İşlemsel E-posta8 dk okuma

PHP mail() ile Gönderilen E-postalar Spam'e Düşüyor

WordPress siteniz, PHP uygulamanız veya WooCommerce mağazanız tarafından gönderilen e-postaların spam klasöründe sona ermesi mi yaşıyorsunuz? Sorun büyük olasılıkla PHP'nin mail() fonksiyonunun e-posta doğrulama mekanizmalarını desteklememesinden kaynaklanmaktadır.

PHP'nin yerleşik mail() fonksiyonu, basit ve hızlı e-posta göndermek için pratik görünse de, modern e-posta sağlayıcılarının güvenlik standartlarını karşılamaz. Gmail, Outlook, Yandex Mail, Türk Telekom (TTMail) ve diğer sağlayıcılar, e-postanın gerçek bir kaynaktan geldiğini doğrulayan SPF, DKIM ve DMARC kayıtlarını kontrol ederler. mail() bu mekanizmaları uygun şekilde desteklemediğinden, gönderdiğiniz e-postalar spam klasöründe sona ermesi veya hiç gelmemesi riski vardır. Bu sorunun çözümü ise oldukça basittir: SMTP protokolünü kullanan uygun kütüphanelere geçmek.

PHP mail() Fonksiyonu Neden Spam'e Düşüyor?

mail() fonksiyonu, e-postaları doğrudan sunucunuzun sendmail veya postfix servisi üzerinden gönderir. Ancak bu yöntemin temel sorunu, gönderilen e-postanın kendi e-posta sunucunuzun adı altında değil, sunucunuzun hostname'i altında görünmesidir. Örneğin, siteniz example.com ise, mail() ile gönderilen e-postalar example.com'un yerine mail.hosting-provider.com gibi bir hostname ile gelecektir.

Bu durum, alıcı tarafındaki e-posta sunucuları için kırmızı bayraktır. Eğer gönderen hostname sizin alan adınızla eşleşmiyorsa, Google, Microsoft ve Yandex gibi sağlayıcılar bu e-postayı güvenilir olmayan bir kaynaktan geldiğini düşünür. İşte bu nedenle e-postanız spam klasöründe sona erer. Buna bir de İYS uyumluluğu (Türkiye'deki ticari e-posta yönetim sistemi) ve KVKK gereklilikleri eklendiğinde, eksik doğrulama kayıtları ciddi yasal ve operasyonel sorunlara yol açabilir.

SPF, DKIM ve DMARC: Nedir ve Neden Gereklidir?

E-posta doğrulaması üç ana mekanizmaya dayanır. Bu mekanizmaları anlamak, neden mail() sorun yaratır ve nasıl düzeleceğinizi açıklamanıza yardımcı olacaktır.

SPFGönderen alan adının IP adresini doğrular: 'Bu IP'dan gönderilen e-postalar benim adıma gönderilme yetkisine sahiptir.'DKIME-postanın içeriğine dijital imza ekler: 'Bu e-posta değiştirilmemiş ve benim tarafımdan gönderilmiştir.'DMARCSPF ve DKIM sonuçlarını birleştirir ve başarısızlık durumunda ne yapılacağını belirtir: 'Başarısızsa reddet, karantinaya al veya pass diye işaretle.'
SPF, DKIM ve DMARC: E-posta Doğrulama Mekanizmaları

SPF (Sender Policy Framework): Sizin alan adınızdan gönderilen e-postaların hangi IP adreslerinden çıkabileceğini belirtir. Alıcı e-posta sunucusu, gelen e-postanın gönderen IP'sini SPF kaydıyla karşılaştırır. mail() ile gönderilen e-postalar genellikle hosting sağlayıcınızın IP'sinden çıktığı için, sizin SPF kaydınızda bu IP belirtilmişse doğrulama geçer—ancak çoğu durumda bu otomatik olarak ayarlanmaz.

DKIM (DomainKeys Identified Mail): E-postanın içeriğine sayısal bir imza ekler. Alıcı sunucu, bu imzayı sizin DKIM ortak anahtarınızla doğrular. Eğer e-posta transfer sırasında değiştirilmişse, imza başarısız olur. mail() kütüphane olarak DKIM desteği sağlamaz; bunu uygun bir SMTP sunucusu veya proxy yapmalıdır.

DMARC (Domain-based Message Authentication, Reporting, and Conformance): SPF ve DKIM sonuçlarını birleştirir. Eğer her ikisi de başarısız olursa, DMARC politikası belirttiğiniz şekilde (reject, quarantine, none) işlem yapar. Buna ek olarak, DMARC başarısızlıkları hakkında raporlar gönderir, böylece problem alanlarını tespit edebilirsiniz.

Çözüm 1: PHPMailer ile SMTP Kullanma

En doğrudan çözüm, mail() yerine SMTP protokolünü kullanan bir PHP kütüphanesi tercih etmektir. PHPMailer ve SwiftMailer gibi kütüphaneler, SMTP üzerinden e-posta gönderir ve sizin gönderen e-posta adresinizi ve doğrulama kayıtlarınızı doğru şekilde kullanır.

PHPMailer ile yapılan bir basit örnek:

<?php require 'vendor/autoload.php'; use PHPMailer\PHPMailer\PHPMailer; $mail = new PHPMailer(true); try { // SMTP Ayarları $mail->isSMTP(); $mail->Host = 'smtp.gmail.com'; $mail->SMTPAuth = true; $mail->Username = 'your-email@gmail.com'; $mail->Password = 'your-app-password'; $mail->SMTPSecure = PHPMailer::ENCRYPTION_STARTTLS; $mail->Port = 587; // Gönderici Bilgileri $mail->setFrom('no-reply@example.com', 'Şirketiniz'); $mail->addAddress('alici@example.com', 'Alıcı Adı'); // E-posta İçeriği $mail->isHTML(true); $mail->Subject = 'Sipariş Onayı'; $mail->Body = '&lt;h1&gt;Siparişiniz Onaylandı&lt;/h1&gt;'; $mail->AltBody = 'Siparişiniz Onaylandı'; $mail->send(); echo 'E-posta başarıyla gönderildi'; } catch (Exception $e) { echo "Hata: {$mail->ErrorInfo}"; } ?>

Bu yöntemi kullanarak, e-posta kendi alan adınız altından gönderilir ve SPF/DKIM doğrulaması yapılabilir. Gmail, Microsoft 365, SendGrid, Amazon SES veya Mailgun gibi SMTP sağlayıcılarıyla bağlantı kurabilirsiniz.

İpucu: Gmail Uygulama Parolaları Kullanın
Gmail hesabınız varsa, 2FA (iki faktörlü kimlik doğrulama) etkinleşttikten sonra bir Uygulama Parolası oluşturun ve bunu PHPMailer'da kullanın. Böylece gerçek hesap şifrenizi kod içinde tutmak zorunda kalmazsınız.

Çözüm 2: WordPress Kullanıcıları İçin (WP Mail SMTP)

WordPress kullanan e-ticaret sitesi, blog veya LMS sahibiyseniz, sorun çözmek çok daha kolaydır. WP Mail SMTP eklentisi, Plugins > Yeni Ekle'den kurulabilir ve birkaç tıkla SMTP bağlantısını ayarlayabilirsiniz.

  1. WordPress yönetici paneline giriş yapın.
  2. Plugins > Yeni Ekle bölümünde "WP Mail SMTP" araştırın ve yükleyin.
  3. Settings > WP Mail SMTP'ye gidin.
  4. Mailer'ı Gmail, Outlook, SendGrid veya başka bir SMTP sağlayıcısı olarak seçin.
  5. Gönderici e-posta adresinizi ve SMTP kimlik bilgilerinizi girin.
  6. "Test E-postası Gönder" seçeneğini kullanarak doğrulayın.

WooCommerce mağazanız, Contact Form 7 temas formu, kullanıcı kaydı e-postaları ve şifre sıfırlama bağlantıları—tüm bunlar artık uygun SMTP üzerinden gönderilecek ve doğrulama mekanizmalarından geçecektir.

DNS Kayıtlarını Doğru Ayarlama

SMTP kütüphanesi kullanmaya başladıktan sonra, DNS kayıtlarınızı yapılandırmalısınız. Böylece alıcı sunucular, e-postanızın gerçekten size ait olduğunu doğrulayabilecektir.

v=spf1 include:_spf.google.com include:sendgrid.net ~allSPF sürümü; her kayıtta başlangıçGoogle&apos;ın SPF kaydını dahil etSendGrid&apos;den gönderim yapıyorsanızListelenmeyen kaynaklar soft-fail
SPF Kaydı Yapısı ve Bileşenleri

SPF Kaydı Örneği:

v=spf1 include:_spf.google.com ~all

Bu kaydı DNS sağlayıcınızda (Namecheap, GoDaddy, Cloudflare vb.) TXT kayıt olarak ekleyin. Eğer SendGrid, Mailgun veya başka bir hizmet kullanıyorsanız, bu hizmetin SPF include kaydını ekleyin.

DKIM Kurulumu: DKIM anahtarı genellikle e-posta hizmet sağlayıcısı (Gmail, SendGrid, Mailgun vb.) tarafından sağlanır. Sağlayıcının kontrol panelinden DKIM kaydını alıp DNS'ye TXT kaydı olarak ekleyin.

default._domainkey.example.com IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSq...kw=="

DMARC Kaydı: Başlangıç olarak, aşağıdaki basit DMARC kaydı kullanın:

v=DMARC1; p=none; rua=mailto:dmarc@example.com

Bu kayıt, başarısızlıkları bildir (p=none), ancak e-postaları reddetme veya karantinaya alma yapma anlamına gelir. Test ettikten sonra, p=quarantine veya p=reject olarak değiştirebilirsiniz.

Test Etme ve Doğrulama

Yapılandırmanızı tamamladıktan sonra, gerçek e-posta sağlayıcılarında test etmelisiniz. check.live-direct-marketing.online gibi ücretsiz bir inbox placement test aracı, test e-postanızı Gmail, Outlook, Yandex Mail, TTMail ve diğer Türk sağlayıcılarında nasıl görüneceğini kontrol etmenizi sağlar.

Test sırasında dikkat ettiğiniz noktalar:

  • Inbox vs Spam: Test e-postanız sağlayıcılarda Inbox'ta mı yoksa Spam'de mi görünüyor?
  • SPF/DKIM Doğrulama: Test raporunuzda bu doğrulamalar "Pass" gösteriyor mu?
  • DMARC: DMARC doğrulaması da geçiyor mu?
  • Reklam Klasörü: Bazı sağlayıcılar e-postaları Promotions klasörüne yerleştirebilir. Bu, spam değildir.

Eğer hâlâ spam klasöründe görülüyorsanız, şunları kontrol edin:

  • DNS kayıtlarınız doğru mu?
  • SMTP kimlik bilgileriniz doğru mu?
  • E-posta içeriğiniz spam tetikleyici sözcükler içeriyor mu?
  • Listeden çıkma bağlantısı var mı? (RFC 8058)

Bütün bu kontroller yapıldıktan sonra, üretim ortamına geçebilirsiniz. İlk gönderimlerinizi ileri bir gönderme hızında değil, kademeli olarak başlatın (günde 100-200 e-posta gibi). Böylece ISP'ler sizin gönderme alışkanlığınızı tanıyabilecektir.

PHP mail() tamamen kötü müdür, bazı durumlarda kullanılabilir mi?

Yerel test ortamlarında veya admin bildirimlerinde mail() kullanılabilir. Ancak, müşterilere gönderilen sipariş onayları, şifre sıfırlama, pazarlama e-postaları ve diğer ticari iletişimler için mutlaka SMTP kütüphanesi kullanmalısınız. Türkiye'deki İYS ve KVKK gereklilikleri nedeniyle, tüm ticari e-postalar doğrulama mekanizmalarıyla gönderilmelidir.

Sadece SPF kaydı yeterli mi, DKIM ve DMARC da gerekli mi?

Teknisyen olarak, SPF + DKIM kombinasyonu çoğu durumda yeterlidir. Ancak, büyük e-posta sağlayıcıları DMARC'ı kontrol eder ve bu mekanizmaları yapılandırmış kuruluşlar daha güvenilir görünür. En iyi pratik: üçünü de ayarlayın. DMARC'ı başlangıçta p=none ile raporlama modunda tutabilir, daha sonra katılaştırabilirsiniz.

İYS uyumluluğu ile doğrulama kayıtları arasında bağlantı var mı?

Evet. İYS, Türkiye'de ticari e-posta ve SMS'ler için alıcıların açık rızasını gerektiren bir yönetim sistemidir. Eğer birisi İYS'de e-posta almayı reddetmişse, e-posta gönderilemez. Bununla birlikte, SPF/DKIM/DMARC yapılandırması, e-postaların spam filtrelerine takılmadan alıcılara ulaşmasını sağlar. İkisi de gereklidir: İYS uyumluluğu + düzgün teknik kurulum.

İlgili yazılar
Found this useful? Share it
AB
Yazar hakkında
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

20'den fazla sağlayıcıda teslim edilebilirliğinizi kontrol edin

Gmail, Outlook, Yahoo, GMX, ProtonMail ve daha fazlası. Gerçek gelen kutusu ekran görüntüleri, SPF/DKIM/DMARC, spam filtresi kararları. Ücretsiz, kayıt gerektirmez.

Ücretsiz testi başlat →

Sınırsız test · 20+ posta kutusu · Canlı sonuçlar · Hesap gerekmez