Veri ve İstatistik8 dk okuma

MTA-STS Benimseme Oranı ve E-posta Güvenliği

SMTP trafiğini şifreleyen MTA-STS, Türkiye\'de hala yeni bir kavram. Ancak Google ve Yahoo standartları hızlandırıyor — DNS kayıtlarınızda bu protokolu hazırlamış mısınız?

E-posta altyapısının en sık göz ardı edilen katmanı taşıma güvenliğidir. SMTP bağlantıları varsayılan olarak şifrelenmemiş metin olarak seyahat eder — bu, araya girme (man-in-the-middle) saldırılarına kapı açar. MTA-STS, bu açığı kapatmak için tasarlandı. Türkiye\'de henüz yaygın olmasa da, küresel veri gösterişi benimseme oranının hızlıca arttığını ve büyük gönderenler için artık neredeyse zorunlu hale geldiğini gösteriyor.

MTA-STS Nedir?

MTA-STS (Mail Transfer Agent Strict Transport Security), SMTP sunucuları arasında güvenli iletişimi zorlayan bir polika standardıdır. DNS kayıtları üzerinden yayınlandığı için, kurumunuzun alan adı altında hızlıca dağıtılabilir.

Temel fikir şu: e-posta alıcı sunucu (örneğin Gmail\'in MX kaydı), gönderen sunucuya diyor ki "Bana e-posta göndermek istiyorsan, SMTP bağlantısını mutlaka TLS ile şifrele, aksi takdirde reddetme." DMARC\'ın bir adım ötesi olarak çalışır — DMARC auth başlıklarını doğrularken, MTA-STS fiziksel taşıma kanalının şifrelenmesini garanti eder.

SMTP TLS Şifreleme Neden Kritik?

Geleneksel SMTP (Port 25, açık) kullanıldığında:

  • Sözleşmeli veri güvenliğinin olmaması — ağ yöneticileri veya saldırganlar trafiği yakalayabilir.
  • Sahte e-posta başlıkları ve kimlik avı saldırılarının yayılması — ortadaki saldırgan kaynak IP\'sini taklit edebilir.
  • Yasal riskler: Türkiye\'nin KVKK yasası kişisel verilerin şifreli aktarılmasını gerekli kılıyor.

MTA-STS uygulandığında:

  • TLS 1.2+ zorunlu hale gelir — sadece modern, güvenli bağlantılar kabul edilir.
  • Sertifikat doğrulaması — alınan sertifikanın geçerli ve doğru olup olmadığı kontrol edilir.
  • Fallback güvenliği — TLS başarısız olursa, e-posta başarısızlıkla işaretlenir ve reddedilir; kuyrukta beklemeyi bitirmez, güvenliği tercih eder.

Türkiye\'de MTA-STS Benimseme

Türkiye\'deki büyük posta sağlayıcıları (Gmail Workspace, Outlook/Microsoft 365, Yandex Mail) MTA-STS desteklemektedir. Ancak Mynet, Türk Telekom (ttmail.com) ve bazı eski e-ticaret platformlarında (İdeasoft, Ticimax) henüz tam uyum yok.

Benimseme oranlarını gerçek verilerden görmek için email-stats veri tabanını ziyaret edebilirsiniz — Tranco top-1M domainin haftalık taraması, MTA-STS kabul eden ve politika yayınlayan gönderenleri gösterir. Türkiye bağlamında trendler:

  • Büyük e-ticaret platformları ve mağaza operatörleri (Trendyol, Hepsiburada üzerinden bağlantılı sellers) — hızlıca geçiş yapıyor.
  • Related Digital, Setrow, Euromsg gibi yerli ESP\'ler — müşterilerine MTA-STS desteği sunmaya başlamışlar.
  • Küçük işletmeler ve blog e-posta sistemleri — çoğunlukla henüz boş, SMTP eklentileri (WP Mail SMTP vb.) yapılandırılmamış.

SPF, DKIM, DMARC ile Bağlantı

Dört sütunlu e-posta güvenlik piramidini düşünün:

  1. SPF — "Bu IP adresinden e-posta göndermesi izinlidir" — DNS TXT kaydı aracılığıyla kaynak doğrulama.
  2. DKIM — Mesaj imzalamak — özel/ortak anahtar çifti, alıcı sunucu imzayı doğrulayabilir.
  3. DMARC — SPF ve DKIM başarısızlıklarına tepki veren politika — p=reject, p=quarantine veya p=none seçeneği.
  4. MTA-STS — Taşımanın kendisini şifrele — başarısız bağlantıyı reddet, güvenlikten ödün verme.

Gmail ve Yahoo (Şubat 2024 itibaren) tüm dördünü talep ediyor — sadece SPF/DKIM yeterli değil. MTA-STS henüz zorunlu değil, ancak büyük gönderenlerin spam oranlarını düşürmek istiyorlarsa eklemesi öneriliyor.

mta-sts.example.com IN TXT v=STSv1; id=2024010101; policy=enforceMTA-STS sürümü tanımlayıcıPolitika kimliği — değiştiğinde alıcı güncellerenforce = TLS gerekli; testing veya none da kullanılabilir
MTA-STS DNS kaydı yapısı ve temel bileşenleri

Türkiye\'de İYS Uygunluğu

İYS (İleti Yönetim Sistemi), Türkiye\'nin ticari reklam e-postası için zorunlu kamu sistemidir. Her coğrafyada benzerleri var, ancak İYS kendine özgü: gönderenin İYS\'de kayıtlı olması ve alıcının açık rızası gerekir.

MTA-STS, İYS ile doğrudan bağlantılı değildir — ancak verilerinizi korumak açısından tamamlayıcıdır. E-posta şifreli olmadan aktarılırsa, İYS onayları sızdırılabilir. Güvenlik en iyi uygulamalarının tam yığını — SPF, DKIM, DMARC ve MTA-STS — İYS uyumlu reklam taşıyıcılarının altı çatısıdır.

MTA-STS Kayıtlarınızı Hızlı Doğrulama
Terminal\'de dig mta-sts.yourdomain.com TXT çalıştırın. Kayıt görülür ve policy=enforce varsa, alıcı sunucular şu andan itibaren TLS\'yi zorunlu görecektir. Ancak geçiş süresi (politika yayınlanması) 24-48 saat sürebilir — DNS TTL\'ye göre değişir.

Adım Adım Kurulum

  1. Politika dosyası oluştur: /.well-known/mta-sts.txt dosyasını HTTPS aracılığıyla yayın (örn. https://mta-sts.example.com/.well-known/mta-sts.txt). İçinde alan adı ve MX kaydınızın listelenmesi gerekir.
  2. DNS TXT kaydı yayınla: _mta-sts.example.com IN TXT "v=STSv1; id=2024010101; policy=enforce" ekleyin. İlk kez deniyorsanız policy=testing kullanın, sorun olmadığını gördüğünde enforce yap.
  3. TLS sertifikası doğrula: SMTP sunucunuzun TLS sertifikası geçerli mi? OpenSSL ile kontrol edin: openssl s_client -connect mail.example.com:465
  4. TLSRPT kaydı ekle (opsiyonel): _tlsrpt.example.com TXT kaydı, MTA-STS başarısızlıklarını raporlayarak hata ayıklamayı kolaylaştırır.

Türkiye\'de Bilinen Sorunlar

Şu anki durumda:

  • Eski sistemler desteğini kesebilir — enforcement seviyesini yükseltmeden önce, müşteri posta sunucularının TLS desteklemediğini test edin.
  • İYS-entegreli sistemler — Euromsg, Related Digital gibi platformlarda MTA-STS desteği hala sınırlı; destek ekibine danışın.
  • ttmail, Mynet ve eski Türk Telekom adresleri — TLS desteği olmayabilir, e-postalar kuyruğa alınabilir. Yüksek enforcement modu yerine testing modundan başlayın.

MTA-STS ve DMARC arasındaki fark nedir?

DMARC, e-postanın kendi güvenliğini (SPF/DKIM doğrulaması) sağlar. MTA-STS, SMTP bağlantısının (kanal) güvenliğini sağlar. İkisini birlikte kullanın: DMARC sahtecilik zincirini keser, MTA-STS tüm ağ trafiğini şifreler.

MTA-STS etkinleştirirsem eski posta sunucularına e-posta gönderilemez mi?

Evet, olası. Eğer alıcı sunucu TLS desteklemiyorsa ve siz MTA-STS policy=enforce yayınlarsanız, e-posta reddedilir. Geçişi hafif tutmak için policy=testing ile başlayın — DNS\'yi güncelle ama sertifika hatalarını logla, enforcelemeden kaçının. 1-2 hafta sonra enforcement moduna geçin.

Türkiye\'de hangi posta sağlayıcıları MTA-STS destekler?

Gmail (Google Workspace), Outlook/Microsoft 365, Yandex Mail, ve büyük ESP\'ler (Related Digital, Euromsg, Setrow) destekler. Mynet, ttmail gibi eski sistemlerle ihtiyatlı yaklaşın. Kontrol etmek için check.live-direct-marketing.online kullanarak test e-posta gönderin — alan adınızın TLS uyumluluğu raporlanacaktır.
İlgili yazılar
Found this useful? Share it
AB
Yazar hakkında
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

20'den fazla sağlayıcıda teslim edilebilirliğinizi kontrol edin

Gmail, Outlook, Yahoo, GMX, ProtonMail ve daha fazlası. Gerçek gelen kutusu ekran görüntüleri, SPF/DKIM/DMARC, spam filtresi kararları. Ücretsiz, kayıt gerektirmez.

Ücretsiz testi başlat →

Sınırsız test · 20+ posta kutusu · Canlı sonuçlar · Hesap gerekmez