Yazılım Geliştirme

Web uygulamaları, mobil, e-ticaret ve özel yazılım projeleri.

ReactNode.jsMobil

SEO & Optimizasyon

Organik trafik artışı, teknik SEO, içerik stratejisi ve analitik.

Teknik SEOİçerikAnalitik

API & Entegrasyon

REST API, webhook altyapıları, ödeme ve kargo entegrasyonları.

REST APIWebhookOAuth
Tüm hizmetleri görüntüle Ücretsiz danışmanlık alın

Web Hosting

cPanel yönetim paneli, SSD depolama, ücretsiz SSL sertifikası

Teklif Alın

VPS Sunucu

NVMe SSD, tam root erişim, DDoS koruması dahil

Teklif Alın
Popüler

Dedicated Sunucu

Tamamen size özel fiziksel sunucu, sınırsız trafik

Teklif Alın

Domain & SSL

Domain tescil, transfer ve Wildcard SSL sertifikaları

Teklif Alın

Neden KEYDAL?

  • 99.9% uptime garantisi
  • İstanbul veri merkezi
  • 7/24 Türkçe destek
  • Ücretsiz taşıma hizmeti
Fiyat teklifi alın

Projelerimiz

kSvSecurity, kAI, kMusic ve daha fazlası.

Hakkımızda

KEYDAL'ı tanıyın. Vizyonumuz, ekibimiz ve yolculuğumuz.

İletişim

Projenizi anlatın, size özel teklif sunalım.
Sözleşmeler
Gizlilik Politikası Kullanım Şartları SLA Sözleşmesi KVKK Aydınlatma Metni Çerez Politikası
01 Ana Sayfa
Yazılım Geliştirme SEO & Optimizasyon API & Entegrasyon
Web Hosting VPS Sunucu Dedicated Sunucu Domain & SSL
04 KEYDAL Projects 05 Araçlar 06 Blog
Hakkımızda İletişim Sözleşmeler
Teklif Alın
Blog / mail

Kurumsal Mail Adresi Alma Rehberi 2026: Domain, MX, SPF, DKIM, DMARC ve Sağlayıcı Karşılaştırması

pillar 27 dk okuma 2 Mayıs 2026
KEYDAL Kurucusu · Full-stack geliştirici

Bir şirketin müşterisine destek.firma@gmail.com adresinden cevap yazması, 2026 yılında profesyonel bir markanın asla kaldıramayacağı bir izlenim. Kurumsal mail adresi, sadece estetik bir tercih değil; teslim edilebilirlik (deliverability), domain otoritesi, KVKK ve GDPR uyumu, ekip içi yetki yönetimi ve marka güveni gibi birçok başlığın kesişim noktası. Bu rehber, alan adı satın almaktan başlayıp MX, SPF, DKIM, DMARC, BIMI kayıtlarına; Google Workspace, Microsoft 365, Zoho ve barındırma paneli (cPanel/Plesk) seçeneklerinin karşılaştırmasından kendi mail sunucunuzu Postfix + Dovecot ile kurmaya kadar tüm süreci tek bir kaynakta topluyor.

Eğer yalnızca info@ kutusu açmak ve müşteri sorularını tek noktadan yönetmek istiyorsanız makalenin orta bölümünde shared mailbox ve role-based hesapların kurulumunu adım adım bulacaksınız. Daha derin bir teknik bakış için ise mail server tuning, anti-spam stratejisi ve hibrit çözümlerle ilgili bölümleri okumanız faydalı olacak.

İlgili rehberler: Domain ve WHOIS sorgulama · DNS ayarları ve yönlendirme · Hosting türleri ve seçim rehberi · cPanel ile site ve mail yönetimi · Plesk panel yönetimi · SSL sertifikası alma

Kurumsal Mail Adresi Nedir, Neden Şart?

Kurumsal mail adresi, şirketinizin sahip olduğu bir alan adının üzerine kurulan e-posta hesabıdır. Tipik kalıp kullanici@firma.com ya da departman@firma.com.tr şeklindedir. Yani @ işaretinden sonra gelen kısım — alanın "sağ tarafı" — Gmail, Hotmail veya Yandex gibi paylaşımlı bir servise değil, sizin tescilli domain'inize aittir. Bu basit fark, hem teknik hem ticari sonuçlar üretir.

Ticari tarafta etkisi en hızlı görünen üç başlık şudur: marka güveni (müşteri formal bir adresten gelen iletiyi açma olasılığını %30-50 artırır), domain bütünlüğü (web sitesi, sosyal medya ve mail aynı kimlik altında toplanır), kalıcılık (çalışan ayrılsa da info@, satis@ gibi adresler kalır; süreç bir kişiye değil rolüne bağlanır). Teknik tarafta ise teslim edilebilirlik kritik fark yaratır; doğru SPF/DKIM/DMARC kurulumu olmayan bir kurumsal mail bile çoğu zaman ücretsiz Gmail hesabından daha düşük teslim oranı verir — yani problem sağlayıcı seçimiyle bitmez, kayıtların doğru yapılandırılmasıyla biter.

Yaygın bir yanılgı, kurumsal mailin yalnızca büyük şirketlere uygun olduğudur. Aksine, tek kişilik bir freelance işletme bile yıllık 200-600 TL bütçeyle profesyonel bir adres edinebilir. Maliyet engeli artık yok; yapılması gereken seçim doğru sağlayıcı, doğru mailbox sayısı ve doğru paket boyutudur. Dijital pazarlama temelleri yazımız, marka kimliği ve iletişim kanallarının bütüncül kurulumunu da ele alır.

Kurumsal Mail Adresi Örnekleri ve İsimlendirme Standardı

İsimlendirme şirketin profesyonelliğini iletişim daha açılmadan yansıtır. Üç ana kategori vardır:

  • Kişisel adresler: ad.soyad@firma.com, ad@firma.com, asoyad@firma.com. Açık iletişim, yetki ve hesap verebilirlik gerektiren pozisyonlar için.
  • Departman / rol bazlı (shared mailbox): info@firma.com, destek@firma.com, satis@firma.com, muhasebe@firma.com, ik@firma.com, kariyer@firma.com, basvuru@firma.com, sozlesme@firma.com. Birden fazla kişi okuyabilir; çalışan değişimine dayanıklıdır.
  • Sistem / otomatik adresler: noreply@firma.com, postmaster@firma.com, abuse@firma.com, bounce@firma.com. Bültene cevap vermemek için, RFC 5321 teknik gereksinimleri için ve şikayet yönetimi için.

İsimlendirmede dört kuralı kalın çizgilerle savunuyoruz: (1) Sayı kullanmayıninfo12@ yerine info@; sayı varsa adresin müsait olmadığı sinyali çıkar. (2) Türkçe karakter kullanmayın, çünkü RFC 6531 çoğu eski mail sunucusunda hâlâ tam destekli değildir; satış@ yerine satis@ tercih edin. (3) Tek tip ayraç kullanın — şirket içinde ad.soyad standartlaşmışsa istisna açmayın. (4) Genel kasalar (info, contact) tek başına yetmez; departman bazlı dağıtım listeleri (sales, support, hr, legal) anında yön verir.

com mu, com.tr mi, başka bir TLD mi?

.com.tr Türkiye'de tescil için kayıtlı bir tüzel kişilik veya ticari belge ister; bu, tüketici güvenini artıran ek bir filtredir. Resmi kurumlar ve kamuyla iş yapan şirketler için doğru tercih genellikle .com.tr'dir. .com küresel pazara yönelik markalar ve teknoloji şirketleri için tarihi tercih olmaya devam ediyor. Yeni TLD'ler (.co, .io, .app, .dev) niş alanlar için iyidir ama mailden çok web siteyi destekler. Bilgi almak için domain rehberimizi ve domain sorgulama araçları yazımızı inceleyebilirsiniz.

Kurulum Akışı: A'dan Z'ye Genel Bakış

Sektörde sıkça gözlenen hata, sağlayıcıyı seçip doğrudan adres oluşturmaya başlamaktır. Doğru sıralama şudur:

  • 1. Domain tescili: Marka adınıza uygun domain'i alın (varsa hâlihazırdaki domain üzerine ekleyin).
  • 2. DNS yönetimi: Domain'in nameserver'ları sizin kontrolünüzde olmalı; aksi halde MX değiştirmek zorlaşır.
  • 3. Sağlayıcı seçimi: Mailbox sayısı, depolama, takvim/dosya entegrasyonu, fiyat ve uyum (KVKK, ISO 27001) kriterleriyle.
  • 4. MX kayıtlarının yönlendirilmesi: Sağlayıcının verdiği iki-üç adet mx kaydını DNS'e ekleyin; TTL düşük tutun (300-3600 saniye).
  • 5. SPF, DKIM, DMARC kurulumu: Bu üç kayıt kurulmadıkça teslim edilebilirlik %50 civarına düşer.
  • 6. Adres havuzunun planlanması: Önce kişisel ve rol bazlı listeyi çıkarın, sonra mailbox açın.
  • 7. İmza, otomatik yanıt, paylaşımlı takvim, yönlendirme: Operasyonel ayarlar.
  • 8. Mevcut mailden geçiş (migration): IMAP migrate veya PST aktarımı.
  • 9. Eğitim ve doküman: Çalışanlar için 1 sayfalık SOP (mail imza, signature kuralı, oltalama eğitimi).

Bu sıraya uymak, sonradan SPF kayıtlarınızı düzeltmek için bir sürü mailin spam'e düşmesi sürecini yaşamamanızı sağlar. Sıralamadan herhangi bir adımı atlamak, ortalama 5-10 iş günlük bir gecikmeye mal olur.

Sağlayıcı Karşılaştırması: Beş Sınıf, On Yedi Kriter

Pazarda dört ana sınıf çözüm var: (A) Hyperscale Workspace (Google Workspace, Microsoft 365), (B) Bağımsız mail sağlayıcı (Zoho Mail, Fastmail, ProtonMail), (C) Türkiye yerel sağlayıcılar (Mailim, Uzman Posta, Natro, Atak Domain, Turhost, İsim Tescil — yerel KVKK + Türkçe destek), (D) Hosting paneli (cPanel, Plesk üzerinde IMAP/POP), (E) Self-hosted (Postfix + Dovecot + Rspamd). Her sınıfın güçlü ve zayıf yanları farklıdır.

  • Hyperscale (Google / Microsoft): 30-50 GB+ mailbox, mükemmel mobil/desktop entegrasyon, takvim/Drive/Teams/Meet ile birlikte gelir. Aylık kullanıcı başı 6-30 USD. KVKK için Türkiye DC seçeneği sınırlı.
  • Bağımsız sağlayıcı (Zoho, Fastmail): 5-50 GB mailbox, sadeleşmiş arayüz, daha ucuz (kullanıcı başı 1-5 USD). Microsoft Office ile entegrasyon zayıftır.
  • Türkiye yerel: KVKK uyumlu yerel veri merkezi, Türkçe destek, fatura kolaylığı. Aylık kullanıcı başı 30-150 TL aralığında (yaklaşık, sağlayıcıya göre değişir, 2026 rakamları). Hyperscale ile karşılaştırıldığında entegrasyon daha sınırlıdır.
  • Hosting paneli: cPanel/Plesk paketinin içinde gelir, ek ücret yoktur. Mailbox başına 1-5 GB, arayüz Roundcube veya Horde. Yüksek hacim için tasarlanmamıştır.
  • Self-hosted: Tam kontrol, sınırsız mailbox, sıfır lisans maliyeti. Buna karşılık ortalama yıllık 80-160 saat operasyon iş yükü, IP itibarı yönetimi ve compliance sorumluluğu sizin omzunuzda.

Karar verirken dikkat ettiğimiz on yedi kriter şunlardır: mailbox sayısı, mailbox başına depolama, ek paylaşımlı kasa sayısı, calendar/contacts (CalDAV/CardDAV), ekip mesajlaşması (Teams/Chat), video konferans, anti-spam motoru, anti-virus tarama, attachment limit, alias sayısı, otomatik yedek, e-posta arşivleme (eDiscovery), mobil push, MDM (mobile device management), 2FA / SSO, KVKK ve veri ikametgâhı, son olarak fiyat. Tek başına "daha ucuz" kararı 12 ay sonra geri tepebilir.

Yaklaşık Fiyat Aralıkları (2026, kullanıcı başı/ay)

  • Google Workspace Business Starter: ~6 USD; 30 GB; takvim, Meet, Drive dahil.
  • Microsoft 365 Business Basic: ~6 USD; 50 GB; web Office, Teams.
  • Microsoft 365 Business Standard: ~12.50 USD; 50 GB; masaüstü Office.
  • Zoho Mail Lite: ~1 USD; 5 GB; sade çalışma için.
  • Zoho Mail Premium: ~4 USD; 50 GB; gelişmiş arşivleme + SLA.
  • Fastmail Standard: ~5 USD; 30 GB; mükemmel IMAP, takvim, masking aliases.
  • ProtonMail Mail Plus / Business: ~5-8 USD; 15 GB; uçtan uca şifreleme.
  • Türkiye yerel paketler: 30-150 TL aralığında; mailbox başına 5-50 GB; KVKK uyumlu yerel DC.
  • Hosting paneli (cPanel/Plesk): zaten ödediğiniz hosting paketi içinde — ekstra maliyet yok.
  • Self-hosted: VPS + IP + zaman; aylık 5-20 USD donanım + iş yükü.

Yaklaşık değerlerdir; her sağlayıcı kampanya, yıllık peşin indirim ve enterprise müzakeresine açıktır. Kıyaslama yaparken yıllık toplam sahip olma maliyetini (TCO) hesaplayın — ücretsiz görünen "hosting içinde dahil" seçeneği bile ileride yeterli depolama veya migration desteği sunmazsa pahalı çıkar.

Domain Tescili ve İlk Adımlar

Domain almadan kurumsal mail mümkün değildir. Tescil sırasında üç şeye dikkat edin: (1) domain WHOIS bilgilerini doğru girin (KVKK gereği gerçek temsilci bilgisi yazılmalı), (2) DNSSEC mümkünse açın, (3) domain'i en az 2 yıl boyunca tescilleyin (1 yıllık tescil bazı arama motorlarında düşük güven sinyali olarak yorumlanır).

Tescilden sonra DNS yönetimini hangi panelden yapacağınıza karar verin: registrar paneli, hosting kontrol paneli (cPanel/Plesk) veya CDN sağlayıcısı (Cloudflare, Bunny). Genelde Cloudflare'i öneriyoruz; ücretsiz plan bile profesyonel düzeyde DNS, DDoS koruması ve hızlı propagasyon sağlar. Domain sorgulama araçları yazımız WHOIS, RDAP ve DNS sorgulamanın detaylarını anlatır.

DNS: MX, A, AAAA, PTR Kayıtları

Mail teslimat akışı kabaca şöyledir: gönderen sunucu, alıcı domain'in MX kayıtlarını sorar; en düşük öncelikli (priority) MX'e bağlanır; sunucu yoksa bir sonrakine geçer. Bu yüzden iki-üç MX kaydı yedeklilik için standartlaşmıştır. Aşağıdaki örnek bir Google Workspace kurulumu içindir:

Kayıtları girdikten sonra propagasyon için 1-24 saat bekleyin (TTL'inize göre değişir). Doğrulamayı dig, nslookup veya web tabanlı araçlarla yapabilirsiniz:

PTR (reverse DNS) kaydı yalnızca kendi mail sunucunuzu işletiyorsanız gereklidir; sağlayıcı çözümlerinde otomatiktir. PTR yokluğu büyük ISP'lerin (Gmail, Outlook, Yahoo) çoğunda mailinizi anında spam'e düşürür.

SPF Kaydı: "Bu Domain'den Kim Mail Atabilir?" Sorusunun Cevabı

SPF (Sender Policy Framework, RFC 7208), domain sahibinin "benim adıma hangi sunucular mail gönderebilir" listesini DNS üzerinden ilan etmesidir. Alıcı sunucu, gelen mailin Return-Path'ında belirtilen domain'in SPF kaydına bakarak gönderici IP'nin yetkili olup olmadığını kontrol eder.

İki kritik nokta vardır: (1) Tek SPF kaydı olmalı — birden fazla SPF TXT kaydı RFC ihlali sayılır ve bazı alıcılar mailinizi reddeder. (2) Sonda ~all (softfail) yerine olgun bir kurulumda -all (hardfail) kullanın; yetkisiz IP'lerden gelen mailler doğrudan reddedilir.

DKIM: Domain Anahtarıyla Dijital İmza

DKIM (DomainKeys Identified Mail, RFC 6376), giden mailin başlık ve gövdesinin private key ile imzalanması, alıcının da DNS'ten public key'i çekip imzayı doğrulamasıdır. SPF "hangi IP'ler" sorusunu cevaplarken DKIM "içerik bütünlüğü"nü garanti eder. Kombine edildiklerinde sahteciliğin önemli kısmı engellenir.

Self-hosted bir Postfix/OpenDKIM kurulumunda anahtar üretmek için:

DKIM anahtarınızı yılda bir kez rotasyona alın (yeni selector üretip eski selector'ı 30 gün sonra kaldırın). RSA için 2048-bit minimum; Ed25519 desteği gelişmektedir ama bazı eski alıcılar tanımayabilir.

DMARC: SPF + DKIM Üstüne Politika

DMARC (Domain-based Message Authentication, Reporting & Conformance, RFC 7489), SPF ve DKIM doğrulamalarının başarısız olduğu durumda alıcının ne yapacağını söyleyen politikadır. Üç ana eylem vardır: none (raporla, eyleme geçme), quarantine (spam klasörüne at), reject (sunucu seviyesinde reddet).

Kademeli geçiş kritiktir: doğrudan p=reject uygularsanız meşru maillerinizin bir kısmı dahi engellenebilir. Önce p=none ile rapor toplayın, kim adınıza nereden mail atıyor anlamadan sertleştirme yapmayın. Raporları parse etmek için Postmark DMARC, EasyDMARC, dmarcian gibi servisler ücretsiz seçenekler sunar.

Gmail ve Yahoo, Şubat 2024'ten itibaren toplu gönderim yapan alıcılardan (günlük 5000+ mail gönderen domain'lerden) DMARC'ı zorunlu kıldı. 2026 itibarıyla bu artık küçük gönderimler için de fiilî standarttır; bültenleriniz p=none dahi olmadan zaman zaman spam'e gidebilir.

BIMI: Marka Logosu Inbox'ta

BIMI (Brand Indicators for Message Identification), p=quarantine veya p=reject politikalı bir DMARC üzerine eklenebilen, gönderen marka logosunu alıcının inbox'unda gösteren standarttır. 2024'ten itibaren Gmail, Apple Mail ve Yahoo BIMI'yi destekliyor. Doğrulanmış logo (VMC: Verified Mark Certificate) almak yıllık 1000-1700 USD civarındadır.

İnfo@ ve Diğer Paylaşımlı Kasalar

info@, destek@, satis@ gibi adresler iki farklı modelle çalışır:

  • Forwarding (yönlendirme): Adresi açıyorsunuz ama gerçek bir mailbox değil; gelen tüm mailler bir veya birden fazla kişisel mailbox'a yönlendiriliyor. Avantaj: ücretsiz, hızlı. Dezavantaj: kim okudu kim okumadı belirsiz, cevap geçmişi tek noktada toplanmaz.
  • Shared mailbox: Gerçek bir kasa açılır; ekibe okuma/yazma yetkisi verilir. Avantaj: cevap geçmişi paylaşılır, etiket/atama yönetimi mümkün. Dezavantaj: sağlayıcıya göre lisans ücreti gerekebilir (Microsoft 365'te 50 GB'a kadar shared mailbox ücretsizdir; Google Workspace'te tek kullanıcı lisansı yeterlidir).
  • Distribution list (dağıtım listesi): Adres kümesidir; gelen mail listedeki herkese kopyalanır. Avantaj: aktif ekip için pratik. Dezavantaj: arşivleme zayıftır.
  • Group / Collaborative inbox: Google Groups gibi forum + mail hibridi. Müşteri destek senaryosunda etiket/durum yönetimi sağlar.

Doğru mimari iş akışınıza bağlıdır. 1-3 kişilik bir ekipte forwarding yetebilir; 4+ kişilik müşteri destek operasyonunda shared mailbox veya helpdesk yazılımı (Freshdesk, Zendesk, Help Scout) çok daha verimlidir. Redis tabanlı queue yapıları ile self-hosted helpdesk yazılımları da yaygınlaşmaktadır.

Microsoft 365'te Shared Mailbox Açma

Google Workspace'te Collaborative Inbox

Hosting Paneli ile Mail (cPanel ve Plesk)

Eğer hosting paketinizde zaten mail dahil ise (çoğu paylaşımlı hosting'de var), küçük ekipler için ekstra masraf yapmadan başlayabilirsiniz. Detaylı kurulum için cPanel rehberimiz ve Plesk panel rehberimiz ana referans olarak kullanılabilir.

  • Avantaj: Ek lisans ücreti yoktur; mailbox sayısı pakete göre 5-100 arası, depolama 1-10 GB.
  • Dezavantaj: IP itibarı paylaşımlıdır (aynı sunucudaki başka bir site spam gönderirse sizin IP'niz de etkilenir); mailbox tabanlı arama, ekip yönetimi, eDiscovery yoktur.
  • Çekirdek senaryo: 1-5 kişilik bir KOBİ, info@ + ad@ + muhasebe@ ile başlangıç için yeterlidir.
  • Ne zaman geç: Ekip 5+ olunca, ortak takvim/dosya gerekince veya teslim oranı düşmeye başlayınca.

Self-Hosted Mail Sunucusu: Postfix + Dovecot + Rspamd

Kendi mail sunucunuzu kurmak — özellikle ileri seviye kontrol, gizlilik veya çok yüksek hacim için — hâlâ değerlidir; ancak hafife alınmamalıdır. Mail dünyasının ulaştığı 2026 standartlarında IP itibarı yönetmek (warm-up dahil), DNSBL listelerden uzak durmak, anti-spam motorunu sürekli güncel tutmak başlı başına bir iştir.

  • Postfix: SMTP sunucusu — kabul ve teslim.
  • Dovecot: IMAP/POP3 sunucusu — istemcilere kasaları sunar.
  • Rspamd: Modern, hızlı anti-spam motoru (SpamAssassin yerine).
  • OpenDKIM: DKIM imzalama.
  • Postscreen: Erken aşama spam botlarını filtreler.
  • Sieve (Pigeonhole): Sunucu tarafı filtre kuralları.

Self-hosted bir kurulum, IP itibarı sebebiyle ilk 4-6 hafta günlük 50-200 mail civarı bir warm-up gerektirir; aniden binlerce mail göndermek IP'nizi her büyük ISP'de spam listesine taşır. Linux sunucu yönetimi ve Let's Encrypt SSL rehberlerimiz altyapı kurarken birlikte okumanız gereken kaynaklardır.

Anti-Spam ve Anti-Phishing Stratejisi

Modern spam filtreleri tek bir sinyalle çalışmaz; düzinelerce ölçütü Bayesian / ML modellerinde birleştirir. Self-hosted yapılandırmada Rspamd kullanıyorsanız aşağıdaki katmanları aktif etmek standart hale geldi:

  • RBL/DNSBL (Spamhaus, SORBS, Barracuda): Bilinen kötü IP'lerin gri-listesi.
  • SURBL/URIBL: Mail içinde geçen URL'lerin domain itibarı.
  • Bayesian filtre: Kullanıcı 'spam' / 'not spam' işaretlemesinden öğrenen istatistik modeli.
  • Greylisting: İlk teslim denemesini reddet, ikincisinde kabul et — botların büyük kısmı yeniden denemez.
  • Rate limiting: Kullanıcı/IP başına dakikada gönderim sınırı.
  • Anti-phishing modülü: Marka adı + farklı domain (typosquatting) tespiti.
  • ClamAV entegrasyonu: Ek dosya virüs taraması.

Kurumsal sağlayıcılarda bu katmanların hepsi yönetimsiz çalışır — Microsoft 365 Defender, Google Advanced Protection, Proofpoint gibi. Self-hosted'da hepsini siz yönetirsiniz; iş yükü gerçektir. OWASP Top 10 2026 ve JWT güvenlik rehberi mailden gelen oltalama linkleri / token sızıntıları konusunda destekleyici okumalar.

Mobil ve Masaüstü İstemci Yapılandırması

Kullanıcılar maillerini tarayıcı (webmail), masaüstü (Outlook, Apple Mail, Thunderbird) ve mobil (iOS Mail, Outlook Mobile, Gmail uygulaması) üzerinden okur. Hangi protokolü seçeceğinizi şirket politikası belirler:

  • IMAP (port 993, SSL): Mailler sunucuda kalır; çoklu cihazdan eşitlenir. Standart tercih.
  • POP3 (port 995, SSL): Mailler indirilir, sunucudan silinir; tek cihaz senaryosu, eski. Çoğu kurumsal ortamda kullanılmaz.
  • SMTP submission (port 587, STARTTLS): Giden mailler için.
  • Exchange ActiveSync (EAS): Microsoft 365 mobil eşitleme; takvim/contacts birlikte gelir.
  • Exchange Web Services (EWS): Daha eski Outlook entegrasyonu için.

2FA aktifken çoğu sağlayıcı normal şifreyi reddeder; bunun yerine "app password" üretmeniz gerekir. Microsoft 365'te modern auth (OAuth 2.0) varsayılandır; kullanıcı tarayıcıdan onay verir, app password gerekmez.

Kalıcı Mail İmzası ve Hukuki Disclaimer

Marka tutarlılığı için imzaları merkezi yönetmek önemlidir. Office 365'te Exchange Transport Rule, Google Workspace'te Append Footer yönetimi, hosting tabanlı sistemlerde Roundcube imza ayarları kullanılır.

Yasal disclaimer eklenmesi KVKK ve sektör regülasyonları açısından çoğunlukla zorunludur (özellikle finansal hizmetler, sağlık, hukuk). İmzaları her cihaza tek tek kurmaktansa sunucu seviyesinde uygulayın; çalışan değiştiğinde tek tıkla güncellenebilir.

Eski Maillerden Geçiş (Migration)

Mevcut bir Gmail, Outlook.com, Yandex veya başka kurumsal sistemden geçişte üç yöntem yaygındır:

  • IMAP migration: Hem kaynak hem hedef IMAP destekliyorsa, sağlayıcı paneli üzerinden adres çiftleri verilir, sistem mailboxları kopyalar. En yaygın yöntem.
  • PST import (Outlook): Outlook'tan dışa aktarılan PST dosyası Microsoft 365 Network Upload veya Drive Shipping ile içeri alınır.
  • MBOX dosya aktarımı: Self-hosted veya Thunderbird kullanıcılarından gelen MBOX dosyaları doğrudan Dovecot kasalarına kopyalanır.
  • Doube-bind / hibrit dönem: 30 gün boyunca eski adres yeni adrese forward eder; kademeli geçiş.

Migration sırasında DNS MX kayıtları henüz eski sağlayıcıyı göstermeli — yoksa yeni mailler eski kasaya düşmez. Migration tamamlandığı an MX'i değiştirin, propagasyon süresi boyunca (TTL'inize göre) iki taraf da çalışır.

KVKK ve Veri İkametgâhı

KVKK (6698 sayılı kanun) ve GDPR ile uyumlu çalışmak isteyen şirketler için mail sağlayıcısının veri merkezi konumu önemlidir. Hyperscale sağlayıcıların çoğu Avrupa veya ABD'de veri saklar; KVKK Yurt Dışına Aktarım kararları gereği aydınlatma metni güncellenmesi, veri sorumlusu sözleşmesi (DPA) imzalanması ve bazı hassas sektörler için açık rıza alınması gerekir.

  • Türkiye veri merkezi: Yerel sağlayıcılar bunu sunar; küçük şirketler için en kolay uyum.
  • Avrupa veri merkezi (Microsoft 365 EU, Google Workspace EU regions): GDPR uyumu sağlar; KVKK için hâlâ DPA gerekir.
  • ISO 27001, SOC 2, ISO 27701: Sağlayıcının sahip olması gereken minimum belge.
  • e-Discovery / Legal Hold: Hukuki uyuşmazlıkta mail kayıtlarının aranması ve dondurulması; çoğu enterprise paket sunar.
  • Mail arşivleme süresi: Türkiye'de e-arşiv (e-fatura, e-irsaliye için 10 yıl) zorunluluğu vardır; gelen-giden ticari mailleri de en az 5 yıl saklamak iyi pratiktir.

Ücretsiz Seçenekler ve Sınırları

"Ücretsiz info mail açma" ve "özel mail adresi alma ücretsiz" gibi aramalar yaygın. Gerçekten ücretsiz seçenekler mevcuttur ama her birinin sınırları vardır:

  • Zoho Mail Forever Free: 5 kullanıcıya kadar, 5 GB mailbox, kendi domain'inizle. Web arayüzü; mobil uygulama destekli. KOBİ başlangıcı için yeterli.
  • Yandex 360 Mail (eski Connect): 2026 itibarıyla bazı bölgelerde yeni kayıt sınırlı. Kontrol etmek gerekir.
  • Cloudflare Email Routing: Tamamen ücretsiz; mailbox vermez, gelen mailleri başka bir adrese forward eder. Tek başına SMTP submission yok; yalnızca alma + forward.
  • ImprovMX: Benzer şekilde forward odaklı; ücretsiz planda 25 alias.
  • Hosting paketinizdeki mail: Zaten ödediğiniz hosting paketinin parçasıysa ekstra ücret yoktur.

Ücretsiz seçenekler iki senaryoda doğrudur: (1) henüz mail hacmi düşük olan tek kişilik bir işletme, (2) yalnızca forward kullanan ekipler. Hacim arttığında veya 4+ kişilik ekibe geçildiğinde ücretli plan kaçınılmaz olur.

Güvenlik: 2FA, SSO, Cihaz Yönetimi

Mail kasaları, kurumsal saldırı vektörlerinin %85'inin başlangıç noktasıdır (Verizon DBIR 2024 verisi). Üç katmanlı bir savunma minimum standarttır:

  • 2FA (iki adımlı doğrulama): SMS değil, TOTP (Google Authenticator, Authy) veya WebAuthn / FIDO2 (YubiKey) tercih edin. SIM swap saldırılarına karşı SMS güvenli değildir.
  • SSO (Single Sign-On): Okta, Microsoft Entra ID veya Google Cloud Identity ile tüm SaaS uygulamalarını tek hesap üzerinden yönetin. Çalışan ayrılınca tek tıkla bütün erişimleri kapatırsınız.
  • Conditional Access: Ülke, IP, cihaz tipi, login zamanı gibi kriterlerle erişim politikası. Türkiye dışından admin erişimini engelleyin.
  • MDM (Mobile Device Management): Mailin yüklendiği cihazları envantere alın; kayıp halinde uzaktan silme.
  • Phishing simülasyonu: Yılda 2-3 kez ekibi test edin; tıklayanlara eğitim atayın.
  • Anomali tespiti: Olağandışı login (yeni cihaz, yeni ülke, ardışık başarısız deneme) için Slack/SMS/PagerDuty alarmı kurun.

Güvenlik tarafı için OAuth 2.0 ve OIDC, Password Hashing ve OWASP Top 10 2026 rehberlerimiz tamamlayıcıdır. Mail bypass'lerinin çoğu zayıf parola + tek faktörlü hesaplardan başlar.

Yedekleme ve Felaket Senaryoları

Mail sağlayıcısı maillerinizi yedeklediğini söylese de bu yedekleme "sağlayıcı tarafında felaket olursa" senaryosunadır; çalışan yanlışlıkla mailbox'ı silerse veya ransomware ile maillere erişim kapanırsa sizin elinizde kontrol olmaz. Bağımsız yedekleme önerilir:

  • Veeam Backup for Microsoft 365: Mailbox, OneDrive, SharePoint, Teams; saatlik artımlı yedek.
  • Synology Active Backup for Microsoft 365 / Google Workspace: NAS tabanlı; küçük şirketler için ekonomik.
  • SkyKick / Spanning / Datto: SaaS yedekleme servisleri; aylık kullanıcı başı 2-5 USD.
  • Self-hosted çözümlerde imapsync + cron: Gece 02:00'de tüm mailboxları başka bir sunucuya senkron et.

Yedekleme için ileri okuma: Veritabanı Yedekleme Stratejileri (3-2-1 kuralı, full/incremental/PITR) — aynı disiplini mail içinde uygulayabilirsiniz.

İzleme: Teslim Oranı, Bounce, Şikayetler

Kurulum bittikten sonra üç metriği haftalık takip edin:

  • Bounce rate: %2'nin üstü uyarı, %5'in üstü kritik. Hard bounce'ları liste hijyeniyle düşürün.
  • Complaint rate (FBL: Feedback Loop): Alıcının 'spam' butonuna basma oranı. %0.1 üstü tehlikeli; pazarlama maillerinde liste izinleri tekrar kontrol.
  • Inbox placement: Mailiniz inbox'a mı, promosyonlar/spam'e mi düşüyor? Mail-tester.com 8/10 ve üzeri istenir.
  • DMARC raporları: Aggregate (rua) ve forensic (ruf) raporları; yetkisiz gönderim girişimleri burada yakalanır.
  • Deliverability tools: GlockApps, MailReach, Postmark Inbox Insights — pazarlama yoğun gönderimde değer.
  • DNSBL kontrol: MXToolbox.com Blacklist Check; haftalık kontrol.

Self-hosted kurulumda ek olarak mail kuyruğunu da izleyin (postqueue -p | tail). 100+ mesaj sıkışmışsa hemen müdahale gerekir.

Tipik Hatalar ve Çözümleri

  • SPF birden fazla kaydı: TXT'leri tek kayıt halinde birleştirin.
  • DMARC RUF büyük IP veri seli: fo=1 ile kısıtlayın veya RUF'u kaldırın; aggregate (rua) yeterli.
  • Türkçe karakterli local-part: satış@ bazı sunucularda reddedilir; yerine satis@ + alias kullanın.
  • noreply@ mailine yanıt yazılması: Müşteriye sürtünme yaratır; destek@'a yönlendirme ekleyin.
  • Mailbox dolduğunda gelen sessiz drop: Quota uyarısı kurmayan ekipler haftalarca mail kaybedebilir; %80 doluluk alarmı şart.
  • Office 365 Outlook'ta düşen mailler: Çoğunlukla Microsoft Defender 'safe links' veya quarantine; yöneticinin Defender > Quarantine ekranını izlemesi gerekir.
  • Yıllık DKIM rotasyonunu unutmak: Selector aynı kalırsa eski anahtar sızdığında tüm domain'i etkiler.
  • Geçişten sonra eski MX'leri kaldırmamak: Eski sunucuya 1-2 ay daha mail düşmeye devam eder, müşteriler kayıp yaşadıklarını sanır.

Hızlı Karar Şeması: Hangi Çözümü Seçeyim?

On dakikada karar vermek için aşağıdaki şemayı izleyebilirsiniz:

  • 1-3 kişi, sade ihtiyaç → Hosting paneli (cPanel/Plesk) veya Zoho Mail Lite. Maliyet en düşük.
  • 4-15 kişi, takvim/dosya entegrasyonu önemli → Microsoft 365 Business Basic (Office sıkça kullanılıyorsa) veya Google Workspace Business Starter.
  • 15+ kişi, ekip mesajlaşması, video konferans, eDiscovery → Microsoft 365 Business Standard / Premium veya Google Workspace Business Plus.
  • Yerel veri merkezi şart, KVKK hassasiyeti yüksek → Türkiye yerel sağlayıcılar (yerel KVKK + Türkçe destek).
  • Maksimum gizlilik, küçük ekip → ProtonMail Business veya Tutanota.
  • Yüksek hacim newsletter / transactional + kontrol şart → Self-hosted mail server + ayrı transactional sağlayıcı (Postmark, Mailgun, SES).
  • Yalnızca info@ → ad@ forward → Cloudflare Email Routing veya ImprovMX (ücretsiz).

İleri Konular: Catch-All, Sub-Address, Tagged Email

Catch-all (yakalama) kurulumu, @firma.com'a gelen ama eşleşen mailbox bulunmayan tüm mailleri tek bir kasaya yönlendirir. Müşterilerin yanlış yazımlarını yakalar (örn. inof@). Dezavantajı: spam mıknatısıdır. 2026 itibarıyla pek çok sağlayıcı varsayılan olarak kapatır.

Sub-addressing (RFC 5233), kullanici+etiket@firma.com gibi mailleri ana kasaya yönlendirir. Pratik kullanım: egemen+facebook@firma.com bir yerden sızdığında etiket sayesinde sızıntının kaynağını bilirsiniz. Filtre kurarak otomatik etiketleme/klasörleme yapabilirsiniz.

Tagged email / masking aliases, sayfa kayıtlarında gerçek mail yerine random alias kullanma stratejisidir (örn. Apple Hide My Email, SimpleLogin, AnonAddy). Marketing mail havuzundan ana mailinizi gizler.

İlgili Yazılar

Kaynaklar

Kurumsal mail kurulumu için profesyonel destek

Domain seçiminden MX/SPF/DKIM/DMARC yapılandırmasına, hyperscale sağlayıcı geçişine ve self-hosted kurulumuna kadar uçtan uca mail altyapı kurulumu, migration ve sürekli izleme hizmeti için iletişime geçin

Yazan:

KEYDAL kurucusu ve baş geliştirici. 2026'dan bu yana hosting, yazılım geliştirme ve SEO alanlarında kurumsal müşterilere hizmet veriyor.

WhatsApp