İşlemsel E-posta8 dk okuma

Şifre Sıfırlama E-postası Gelmiyor

Kullanıcılarınız hesaplarına giriş yapamıyorsa ve şifre sıfırlama bağlantısı gelmiyorsa, sorun büyük olasılıkla e-posta doğrulama ayarlarında yatıyor. Türkiye'deki posta sağlayıcıları (Gmail, Outlook, Yandex, Türk Telekom) ne kadar katı kurallar uyguluyor görelim.

Şifre sıfırlama e-postası alamamak son derece sinir bozucu bir durumdur. Kullanıcı hesabına erişemeyen, e-postanın hiç gelmediğine inanıp günlerce bekleyen müşterileriniz kaybetmeye başlar. İşletmeyi yöneten açısından ise bu problemin çabuk bulunması ve çözülmesi zorunludur. Türkiye'de yaygın olarak kullanılan Gmail, Outlook, Yandex Mail, Mynet ve Türk Telekom posta servisleri, kendi filtreleme kurallarını uygular — bu yazıda şifre sıfırlama e-postalarının neden gelmediğini teşhis etmek ve çözmek için adımları inceleyeceğiz.

Şifre Sıfırlama E-postaları Neden Gelmediği veya Geç Geldiği?

Şifre sıfırlama e-postası (password reset email) işlemsel bir e-postadır. Bu tür e-postalar, müşteri hesabının yönetimi için zorunludur ve pazarlama e-postalarından çok daha sıkı doğrulama kurallarına tabi tutulur. Posta sağlayıcıları, işlemsel e-postaların gerçek bir kullanıcıdan ve gerçek bir sunucudan geldiğini teyit etmek için SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) ve DMARC (Domain-based Message Authentication, Reporting, and Conformance) kayıtlarını kontrol eder. Eğer bu kayıtlar doğru ayarlanmamışsa, e-posta gelen kutusuna gelmek yerine spam klasörüne düşer veya tamamen silinir.

Diğer yaygın nedenler:

  • Noreply adresi şüpheli kabul edilmesi: Bazı posta servisleri noreply@domain.com gibi adresleri otomatik e-posta olarak işaretler ve filtreleyebilir.
  • Gönderici isminin kötüye kullanılması: Gönderici adı kötüye kullanılabilir karakterler içerirse (örn. "<link>" veya yabancı karakterler) filtrelenir.
  • Yetkisiz IP adresinden gönderim: Kendi cihazından ya da test sunucusundan production e-postası gönderiyorsanız, Gmail/Outlook ciddi şekilde filtreleyebilir.
  • Kota ve tempo kontrolü: Aynı hesaba birden çok şifre sıfırlama isteği kısa sürede gelmişse, posta sağlayıcısı tempo kontrol yapar (rate limiting).

İşlemsel E-posta vs Pazarlama E-postası: Fark Nedir?

E-posta dünyasında iki temel kategori vardır:

  • İşlemsel (Transactional): Şifre sıfırlama, sipariş onayı, fatura, sistemden oluşturulan bildirimi. Kullanıcı bir aksiyon aldığında sistem otomatik e-posta gönderir. Müşteri bu e-postayı beklediğini bilir.
  • Pazarlama (Marketing): Haber bülteni, promosyon, yeni ürün duyurusu. Pazarlama e-postası spam filtreleri daha katı davranır ve kullanıcı istemese bile gelebilir.

Gmail, Outlook ve Yandex Mail gibi büyük posta sağlayıcıları, işlemsel e-postaya pazarlama e-postasından farklı davranış gösterir — çünkü işlemsel e-postalar tipik olarak kimlik doğrulama ve hesap güvenliği için gereklidir. Buna rağmen, işlemsel e-postanın da SPF/DKIM/DMARC doğrulaması gerekir. Eğer bu doğrulama başarısız olursa, sistem "doğrulanmamış gönderici" uyarısı gösterir ve e-posta spam olarak işaretlenebilir.

Şifre Sıfırlama İçin SPF, DKIM ve DMARC Ayarı

Çoğu işletme, pazarlama ve işlemsel e-postaları farklı sunuculardan göndermek için ayrı sending domain kullanırlar. Örneğin:

  • Pazarlama: mail.example.com
  • İşlemsel: noreply.example.com veya transact.example.com

Her domaine ayrı SPF, DKIM ve DMARC kayıtları ayarlamanız gerekir. İşlemsel domain için doğrulama mekanizmaları şöyle çalışır:

SPFPosta sunucunuzun IP adresini yetkilendiren DNS kaydıDKIME-postanın imzasını doğrulamak için public keyDMARCBaşarısızlık durumunda raporlama ve güvenlik politikası
E-posta doğrulaması için gerekli kayıtlar ve kontrol akışı

Pratik adımlar:

  1. SPF Kaydı Ekleyin

    DNS'de şu tür bir kayıt oluşturun (örnek):

    v=spf1 include:sendgrid.net include:mg.example.com ~all

    Bu kayıt "include" ile üçüncü taraf ESP'leri (SendGrid, Mailgun, vb.) yetkilendirir. Kurumsal mail sunucusu varsa, sunucunun IP'sini doğrudan yazabilirsiniz:

    v=spf1 ip4:203.0.113.50 ~all
  2. DKIM İmzasını Ayarlayın

    E-posta sunucunuzu (Postfix, Exim, SendGrid vb.) DKIM sertifikası ile ayarlandığından emin olun. DKIM key'ini DNS'ye ekleyin. Sendgrid kullanıyorsanız, Sendgrid panelinden verilen public key'i DNS CNAME kaydı olarak eklersiniz:

    default._domainkey.noreply.example.com CNAME sendgrid.net
  3. DMARC Politikası Belirleyin

    En azından p=none ile başlayın (raporlama modu), sonra p=quarantine veya p=reject'e geçin:

    v=DMARC1; p=none; rua=mailto:dmarcreports@example.com
İşlemsel E-postalar İçin Kritik Tavsiye
Şifre sıfırlama, sipariş onayı ve fatura gibi kritik işlemsel e-postaları pazarlama domaininden göndermemeyin. Bunun yerine ayrı bir noreply veya transact subdomaininden gönderin ve bu subdomaine özel SPF, DKIM, DMARC kayıtları ayarlayın. Böylece pazarlama e-postalarının itibarı bu kritik e-postaları etkilemez. Herhangi bir DNS değişikliğinden sonra, hemen test adreslerine e-posta göndererek ücretsiz inbox placement test ile doğrulayabilirsiniz.

Türkiye'deki Posta Sağlayıcılarında Yaygın Sorunlar

Türkiye'de en yaygın kullanılan posta servisleri:

  • Gmail (Google Workspace): Kurumsal hesaplar için yaygın. SPF/DKIM doğrulaması kategorik olarak kontrol eder. DMARC raporları alsanız bile, şifre sıfırlama e-postasının 24 saat içinde yeniden gelmesi beklenir. Geç gelme veya hiç gelmeme, SPF/DKIM başarısızlığı anlamına gelir.
  • Outlook / Hotmail: Özellikle eski hesaplar için yaygın. Outlook, Microsoft'un junk e-posta filtreleri oldukça katıdır. Sending domain'inin itibarı (reputation) Outlook'ta hassas konudur. Yeni bir domain'den gönderiyorsanız, ilk hafta Outlook'a ulaşamayabilirsiniz.
  • Yandex Mail (yandex.com.tr / yandex.ru): Rusya ve Türkiye'ye yakın bölgelerde yaygın. Yandex, SPF+DKIM'i oldukça katı kontrol eder. Eğer DKIM başarısız olursa, e-posta genellikle spam klasörüne düşer. Yandex Postmaster Tools'una kayıt olarak raporları izleyebilirsiniz.
  • Türk Telekom (ttmail.com / turk.net): ADSL ve ev interneti ile geldiği için bireysel kullanıcı tabanı yoğun. Türk Telekom, DMARC raporları almasına rağmen, strict filtering uygular. Eğer domainiz yeni ise, Türk Telekom'a ulaşmak zaman alabilir.
  • Mynet: Eski türk portal sitesi, legacy e-posta adresleri hâlen vardır. Mynet'e gönderim yapıyorsanız, SPF/DKIM kesinlikle gereklidir.

E-postayı Test Etme ve Doğrulama

SPF/DKIM/DMARC ayarladıktan sonra, gerçekten işlemsel e-postanın gelen kutusuna ulaşıp ulaşmadığını test etmelisiniz. Bunun için iki yöntem vardır:

  1. Kişisel Hesaplar ile Test: Kendi Gmail, Outlook, Yandex hesabınıza test şifre sıfırlama e-postası gönderin. E-postanın gelen kutusunda mı, spam klasöründe mi olduğunu kontrol edin.
  2. Seed Test Adresleri ile Test Etme: İnbox placement test aracı gibi hizmetleri kullanarak, şifre sıfırlama e-postasını birden fazla posta sağlayıcıya gönderin. Bu araçlar, e-postanızın her bir sağlayıcıda (Gmail, Outlook, Yandex, Türk Telekom vb.) gelen kutusuna mı yoksa spam'e mi düştüğünü gösterir. Ayrıca SPF/DKIM/DMARC doğrulama sonuçlarını detaylı rapor eder ve hatta rüzgarda e-postanızın nasıl göründüğünün ekran görüntüsünü sağlar.

Şifre sıfırlama e-postasını test ederken, HTML e-posta formatında gönderdiğinizden emin olun. Bazı sistemler şifre sıfırlama linkini plain text olarak gönderdikçe, kimi posta filtreleri bunu HTML attachment'ı ya da zararlı link olarak algılayabilir.

Uygulama Bazında Yaygın Sorunlar

Ticari web uygulamaları (e-ticaret platformları, CMS, membership sistemi vb.) sıkça şifre sıfırlama e-postasını yanlış ayarlar:

  • WooCommerce: Varsayılan WordPress wp_mail() fonksiyonu genellikle hosting sunucusunun SMTP'sini kullanır. Bu sunucu SPF/DKIM ayarlanmamışsa, WordPress e-postaları spam olur. Çözüm: WP Mail SMTP eklentisini kurup, SendGrid veya Mailgun gibi external SMTP sağlayıcısı bağlayın.
  • Shopify: Shopify kendi SMTP'sini kontrol eder, ama custom domain üzerinden gönderiyorsanız, Shopify domain doğrulaması gerekir (SPF/DKIM record Shopify tarafından verilir).
  • Türk E-ticaret Platformları (İdeasoft, Ticimax, İYS): Bu platformlar kendi sending infrastructure'üne sahip. Kendi domainizi bağlarken (custom domain), platform size verdiği SPF ve DKIM kayıtlarını DNS'ye kesin olarak eklemeniz gerekir.

Şifre sıfırlama e-postası normal olarak ne kadar sürede gelir?

İşlemsel e-postalar pazarlama e-postalarından daha hızlı iletilir. Posta sağlayıcısı SPF/DKIM/DMARC doğrulama başarılı olursa, şifre sıfırlama e-postası genellikle 10 saniye ile 2 dakika arasında gelen kutusunda görünür. Eğer 5 dakikadan fazla sürüyorsa, sorun e-posta doğrulama ayarlarında veya posta sağlayıcısının kuyruk sisteminde olabilir. Spam klasöründe mi olduğunu kontrol edin.

Yandex Mail'de neden şifre sıfırlama e-postası spam'e düşüyor?

Yandex Mail, DKIM imzasını çok sıkı kontrol eder. Eğer DKIM başarısız olursa, e-posta neredeyse kesin spam'e düşer. Kontrol etmeniz gereken noktalar:

  • DKIM public key'i DNS'de doğru şekilde kayıtlı mı?
  • E-posta sunucusu gerçekten DKIM imzası yapıyor mu?
  • SendGrid veya Mailgun gibi üçüncü taraf SMTP kullanıyorsanız, o hizmetin DKIM ayarları Yandex tarafından kabul ediliyor mu?

Yandex Postmaster Tools'a kayıt olarak (postmaster.yandex.com), DKIM başarısız e-postaların raporunu görebilirsiniz.

Canlı sunucuda SPF/DKIM ayarlaması yaptım ama e-postalar hala gelmiyor

DNS kayıt değişikliklerinin posta sağlayıcıları tarafından cache'ten silinmesi 24–48 saat sürebilir. Kısa vadeli çözümler:

  • Şifre sıfırlama e-postasını yeniden talep edin (bazı sistemler 5 dakika koşul koydukları için).
  • Kendi test e-posta adresinizle test edin (Gmail, Outlook hesabınız).
  • SPF record'unuzu dig noreply.example.com TXT komutla kontrol edin. Doğru görünüyorsa, DKIM ve DMARC'ı da doğrulayın.
  • Sending domain'inin eski itibarı (reputation) varsa ve spam gönderilmişse, posta sağlayıcısı güvenin gelmesini beklemesi gerekebilir.
İlgili yazılar
Found this useful? Share it
AB
Yazar hakkında
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

20'den fazla sağlayıcıda teslim edilebilirliğinizi kontrol edin

Gmail, Outlook, Yahoo, GMX, ProtonMail ve daha fazlası. Gerçek gelen kutusu ekran görüntüleri, SPF/DKIM/DMARC, spam filtresi kararları. Ücretsiz, kayıt gerektirmez.

Ücretsiz testi başlat →

Sınırsız test · 20+ posta kutusu · Canlı sonuçlar · Hesap gerekmez