-ticaret firmaları için yönetilen bulut e-posta hizmetleri çok daha verimli bir seçimdir: anında ölçeklenebilirlik, dahili antivirüs koruması ve 7/24 teknik destek, operasyonel riski önemli ölçüde azaltmaktadır.
İki uç seçenek arasında kalan kuruluşlar için hibrit mimari giderek yaygınlaşmaktadır. Bu modelde dahili iletişim ve hassas kurumsal yazışmalar self-hosted sunucularda tutulurken, müşteri dönüşüm e-postaları ve pazarlama kampanyaları bulut tabanlı gönderim altyapısına (SMTP relay veya e-posta pazarlama platformu) yönlendirilir. Microsoft Exchange Hybrid yapılandırması bu yaklaşımın en yaygın örneğidir ve Microsoft'un resmi dağıtım kılavuzu, iki ortam arasında güvenli bağlantı kurulumu için sertifika tabanlı kimlik doğrulama gerekliliğini ayrıntılı biçimde açıklamaktadır.
1. Ekip kapasitesi: Dedicated bir sistem yöneticisi kadronuz yoksa self-hosted'ın operasyonel yükü beklenenden çok daha ağır olacaktır. 2. Veri sınıflandırması: İşlediğiniz verinin hassasiyet düzeyi ve tabi olduğu yasal düzenleme, depolama lokasyonunu doğrudan belirler. 3. Büyüme hızı: Hızlı kullanıcı artışı öngörüyorsanız bulutun esnek ölçeklendirmesi değerli bir avantajdır. 4. Bütçe yapısı: Sermaye harcaması (CAPEX) ile operasyonel harcama (OPEX) modellerini karşılaştırın; self-hosted başlangıçta yüksek CAPEX gerektirirken bulut OPEX'e dayalıdır. 5. Teslim edilebilirlik önceliği: Yüksek hacimli pazarlama e-postası gönderecekseniz itibar yönetimi uzmanlaşmış bir platform gerektirir.
Minimum gereksinim: statik IP adresi tahsisli bir sunucu (fiziksel ya da sanal), PTR (reverse DNS) kaydı, Postfix veya benzeri bir MTA, Dovecot gibi bir IMAP sunucusu ve geçerli bir SSL/TLS sertifikasıdır. Bunlara ek olarak SPF, DKIM ve DMARC DNS kayıtlarının doğru yapılandırılması zorunludur; RFC 7489'da tanımlanan DMARC politikası olmadan gönderici kimlik doğrulama eksik kalır.
Köklü sağlayıcılar ISO 27001 sertifikası ve SOC 2 Type II denetimiyle altyapı güvenliğini belgeler. Ancak şifreleme anahtarlarının kimin elinde olduğu kritik sorudur: bazı sağlayıcılar müşteriye ait anahtar yönetimini (BYOK – Bring Your Own Key) destekler, bu da veri erişimi üzerinde ek kontrol sağlar. Sözleşme incelemesi ve DPA (Veri İşleme Anlaşması) müzakeresi ihmal edilmemelidir.
KVKK uyumluluğu; veri konumuna, sözleşme düzenlemelerine ve teknik tedbirlere bağlıdır. Türkiye'de veri merkezi bulunan bir bulut sağlayıcısı ya da yerli bir platform seçilmesi, 9. madde kapsamındaki yurt dışı aktarım yükümlülüklerini ortadan kaldırır. Self-hosted çözümde sunucu Türkiye'deyse bu sorun doğrudan çözülmüş olur; ancak teknik güvenlik tedbirlerinin 12. madde gerekliliklerini karşılaması yine kurumun sorumluluğundadır.
Doğru yapılandırılmış ve ısıtılmış bir self-hosted sunucu, uzun vadede yüksek teslim oranları sağlayabilir. Ancak başlangıç döneminde soğuk IP sorunuyla başa çıkmak zaman alır. Yönetilen bulut çözümleri, önceden ısıtılmış IP havuzları sayesinde daha hızlı teslim edilebilirlik sağlar; bu durum özellikle e-posta pazarlama kampanyaları için belirleyicidir.
Genel kanıya göre 200–500 kullanıcının altındaki kuruluşlar için yönetilen bulut çözümleri genellikle daha düşük TCO sunar. Bu eşiğin üzerinde, özellikle büyük e-posta hacmi olan kurulumlarda self-hosted ya da özel bulut altyapısına geçiş ekonomik açıdan anlamlı hale gelebilir. Her durumda gerçek bir TCO hesabı yapılmadan karar verilmemelidir.
Self-hosted kurulumda yedekleme tamamen kurum sorumluluğundadır. Dovecot gibi IMAP sunucuları için anlık (snapshot) ve artımlı (incremental) yedekleme stratejilerinin oluşturulması, farklı bir coğrafi konumdaki yedekleme deposuna replikasyon yapılması ve düzenli geri yükleme testlerinin gerçekleştirilmesi önerilir. Bulut çözümlerinde ise sağlayıcı genellikle otomatik yedekleme ve belirli bir süre (örneğin 30 gün) geri yükleme garantisi sunar; bu şartlar SLA sözleşmesinde açıkça yer almalıdır.
Self-hosted ortamlarda SpamAssassin, Rspamd veya ClamAV gibi açık kaynak araçlar spam ve malware filtrelemesi için yaygın biçimde kullanılır. Bunlara ek olarak greylisting, RBL (Realtime Blackhole List) sorguları ve DMARC raporlama mekanizmaları gelen spam oranını önemli ölçüde düşürür. Bununla birlikte bu araçların sürekli güncellenmesi ve ince ayar yapılması teknik uzmanlık gerektirir.
Geçiş süresi posta kutusu sayısına ve veri hacmine bağlıdır. IMAP üzerinden tam klasör ve e-posta geçişi için imapsync gibi araçlar kullanılır; 100 kullanıcılık bir organizasyon için bu süreç genellikle 1–2 hafta alır. Geçiş sırasında MX kayıtlarının kademeli güncellenmesi (düşük TTL değerleriyle) ve geçici çift yönlü yönlendirme yapılması, kesintisiz hizmet devamlılığı açısından kritik öneme sahiptir.
Connect365, Türkiye odaklı bir e-posta pazarlama ve kurumsal iletişim platformu olarak yönetilen bulutun kolaylığını yerel veri yerleşimi avantajıyla birleştirir. Türkçe içerik optimizasyonu, KVKK uyumlu altyapı ve yerel destek ekibi sayesinde uluslararası bulut devlerinin sunmadığı yerel adaptasyon imkânını sağlar. Bu model, özellikle hem uyumluluk hem de operasyonel kolaylık arayan Türk işletmeleri için hibrit yaklaşımın pratik bir alternatifini temsil etmektedir.
Şu soruların yanıtları karar sürecinizi netleştirecektir: Verilerim hangi ülkede saklanacak? Tabi olduğum sektörel düzenlemeler veri yerleşimi kısıtı getiriyor mu? Ekibimde dedicated bir sistem yöneticisi var mı? Önümüzdeki 3 yılda kullanıcı sayım ne kadar artacak? Pazarlama amaçlı yüksek hacimli e-posta göndermem gerekiyor mu? Bu soruların yanıtları, self-hosted, yönetilen bulut ya da hibrit seçeneklerinden hangisinin kurumunuza gerçekten uygun olduğunu ortaya koyacaktır.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.