Konu İçeriği
E-posta Güvenliği Neden Kritik?
Birkaç yıl önce tanıdığım birinin e-posta hesabını ele geçirdiler. Adam farkında bile değildi, bir gün arkadaşlarından biri “neden bana tane tane para isteyen mail atıyorsun?” diye sordu. Meğer bir aydır hacklenmiş hesabından çevresindeki herkese para talep eden mailler gidiyormuş. Olayı çözmesi günlerini aldı, itibar zedelenmesi ise aylarca sürdü. O günden beri e-posta güvenliği benim için sadece teknik bir konu değil, kişisel bir mesele.
E-posta hala hem bireysel hem de kurumsal iletişimin temel aracı. 2026’da küresel e-posta trafiğinin yuzde kırk beşini spam ve zararlı e-postalar oluşturuyor. Rakam korkutucu ama gerçek. Her gün gelen kutunuza düşen maillerin neredeyse yarısı ya reklam ya dolandırıcılık girişimi ya da zararlı yazılım içeriyor. Zayıf e-posta güvenliği, veri ihlallerinin de birincil nedenlerinden biri. Şifrelerinizi ne kadar güçlü yaparsanız yapın, e-posta hesabınız güvende değilse diğer tüm hesaplarınız da tehlikede demektir.
E-posta Güvenlik Tehditleri
E-posta yoluyla gelen tehditler her geçen gün daha sofistike hale geliyor. Eskiden kötü Türkçesiyle gelen Nijerya prensi mailleriyle karşılaşıyorduk, artık kişinin adını bilmeyen, şirket logosunu kusursuz kopyalayan profesyonel dolandırıcılarla muhatap oluyoruz.
| Tehdit | Açıklama | Etki |
|---|---|---|
| Phishing | Sahte e-postalarla bilgi toplama, banka veya sosyal medya giriş bilgilerinizi çalmaya çalışırlar | Veri hırsızlığı |
| Spoofing | Gönderen adresi taklidi, sizin adınıza başkalarına mail gönderilir | İtibar kaybı |
| Malware ekleri | Zararlı dosya ekleri, bir PDF veya fatura gibi görünür ama aslında virüs taşırlar | Sistem ele geçirme |
| BEC (Business Email Compromise) | Yönetici taklidi, CEO veya müdür adına para transferi talep edilir | Mali kayıp |
| Man-in-the-middle | Ara adam saldırıları, mailleriniz yoldayken dinlenir | Veri dinleme |
Benim en çok karşılaştığım phishing çeşidi kargo bildirimi gibi gelen mailler. “Kargonuz teslim edilemedi, adresinizi güncellemek için tıklayın” diyorlar. İnsan kargo bekliyorsa anında tıklıyor. Bu yüzden her zaman gönderen adresini kontrol etmeyi alışkanlık haline getirdim.
E-posta Güvenlik Protokolleri
Kendi domaininizden mail gönderiyorsanız (ki bir blog veya işletme sahibiysanız muhtemelen öylesiniz) SPF, DKIM ve DMARC kurulumlarını mutlaka yapmanız gerekiyor. Ben bunları öğrendiğimde “neden daha önce kimse söylemedi” demiştim, gerçekten hayat kurtaran ayarlar.
SPF (Sender Policy Framework)
SPF, hangi sunucuların domain adınızla e-posta gönderebileceğini tanımlıyor. Yani birisi sizin domaininizi taklit edip sahte mail göndermek istese, SPF kaydınız olmayan sunuculardan gelen mailler reddediliyor. Ben kendi domainim için Google’ın SPF kaydını ekledim, başka hiçbir sunucudan benim adıma mail gönderilemesin.
DNS TXT kaydi:
v=spf1 include:_spf.google.com include:mail.sunucu.com ~allTilda işareti (~all) “bu listede olmayan sunuculardan gelen mailler şüpheli olarak işaretle” demek. Eğer eksi (-all) kullanırsanız doğrudan reddedilir. Yeni başlıyorsanız önce ~all ile başlayın, her şeyin düzgün çalıştığından emin olun sonra -all’a geçin.
DKIM (DomainKeys Identified Mail)
DKIM, gönderdiğiniz e-postalara dijital imza ekliyor. Bu imza sayesinde alıcı, mailin sizin tarafınızdan gönderildiğini ve yolda değiştirilmediğini doğrulayabiliyor. Düşünün ki mektubunuza mühür basıyorsunuz, alıcı mührün bozulmamış olduğunu gördüğünde mektubun orijinal olduğunu anlıyor.
DKIM kurulumu biraz teknik ama Google Workspace veya Microsoft 365 kullanıyorsanız admin panelinden birkaç tıkla halledilebiliyor. DNS kayıtlarınıza bir TXT kaydı eklemeniz yeterli.
DMARC (Domain-based Message Authentication)
DMARC, SPF ve DKIM sonuçlarına dayanarak ne yapılması gerektiğini belirleyen üst düzey bir politika. Yani SPF veya DKIM doğrulaması başarısız olan mailler için ne yapılacağını siz karar veriyorsunuz: izin ver, karantinaya al ya da reddet.
DNS TXT kaydi:
v=DMARC1; p=reject; rua=mailto:[email protected]Ben başlangıçta p=none ile başladım, birkaç hafta raporları izledim. Hangi maillerin reddedildiğini, hangi sunucuların sorun çıkardığını gördüm. Emin olduktan sonra p=reject’e geçtim. Bu şekilde kimse benim domainimi taklit edemiyor.
Bireysel E-posta Güvenlik İpuçları
Kendi hesabınızı korumak için yapabileceğiniz basit ama etkili adımlar var. Ben hepsini uyguluyorum ve şu ana kadar hiçbir sorun yaşamadım:
- Şüpheli e-postalardaki bağlantılara asla tıklamayın. Bankanız size hiçbir zaman “hesabınız kilitlendi, tıklayın” diye mail atmaz. Gerekirse tarayıcıya manuel olarak bankanızın adresini yazın.
- Gönderen adresini her zaman kontrol edin. “[email protected]” ile “[email protected]” arasındaki farkı fark etmek önemli. Dolandırıcılar domainin sonuna veya ortasına bir kelime ekliyorlar.
- İki faktörlü kimlik doğrulama (2FA) kullanın, bu şart. Şifreniz çalınmış olsa bile telefonunuza gelen kod olmadan hesabınıza girilemez.
- Güçlü ve benzersiz parolalar belirleyin. Her hesap için ayrı şifre kullanın, ben Bitwarden ile tüm şifrelerimi yönetiyorum.
- E-posta eklerini virüs taramasından geçirin, özellikle .exe, .zip ve beklenmeyen .pdf dosyalarına dikkat edin.
- Hassas bilgi içeren e-postaları şifreleyin, özellikle kimlik bilgisi veya finansal veri paylaşıyorsanız.
Kurumsal E-posta Güvenliği
Bir şirketin e-posta güvenliği sadece IT departmanının sorunu değil, tüm organizasyonun sorunu. Bir çalışanın tıkladığı tek bir phishing maili bütün şirketi felç edebilir. Kurumsal düzeyde almanız gereken önlemler:
- Şifreli iletişim: TLS/SSL zorunlu kılın. Sunucunuzda şifresiz iletişimi tamamen kapatın.
- E-posta filtreleme: Spam ve malware filtreleri kurun. Google Workspace ve Microsoft 365 bu konuda gayet başarılı ama üçüncü parti çözümler de mevcut.
- DLP (Data Loss Prevention): Veri sızıntısını önleyin. Çalışanların şirket dışına kredi kartı numarası, TC kimlik numarası gibi hassas veri göndermesini engelleyin.
- Eğitim: Çalışanlara phishing farkındalık eğitimi verin. Benim gördüğüm en etkili yöntem sahte phishing mailleri göndermek ve kim tıkladıysa eğitime almak. İnsanlar deneyimleyerek öğreniyor.
- Yedekleme: E-posta arşivlerini düzenli yedekleyin. Bir saldırı durumunda yedek olmazsa hem operasyonel hem de hukuki açıdan büyük sorun yaşarsınız.
Güvenli E-posta Sağlayıcıları
E-posta sağlayıcınızı seçerken güvenlik özelliklerine dikkat etmeniz gerekiyor. Ben yıllarca Gmail kullandım ve memnunum ama gizlilik endişesi olanlara alternatifler de var:
- ProtonMail: Uçtan uca şifreleme sunan İsviçre merkezli bir hizmet. Ücretsiz planı var ve gizlilik konusunda en sıkı standartlara sahip. Hiçbir verinizi üçüncü taraflarla paylaşmıyorlar.
- Tutanota: Açık kaynak kodlu, tam şifreleme sunan Almanya merkezli bir alternatif. ProtonMail’den biraz daha sade bir arayüze sahip.
- Google Workspace: Gelişmiş güvenlik özellikleri ve dünya genelinde en güvenilir altyapılardan biri. Kurumsal kullanım için ideal.
- Microsoft 365: Exchange Online Protection ile güçlü spam ve malware filtreleme. Büyük şirketler için kapsamlı bir çözüm.
Sonuç
E-posta güvenliğini hafife almak günümüzde en büyük hatalardan biri. Ben tanıdığım kişinin başına gelen olaydan sonra tüm hesaplarımda 2FA açtım, domainim için SPF, DKIM ve DMARC kayıtlarını eksiksiz yapılandırdım. Bunları yapmak toplam bir saatimi aldı ama getirisi paha biçilemez. İster bireysel ister kurumsal kullanıcı olun, en azından iki faktörlü doğrulamayı açın ve güçlü şifreler kullanın. Eğer kendi domaininiz varsa üç protokolü de kurun, Google’a “benim domainim güvenli” dedirtin. Unutmayın, güvenlik bir ürün değil bir süreçtir. Düzenli olarak kontrol edin, güncelleyin ve farkındalığınızı koruyun.
