Güvenlik·
5 Nisan 2026
Titizlikle hazırladığınız e-posta kampanyası, alıcının gelen kutusuna ulaşmak yerine spam klasörüne düşüyorsa sorumlusu yalnızca içerik değildir. Teknik altyapı eksiklikleri, gönderici itibarı sorunları ve kimlik doğrulama protokollerindeki hatalar, modern filtre sistemlerini tetikleyen başlıca nedenlerdir. Bu makalede sorunların kök nedenlerini ve kalıcı çözümlerini adım adım ele alıyoruz.
Günümüz spam filtreleri kural tabanlı yöntemlerden makine öğrenmesi modellerine uzanan çok katmanlı bir mimariye sahiptir. SpamAssassin gibi açık kaynaklı motorlar, her e-postaya onlarca kritere göre puan atar; belirli bir eşiği aşan mesajlar otomatik olarak spam olarak işaretlenir. Microsoft ve Google gibi büyük sağlayıcılar ise bu kurallara ek olarak kendi özel makine öğrenmesi modellerini kullanır.
Filtreler dört ana bileşene bakar:
SPF (Sender Policy Framework — RFC 7208), alan adınız adına hangi IP adreslerinin e-posta gönderebileceğini belirten bir DNS TXT kaydıdır. Yanlış yapılandırılmış ya da eksik bir SPF kaydı, alıcı sunucunun mesajı sahte olarak nitelendirmesine yol açabilir.
DKIM (DomainKeys Identified Mail — RFC 6376), gönderen sunucunun e-postayı özel bir anahtarla imzalamasını sağlar. Alıcı, DNS'te yayımlanan açık anahtarla imzayı doğrular; bu yöntemle içerik değiştirilmediği ve gerçek göndericiden geldiği kanıtlanır.
DMARC (Domain-based Message Authentication, Reporting & Conformance — RFC 7489), SPF ve DKIM doğrulama sonuçlarına göre kimlik doğrulaması başarısız olan mesajlara ne yapılacağını tanımlar: none (yalnızca raporlama), quarantine (spam klasörü) veya reject (reddetme) politikaları mevcuttur. DMARC aynı zamanda alan hizalamayı (alignment) da denetler; yani Kimden (From) başlığındaki alan ile SPF/DKIM alanının eşleşmesi beklenir.
Kimlik doğrulama doğru yapılandırılmış olsa bile gönderici itibarı düşükse e-postalar filtrelerde takılabilir. İtibarı belirleyen başlıca metrikler şunlardır:
| Metrik | Kabul Edilebilir Eşik | İtibar Üzerindeki Etkisi |
|---|---|---|
| Şikayet (complaint) oranı | %0,10'un altı (Google Postmaster hedefi) | Yüksek şikayet oranı IP/domain itibarını hızla düşürür |
| Sert geri dönüş (hard bounce) oranı | %2'nin altı | Geçersiz adreslere sürekli gönderi, IP'yi kara listeye alınma riskiyle karşı karşıya bırakır |
| Açılma oranı | Sektöre göre değişir; %20+ sağlıklı kabul edilir | Düşük açılma oranı, kullanıcı ilgisizliğine işaret eder ve gelecek gönderileri olumsuz etkiler |
| Abonelikten çıkma (unsubscribe) oranı | %0,5'in altı | Yüksek çıkış oranı liste kalitesinin düşük olduğunun sinyalidir |
| Spam tuzağı (spam trap) isabeti | Sıfır | Tek bir spam tuzağı isabeti ciddi kara liste riskine yol açar |
Yeni bir IP adresinden ya da alan adından gönderim yapılacaksa alıcı sağlayıcıların bu adrese güvenmesi zaman alır. IP ısınması, günlük gönderim hacmini kademeli olarak artırarak bu güveni oluşturma sürecidir. Genel kural olarak ilk haftada günde birkaç yüz, ikinci haftada birkaç bin, ardından her hafta hacmi 2-3 kat artırarak ilerlemek önerilir. Bu süre zarfında açılma ve tıklama oranlarının yüksek olduğu en bağlı abonelere öncelik verilmelidir; bu sayede gönderici itibarı olumlu sinyallerle pekiştirilir.
Türkiye'de faaliyet gösteren şirketler için 6563 sayılı Ticari İletişim ve Ticari Elektronik İletiler Hakkında Kanun (ETK), ticari elektronik ileti göndermek için önceden onay alınmasını zorunlu kılar. Çift onay (double opt-in) yöntemi hem bu yasal yükümlülüğü karşılar hem de liste kalitesini artırır: kullanıcı kayıt formunu doldurduktan sonra e-posta adresine gönderilen bir onay bağlantısına tıklayarak aboneliğini doğrular. Bu süreç yanlış ya da bot tarafından girilmiş adresleri ayıklar, şikayet ve geri dönüş oranlarını düşürür.
Liste hijyeni kapsamında düzenli olarak yapılması gerekenler:
Spam filtrelerinin içerik taraması yalnızca "ücretsiz", "kazan" gibi anahtar kelimeleri değil, HTML yapısını da kapsar. Sağlıklı bir e-posta yapısı için şu noktalara dikkat edilmelidir:
List-Unsubscribe ve List-Unsubscribe-Post başlıklarını e-postanıza eklemek, tek tıkla abonelikten çıkmayı sağlar ve büyük sağlayıcılar tarafından zorunlu tutulmaya başlanmıştır.IP adresinizin veya alan adınızın kara listeye (blocklist) alınıp alınmadığını MXToolbox veya MultiRBL gibi araçlarla kontrol edebilirsiniz. Kara listeler arasında en yaygın olanlar Spamhaus (SBL, XBL, PBL), Barracuda ve SORBS'dur. Eğer listelendiyseniz:
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), e-posta adresi de dahil olmak üzere kişisel verilerin işlenmesini açık rıza veya kanunda öngörülen diğer hukuki işleme şartlarına bağlamıştır. E-posta listesi oluşturulurken aydınlatma yükümlülüğünün yerine getirilmesi ve rızanın ispatlanabilir şekilde saklanması zorunludur. ETK ise ticari elektronik ileti gönderimi için önceden onay alınmasını, göndericide ticaret unvanının ve iletişim bilgilerinin yer almasını ve abonelikten çıkma mekanizmasının işlevsel tutulmasını şart koşar. Bu yükümlülükleri yerine getirmeyen işletmeler hakkında Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından idari para cezası uygulanabilir.
Öncelikle alan adınızın SPF, DKIM ve DMARC kayıtlarının doğru yapılandırılıp yapılandırılmadığını kontrol edin. MXToolbox veya Google Admin Toolbox gibi ücretsiz araçlarla bu kayıtları doğrulayabilirsiniz. Ardından IP ve alan adınızın kara listede olup olmadığını denetleyin.
Türk mevzuatı DMARC'ı açıkça zorunlu kılmamaktadır; ancak Google ve Yahoo, Şubat 2024'ten itibaren günde 5.000'den fazla e-posta gönderen göndericiler için geçerli DMARC politikası şartını uygulamaya koymuştur. Teslim edilebilirlik açısından en azından p=none politikasıyla başlamak ve raporları izleyerek p=quarantine veya p=reject'e geçmek önerilir.
Aylık 100.000'in altında e-posta gönderiyorsanız iyi yapılandırılmış bir paylaşımlı IP havuzu yeterli olabilir. Daha yüksek hacimlerde ya da itibar kontrolünü tamamen elinizde tutmak istiyorsanız özel IP tercih edilmelidir; ancak özel IP'nin ısınma sürecinin yönetilmesi gerektiği unutulmamalıdır.
6563 sayılı ETK'nın 9. maddesi, abonelikten çıkma taleplerinin en geç 3 iş günü içinde yerine getirilmesini zorunlu kılmaktadır. Teknik olarak bu süreci 24 saat içinde otomatik işlemeye kavuşturmak hem yasal güvence hem de itibar yönetimi açısından önerilir.
Şikayet oranı %0,10'u aştığında gönderimi geçici olarak azaltın ve son gönderilerinizin içeriğini, frekansını ve liste segmentasyonunu gözden geçirin. Şikayet eden aboneleri listeden kaldırın ve gelecekte çift onay mekanizmasını uygulayın.
Belirli kelimeler tek başına büyük bir risk oluşturmaz; filtreler bağlamı değerlendirir. Bununla birlikte "ücretsiz", "garantili kazanç", "acele et", "son şans" gibi ifadeler aşırı tekrarlandığında veya diğer şüpheli sinyallerle birleştiğinde puan yükseltir. İçeriğinizi SpamAssassin gibi araçlarla göndermeden önce test etmek iyi bir pratiktir.
Doğrudan etkilemez; ancak alıcının e-postayı açma olasılığı yüksek olan saatlerde göndermek katılım oranlarını artırır. Yüksek katılım, dolaylı olarak gönderici itibarını olumlu etkiler. Hedef kitlenizin bulunduğu saat dilimini ve sektörünüze özgü açılma örüntülerini dikkate alın.
Bu, kara listeye göre değişir. Spamhaus SBL için otomatik delisting isteği gönderdikten sonra genellikle birkaç saat ile birkaç gün arasında sürer. Bazı küçük listeler ise manuel inceleme gerektirir ve bu süreç daha uzun olabilir. Sorunun kaynağı giderilmeden yapılan delisting başvuruları reddedilir ya da kısa sürede tekrar listelenmeyle sonuçlanır.
Bypass etmek mümkün değildir ve bu yönde girişimler hesabınızın kalıcı olarak engellenmesine neden olabilir. Doğru yaklaşım, meşru kimlik doğrulama, temiz liste ve değer katan içerikle filtrelerde yüksek puan almaktır.
Connect365 gibi Türkiye odaklı e-posta pazarlama platformları, SPF, DKIM ve DMARC yapılandırmasını platform üzerinden yönetir; size yalnızca DNS kayıtlarınıza gerekli değerleri eklemeniz kalır. Platform sağlayıcısının teknik destek ekibi bu süreçte rehberlik edebilir.
List-Unsubscribe-Post başlığını tanımlayan IETF standardı; Google ve Yahoo tarafından zorunlu tutulmaktadır.Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.