Şifre sıfırlama e-postası alamamak son derece sinir bozucu bir durumdur. Kullanıcı hesabına erişemeyen, e-postanın hiç gelmediğine inanıp günlerce bekleyen müşterileriniz kaybetmeye başlar. İşletmeyi yöneten açısından ise bu problemin çabuk bulunması ve çözülmesi zorunludur. Türkiye'de yaygın olarak kullanılan Gmail, Outlook, Yandex Mail, Mynet ve Türk Telekom posta servisleri, kendi filtreleme kurallarını uygular — bu yazıda şifre sıfırlama e-postalarının neden gelmediğini teşhis etmek ve çözmek için adımları inceleyeceğiz.
Şifre Sıfırlama E-postaları Neden Gelmediği veya Geç Geldiği?
Şifre sıfırlama e-postası (password reset email) işlemsel bir e-postadır. Bu tür e-postalar, müşteri hesabının yönetimi için zorunludur ve pazarlama e-postalarından çok daha sıkı doğrulama kurallarına tabi tutulur. Posta sağlayıcıları, işlemsel e-postaların gerçek bir kullanıcıdan ve gerçek bir sunucudan geldiğini teyit etmek için SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) ve DMARC (Domain-based Message Authentication, Reporting, and Conformance) kayıtlarını kontrol eder. Eğer bu kayıtlar doğru ayarlanmamışsa, e-posta gelen kutusuna gelmek yerine spam klasörüne düşer veya tamamen silinir.
Diğer yaygın nedenler:
- Noreply adresi şüpheli kabul edilmesi: Bazı posta servisleri noreply@domain.com gibi adresleri otomatik e-posta olarak işaretler ve filtreleyebilir.
- Gönderici isminin kötüye kullanılması: Gönderici adı kötüye kullanılabilir karakterler içerirse (örn. "<link>" veya yabancı karakterler) filtrelenir.
- Yetkisiz IP adresinden gönderim: Kendi cihazından ya da test sunucusundan production e-postası gönderiyorsanız, Gmail/Outlook ciddi şekilde filtreleyebilir.
- Kota ve tempo kontrolü: Aynı hesaba birden çok şifre sıfırlama isteği kısa sürede gelmişse, posta sağlayıcısı tempo kontrol yapar (rate limiting).
İşlemsel E-posta vs Pazarlama E-postası: Fark Nedir?
E-posta dünyasında iki temel kategori vardır:
- İşlemsel (Transactional): Şifre sıfırlama, sipariş onayı, fatura, sistemden oluşturulan bildirimi. Kullanıcı bir aksiyon aldığında sistem otomatik e-posta gönderir. Müşteri bu e-postayı beklediğini bilir.
- Pazarlama (Marketing): Haber bülteni, promosyon, yeni ürün duyurusu. Pazarlama e-postası spam filtreleri daha katı davranır ve kullanıcı istemese bile gelebilir.
Gmail, Outlook ve Yandex Mail gibi büyük posta sağlayıcıları, işlemsel e-postaya pazarlama e-postasından farklı davranış gösterir — çünkü işlemsel e-postalar tipik olarak kimlik doğrulama ve hesap güvenliği için gereklidir. Buna rağmen, işlemsel e-postanın da SPF/DKIM/DMARC doğrulaması gerekir. Eğer bu doğrulama başarısız olursa, sistem "doğrulanmamış gönderici" uyarısı gösterir ve e-posta spam olarak işaretlenebilir.
Şifre Sıfırlama İçin SPF, DKIM ve DMARC Ayarı
Çoğu işletme, pazarlama ve işlemsel e-postaları farklı sunuculardan göndermek için ayrı sending domain kullanırlar. Örneğin:
- Pazarlama: mail.example.com
- İşlemsel: noreply.example.com veya transact.example.com
Her domaine ayrı SPF, DKIM ve DMARC kayıtları ayarlamanız gerekir. İşlemsel domain için doğrulama mekanizmaları şöyle çalışır:
Pratik adımlar:
- SPF Kaydı Ekleyin
DNS'de şu tür bir kayıt oluşturun (örnek):
v=spf1 include:sendgrid.net include:mg.example.com ~allBu kayıt "include" ile üçüncü taraf ESP'leri (SendGrid, Mailgun, vb.) yetkilendirir. Kurumsal mail sunucusu varsa, sunucunun IP'sini doğrudan yazabilirsiniz:
v=spf1 ip4:203.0.113.50 ~all - DKIM İmzasını Ayarlayın
E-posta sunucunuzu (Postfix, Exim, SendGrid vb.) DKIM sertifikası ile ayarlandığından emin olun. DKIM key'ini DNS'ye ekleyin. Sendgrid kullanıyorsanız, Sendgrid panelinden verilen public key'i DNS CNAME kaydı olarak eklersiniz:
default._domainkey.noreply.example.com CNAME sendgrid.net - DMARC Politikası Belirleyin
En azından p=none ile başlayın (raporlama modu), sonra p=quarantine veya p=reject'e geçin:
v=DMARC1; p=none; rua=mailto:dmarcreports@example.com
Türkiye'deki Posta Sağlayıcılarında Yaygın Sorunlar
Türkiye'de en yaygın kullanılan posta servisleri:
- Gmail (Google Workspace): Kurumsal hesaplar için yaygın. SPF/DKIM doğrulaması kategorik olarak kontrol eder. DMARC raporları alsanız bile, şifre sıfırlama e-postasının 24 saat içinde yeniden gelmesi beklenir. Geç gelme veya hiç gelmeme, SPF/DKIM başarısızlığı anlamına gelir.
- Outlook / Hotmail: Özellikle eski hesaplar için yaygın. Outlook, Microsoft'un junk e-posta filtreleri oldukça katıdır. Sending domain'inin itibarı (reputation) Outlook'ta hassas konudur. Yeni bir domain'den gönderiyorsanız, ilk hafta Outlook'a ulaşamayabilirsiniz.
- Yandex Mail (yandex.com.tr / yandex.ru): Rusya ve Türkiye'ye yakın bölgelerde yaygın. Yandex, SPF+DKIM'i oldukça katı kontrol eder. Eğer DKIM başarısız olursa, e-posta genellikle spam klasörüne düşer. Yandex Postmaster Tools'una kayıt olarak raporları izleyebilirsiniz.
- Türk Telekom (ttmail.com / turk.net): ADSL ve ev interneti ile geldiği için bireysel kullanıcı tabanı yoğun. Türk Telekom, DMARC raporları almasına rağmen, strict filtering uygular. Eğer domainiz yeni ise, Türk Telekom'a ulaşmak zaman alabilir.
- Mynet: Eski türk portal sitesi, legacy e-posta adresleri hâlen vardır. Mynet'e gönderim yapıyorsanız, SPF/DKIM kesinlikle gereklidir.
E-postayı Test Etme ve Doğrulama
SPF/DKIM/DMARC ayarladıktan sonra, gerçekten işlemsel e-postanın gelen kutusuna ulaşıp ulaşmadığını test etmelisiniz. Bunun için iki yöntem vardır:
- Kişisel Hesaplar ile Test: Kendi Gmail, Outlook, Yandex hesabınıza test şifre sıfırlama e-postası gönderin. E-postanın gelen kutusunda mı, spam klasöründe mi olduğunu kontrol edin.
- Seed Test Adresleri ile Test Etme: İnbox placement test aracı gibi hizmetleri kullanarak, şifre sıfırlama e-postasını birden fazla posta sağlayıcıya gönderin. Bu araçlar, e-postanızın her bir sağlayıcıda (Gmail, Outlook, Yandex, Türk Telekom vb.) gelen kutusuna mı yoksa spam'e mi düştüğünü gösterir. Ayrıca SPF/DKIM/DMARC doğrulama sonuçlarını detaylı rapor eder ve hatta rüzgarda e-postanızın nasıl göründüğünün ekran görüntüsünü sağlar.
Şifre sıfırlama e-postasını test ederken, HTML e-posta formatında gönderdiğinizden emin olun. Bazı sistemler şifre sıfırlama linkini plain text olarak gönderdikçe, kimi posta filtreleri bunu HTML attachment'ı ya da zararlı link olarak algılayabilir.
Uygulama Bazında Yaygın Sorunlar
Ticari web uygulamaları (e-ticaret platformları, CMS, membership sistemi vb.) sıkça şifre sıfırlama e-postasını yanlış ayarlar:
- WooCommerce: Varsayılan WordPress wp_mail() fonksiyonu genellikle hosting sunucusunun SMTP'sini kullanır. Bu sunucu SPF/DKIM ayarlanmamışsa, WordPress e-postaları spam olur. Çözüm: WP Mail SMTP eklentisini kurup, SendGrid veya Mailgun gibi external SMTP sağlayıcısı bağlayın.
- Shopify: Shopify kendi SMTP'sini kontrol eder, ama custom domain üzerinden gönderiyorsanız, Shopify domain doğrulaması gerekir (SPF/DKIM record Shopify tarafından verilir).
- Türk E-ticaret Platformları (İdeasoft, Ticimax, İYS): Bu platformlar kendi sending infrastructure'üne sahip. Kendi domainizi bağlarken (custom domain), platform size verdiği SPF ve DKIM kayıtlarını DNS'ye kesin olarak eklemeniz gerekir.
Şifre sıfırlama e-postası normal olarak ne kadar sürede gelir?
İşlemsel e-postalar pazarlama e-postalarından daha hızlı iletilir. Posta sağlayıcısı SPF/DKIM/DMARC doğrulama başarılı olursa, şifre sıfırlama e-postası genellikle 10 saniye ile 2 dakika arasında gelen kutusunda görünür. Eğer 5 dakikadan fazla sürüyorsa, sorun e-posta doğrulama ayarlarında veya posta sağlayıcısının kuyruk sisteminde olabilir. Spam klasöründe mi olduğunu kontrol edin.
Yandex Mail'de neden şifre sıfırlama e-postası spam'e düşüyor?
Yandex Mail, DKIM imzasını çok sıkı kontrol eder. Eğer DKIM başarısız olursa, e-posta neredeyse kesin spam'e düşer. Kontrol etmeniz gereken noktalar:
- DKIM public key'i DNS'de doğru şekilde kayıtlı mı?
- E-posta sunucusu gerçekten DKIM imzası yapıyor mu?
- SendGrid veya Mailgun gibi üçüncü taraf SMTP kullanıyorsanız, o hizmetin DKIM ayarları Yandex tarafından kabul ediliyor mu?
Yandex Postmaster Tools'a kayıt olarak (postmaster.yandex.com), DKIM başarısız e-postaların raporunu görebilirsiniz.
Canlı sunucuda SPF/DKIM ayarlaması yaptım ama e-postalar hala gelmiyor
DNS kayıt değişikliklerinin posta sağlayıcıları tarafından cache'ten silinmesi 24–48 saat sürebilir. Kısa vadeli çözümler:
- Şifre sıfırlama e-postasını yeniden talep edin (bazı sistemler 5 dakika koşul koydukları için).
- Kendi test e-posta adresinizle test edin (Gmail, Outlook hesabınız).
- SPF record'unuzu
dig noreply.example.com TXTkomutla kontrol edin. Doğru görünüyorsa, DKIM ve DMARC'ı da doğrulayın. - Sending domain'inin eski itibarı (reputation) varsa ve spam gönderilmişse, posta sağlayıcısı güvenin gelmesini beklemesi gerekebilir.