Email Anti-Spam Kuralları: Google, Yahoo, Microsoft
Şubat 2024'te Google ve Yahoo, günde 5.000'den fazla email gönderen işletmeler için yeni güvenlik kurallarını yürürlüğe koydu. Mayıs 2025'te Microsoft (Outlook, Hotmail, Live) aynı safta yerini aldı. Kasım 2025 itibarıyla Google sert enforcement'a geçti: kurallara uymayan emailler artık spam klasörüne değil, doğrudan kalıcı red (rejection) alıyor.
Bu değişiklikler isteğe bağlı tavsiye değil, zorunluluk. Gmail tek başına günde 15 milyar istenmeyen emaili engelliyor (Google, 2024). Buna rağmen dünyada domainlerin yalnızca %16'sı DMARC (Domain-based Message Authentication, Reporting and Conformance, domain tabanlı email doğrulama standardı) uygulamış durumda, geri kalan %87'si spoofing'e (alan adı sahteciliği) açık (Red Sift, 2025 DMARC Adoption Report).
Bu yazıda güncellemelerin ne getirdiğini, kimleri etkilediğini, sağlayıcı bazlı gereksinimleri ve uymazsanız karşılaşacağınız somut sonuçları anlatıyoruz.
2024'ten 2026'ya: ne değişti?
Bu kurallar bir gecede ortaya çıkmadı. Büyük email sağlayıcılar kademeli bir uygulama stratejisi izledi, önce uyarı, sonra geçici red, en son kalıcı rejection. Süreci anlamak önemli çünkü her aşamada farklı hata kodları ve farklı sonuçlar var.
| Tarih | Olay | Etki |
|---|---|---|
| Ekim 2023 | Google, Yahoo ve Apple yeni kuralları duyurdu | Hazırlık dönemi başladı |
| Şubat 2024 | Google ve Yahoo enforcement başladı | Uyumsuz emailler geçici hata aldı (421 kodları) |
| Nisan 2024 | Google kademeli red başladı | Bazı uyumsuz emailler reddedilmeye başlandı |
| Haziran 2024 | Google tam enforcement | Tüm uyumsuz toplu gönderimler etkilendi |
| Mayıs 2025 | Microsoft (Outlook/Hotmail/Live) katıldı | Üçüncü büyük sağlayıcı da aynı kuralları uygulamaya başladı |
| Kasım 2025 | Google sert enforcement'a geçti | Geçici hatalar (421) yerini kalıcı redlere (550) bıraktı |
| 2026 | Üç büyük sağlayıcı tam rejection modunda | Uyumsuz emailler SMTP seviyesinde reddediliyor |
2024 başında birçok işletme bu kuralları "daha sonra hallederiz" diye erteledi çünkü başlangıçta sadece geçici uyarılar veriliyordu. Ancak 2025'in ikinci yarısından itibaren tolerans dönemi kapandı. Artık uyumsuz emailler gelen kutusuna ulaşamıyor, ne spam klasörüne düşüyor ne de promosyonlar sekmesine gidiyor. Doğrudan reddediliyor.
Hangi email sağlayıcılar bu kuralları uyguluyor?
2024'te sadece Google ve Yahoo'nun gündeminde olan bu kurallar artık dört büyük sağlayıcıda geçerli. Her birinin gereksinimleri ve uygulama takvimi farklı, ama temel beklenti aynı: kim olduğunuzu kanıtlayın, izinsiz email göndermeyin ve alıcının çıkışını kolaylaştırın.
| Gereksinim | Gmail | Yahoo | Microsoft | Apple iCloud |
|---|---|---|---|---|
| Toplu gönderici eşiği | Günde 5.000+ | Günde 5.000+ | Günde 5.000+ | Belirtilmemiş |
| SPF doğrulama | Zorunlu | Zorunlu | Zorunlu | Zorunlu |
| DKIM doğrulama | Zorunlu | Zorunlu | Zorunlu | Zorunlu |
| DMARC politikası | Minimum p=none | Minimum p=none | Minimum p=none | Zorunlu |
| DMARC hizalama (alignment) | Zorunlu | Zorunlu | SPF veya DKIM ile | Zorunlu |
| Tek tıkla abonelikten çıkma | Zorunlu (RFC 8058) | Zorunlu | Şiddetle tavsiye ediliyor | Zorunlu |
| Spam şikayet eşiği | %0.1 hedef, %0.3 maksimum | %0.3 maksimum | %0.3 maksimum | Belirtilmemiş |
| Enforcement başlangıcı | Şubat 2024 | Şubat 2024 | Mayıs 2025 | Belirtilmemiş |
| Uyumsuz emaile yaklaşım | 550 kalıcı red (Kasım 2025+) | Agresif filtreleme | Önce Junk, sonra red | Filtreleme |
Bu tablonun en kritik satırı "uyumsuz emaile yaklaşım" satırıdır. Google artık uyumsuz emailleri spam klasörüne bile almıyor, doğrudan SMTP seviyesinde reddediyor. Microsoft ise ilk aşamada Junk klasörüne yönlendirip, tekrarlayan ihlallerde kalıcı redde geçiyor. Yahoo ise özellikle paylaşımlı altyapıdan gelen uyumsuz emaillere karşı en agresif filtrelemeyi uygulayan sağlayıcı.
Apple iCloud Mail'in kuralları diğer üçü kadar detaylı belgelenmemiş olsa da SPF, DKIM ve DMARC'ı zorunlu kılıyor. ARC (Authenticated Received Chain, iletilmiş emaillerde kimlik doğrulama zincirini koruyan protokol) başlıkları da forwarded emailler için gerekli.
Bu kurallar kimleri etkiliyor?
Kısa cevap: email gönderen herkesi. Ama etki seviyesi gönderim hacmine göre değişiyor.
Toplu göndericiler (günde 5.000+ email)
En sert etki bu gruptadır. Günde 5.000'den fazla email gönderen işletmeler tüm gereksinimleri eksiksiz karşılamalıdır: SPF ve DKIM (ikisi birden), DMARC politikası, tek tıkla abonelikten çıkma, spam oranı kontrolü. 5.000 eşiği gönderen domain bazında hesaplanır, email adresi bazında değil. Yani pazarlama, bildirim ve işlemsel e-postalarınızı aynı domain'den gönderiyorsanız, hepsi bu sayıya dahildir.
Düşük hacimli göndericiler (günde 5.000'den az)
Daha az gereksinime tabi olmakla birlikte tamamen muaf değilsiniz. SPF veya DKIM (en az biri), geçerli PTR kayıtları ve düşük spam oranı bekleniyor. DMARC zorunlu değil ama şiddetle tavsiye ediliyor. Google'ın belgeleri açıkça belirtiyor: küçük göndericiler de zamanla daha sıkı kurallara tabi olacak.
Kimler özellikle dikkat etmeli?
- E-Ticaret siteleri: Sipariş onayı, kargo bildirimi ve kampanya emailleri yüksek hacim üretir. Tek bir Black Friday kampanyası sizi toplu gönderici sınıfına sokar.
- SaaS platformları: Bildirim, onboarding ve ürün güncelleme emailleri sürekli hacim oluşturur.
- Dijital ajanslar ve pazarlama şirketleri: Müşteriler adına toplu mail gönderimi yapan herkes etkilenir.
- Kurumsal şirketler: İç iletişim emailleri genellikle bu eşiğin altında kalır ama dış iletişim (müşteri bildirimleri, faturalar) hızla 5.000'i aşar.
Temel gereksinimler nedir?
Dört büyük sağlayıcının ortak beklentileri beş ana başlıkta toplanır. Burada her birini kısaca açıklıyoruz, SPF, DKIM ve DMARC'ın teknik kurulumu için ayrı bir detaylı rehber yazımız mevcut.
1. Email kimlik doğrulama (SPF, DKIM, DMARC)
Email kimlik doğrulama, gönderdiğiniz emailin gerçekten sizin domain'inizden geldiğini kanıtlayan teknik standartlardır. Üç protokol birlikte çalışır:
- SPF (Sender Policy Framework): Domain'iniz adına hangi sunucuların email gönderebileceğini belirler.
- DKIM (DomainKeys Identified Mail): Emaile dijital imza ekleyerek içeriğin iletim sırasında değiştirilmediğini kanıtlar.
- DMARC (Domain-based Message Authentication, Reporting and Conformance): SPF ve DKIM'i birleştirir, doğrulamadan geçemeyen emaillerle ne yapılacağını belirler.
Toplu göndericiler için üçü de zorunludur. Minimum DMARC politikası p=none (izle, müdahale etme) olsa da Google ve Yahoo gelecekte p=quarantine veya p=reject politikasını zorunlu kılmayı planladıklarını belirtiyor.
Bu protokollerin nasıl çalıştığını ve gönderici itibarını nasıl etkilediğini detaylı şekilde anlattığımız spama düşmeden toplu mail gönderme rehberimize göz atabilirsiniz.
2. Tek tıkla abonelikten çıkma (one-click unsubscribe)
Pazarlama ve bülten emaillerinde alıcının tek bir tıklamayla listeden çıkabilmesi zorunlu. Bu, email gövdesindeki unsubscribe linkinden farklı: RFC 8058 standardına uygun olarak email başlığına (header) eklenen bir List-Unsubscribe-Post mekanizması. Gmail ve Yahoo bunu gelen kutusunun üst kısmında görünür bir "Abonelikten çık" butonu olarak gösteriyor.
Abonelikten çıkma taleplerini iki iş günü içinde işleme almak zorunlu. MailGraf'ta bu süreç otomatik, alıcı butona bastığı anda listeden çıkarılır, ek bir onay adımı gerekmez.
3. Spam şikayet oranını düşük tutma
Google iki kademeli eşik uyguluyor:
- %0.1 hedef: Bu oranın altında kalın. İdeal durum.
- %0.3 mutlak maksimum: Bu eşiği aşarsanız emailleriniz reddedilmeye başlar.
Pratikte %0.3 çok düşük bir oran gibi görünmese de toplu gönderimde hızla aşılır. 10.000 kişilik bir listeye gönderim yaptığınızda en fazla 30 kişi sizi "spam" olarak işaretlemeli. 31. kişi sınırı aştırır.
Spam şikayetini düşük tutmanın tek güvenilir yolu izinli listeler oluşturmaktır. Double opt-in ile kaydolan kişiler emailinizi beklediği için spam butonu yerine "abonelikten çık" linkini kullanır. Satın alınmış veya izinsiz listelere gönderim yapmak bu eşiği tek kampanyada aşmanın en hızlı yoludur.
4. RFC 5321 ve 5322 uyumu
Emaillerinizin RFC (Request for Comments, internet standartlarını tanımlayan teknik belgeler) 5321 ve 5322'ye uygun formatlanması gerekiyor. Geçerli "From" başlığı, doğru tarih formatı ve uygun karakter kodlaması gibi teknik detaylar bu kapsamdadır. Profesyonel bir email servis sağlayıcı kullanıyorsanız bu genellikle otomatik olarak sağlanır, platform sizin adınıza doğru formatı uygular.
5. Geçerli PTR kayıtları
Gönderim yapan IP (Internet Protocol, internet protokolü) adresleriniz için geçerli forward ve reverse DNS (Domain Name System, alan adı sistemi) kayıtları olmalı. Reverse DNS'te PTR (Pointer Record, IP adresinin hangi alan adına ait olduğunu gösteren kayıt) kaydı IP adresinizin gerçek bir domain'e bağlı olduğunu doğrular. Eksik PTR kaydı, emailinizi doğrudan "şüpheli gönderici" kategorisine sokar. Özellikle paylaşımlı IP havuzlarından gönderim yapan işletmeler bu kontrolü ihmal etmemeli.
Uymazsanız ne olur?
Bu sorunun cevabı 2024 ile 2026 arasında dramatik şekilde değişti.
2024 başı: yumuşak uyarılar
İlk aylarda sağlayıcılar uyumsuz emaillere geçici hatalar (421 kodları) verdi. Email reddedilmiyordu, sadece "daha sonra tekrar dene" mesajı alıyordunuz. Gönderim sisteminiz birkaç dakika sonra tekrar denediğinde email genellikle teslim ediliyordu. Bu dönemde birçok işletme sorunu farketmedi bile, gönderim raporlarında her şey normal görünüyordu. Ama bu, fırtına öncesi sessizlikti.
2025: kademeli sertleşme
Microsoft'un Mayıs 2025'te katılması ve Google'ın Kasım 2025'te sert enforcement'a geçmesiyle tablo değişti. Artık uyumsuz emailler şu sonuçlarla karşılaşıyor:
| Hata kodu | Anlamı | Sonuç |
|---|---|---|
| 421-4.7.26 | Geçici erteleme, kimlik doğrulama hatası | Email gecikiyor, tekrar denenir ama teslim garantisi yok |
| 421-4.7.32 | DMARC hizalama (alignment) hatası | From domain'i SPF veya DKIM domain'i ile eşleşmiyor |
| 550-5.7.26 | Kalıcı red, kimlik doğrulama başarısız | Email reddedildi, tekrar denenmez, alıcı asla görmez |
| 550-5.7.1 | Genel politika reddi | Gönderici güvenilir bulunmadı |
550 ile başlayan kodlar kalıcı reddir. Email teslim edilmez, gelen kutusuna da spam klasörüne de düşmez. Gönderiminiz başarısız görünür ve alıcı bundan habersiz kalır. Bu, sipariş onaylarınızın, şifre sıfırlama emaillerinizin ve faturalarınızın kaybolması anlamına gelir.
Türkiye'deki E-Ticaret sahipleri ve dijital ajanslar arasında 2025'in ikinci yarısından itibaren bu sorunlar belirgin şekilde artış gösterdi. Özellikle Gmail kullanıcılarına yapılan toplu gönderimlerde ani teslimat düşüşleri yaşayan işletmeler, sorunun kaynağının kimlik doğrulama eksikliği olduğunu geç farketti. 2FA doğrulama kodları, sipariş bildirimleri ve kampanya emailleri, hepsi aynı domain'den gittiğinde, bir alandaki uyumsuzluk diğerlerini de etkiliyor.
Domino etkisi
Teknik red, yalnızca o kampanyanızı etkilemez. Yüksek bounce oranı ve rejection'lar gönderici itibarınızı düşürür. Düşen itibar, uyumlu emaillerinizin bile spam klasörüne yönlendirilmesine neden olur. Bu kısır döngüyü kırmak, baştan doğru yapılandırmaktan çok daha zordur.
MailGraf olarak bu geçiş sürecini müşterilerimizle birlikte yönettik. 2024 başından itibaren her yeni hesapta SPF, DKIM ve DMARC yapılandırmasını kurulum sürecinin zorunlu bir parçası haline getirdik. Mevcut müşterilerimize DNS kayıtlarını güncelleme rehberi sunduk ve compliance kontrolü yaptık. Bu proaktif yaklaşım sayesinde müşterilerimiz 2025'teki sert enforcement dönemine hazırlıklı girdi ve gönderim kesintisi yaşamadı.
Bir diğer gözlemimiz: bu gereksinimleri önceden karşılayan müşterilerimizin inbox yerleşim oranlarında hissedilir bir iyileşme oldu. Çünkü sağlayıcılar artık kimlik doğrulaması yapan göndericileri "güvenilir" olarak puanlıyor, uyumlu olmak sadece cezadan kaçınmak değil, aynı zamanda ödüllendirilmek anlamına geliyor.
Kontrol listesi: biz uyumlu muyuz?
Hızlı bir self-check yapmanız için iki seviyeli kontrol listesi:
Tüm göndericiler için
- SPF kaydı yayınlanmış ve geçerli mi? (veya DKIM etkin ve doğru imzalıyor mu?, en az biri zorunlu)
- Gönderim IP'leri için geçerli PTR (reverse DNS) kaydı var mı?
- TLS (şifreli bağlantı) ile mi gönderiyorsunuz?
- Spam şikayet oranınız %0.3'ün altında mı?
Toplu göndericiler için (günde 5.000+ email)
- Yukarıdaki tüm maddeler ARTIYDI:
- SPF ve DKIM ikisi birden yapılandırılmış mı?
- DMARC kaydı yayınlanmış mı (minimum
p=none)? - DMARC alignment (hizalama) geçiyor mu?
- Pazarlama emaillerinde tek tıkla abonelikten çıkma (RFC 8058) var mı?
- Abonelikten çıkma talepleri 2 gün içinde işleniyor mu?
Bu kontrolleri yapmak için Google Postmaster Tools, MXToolbox ve DMARC Analyzer gibi ücretsiz araçlar kullanabilirsiniz. Google Postmaster Tools özellikle Gmail'e yaptığınız gönderimlerin itibar skorunu, spam oranını ve kimlik doğrulama durumunu gösteren değerli bir kaynak. Domain itibarınız "Low" veya "Bad" gösteriyorsa acil müdahale gerekir.
MailGraf'ta her hesap için bu kontrolleri kurulum aşamasında yapıyoruz ve eksik yapılandırma varsa düzeltme rehberi sunuyoruz. Email listelerinizin doğrulanmış ve temiz olması da bu sürecin kritik bir parçası, çünkü yüksek bounce oranı da gönderici itibarını düşürür ve sağlayıcılar nezdinde güvenilirliğinizi sarsar.
Sıkça sorulan sorular
Günde 5.000'den az email gönderiyoruz, biz muaf mıyız?
Tamamen muaf değilsiniz. Düşük hacimli göndericiler için SPF veya DKIM (en az biri), geçerli PTR kayıtları ve düşük spam oranı bekleniyor. DMARC şu an zorunlu olmasa da Google ileride daha sıkı kurallar uygulayacağını belirtiyor. Şimdiden hazırlanmak en güvenli yoldur.
DMARC politikası p=none yeterli mi?
Şu an için minimum gereksinim budur. Ancak p=none sadece izleme yapar, koruma sağlamaz. Google ve Yahoo gelecekte p=quarantine veya p=reject politikasını zorunlu kılmayı planladıklarını açıkça belirtiyor. p=none ile başlayıp DMARC raporlarını izleyerek kademeli olarak p=reject'e geçmek en sağlıklı yoldur.
Bu kurallar sadece pazarlama emailleri için mi geçerli?
Hayır. Kimlik doğrulama gereksinimleri (SPF, DKIM, DMARC) domain'den gönderilen tüm emailleri kapsar, pazarlama, bildirim ve işlemsel emailler dahil. Tek tıkla abonelikten çıkma gereksinimi ise yalnızca pazarlama ve bülten emailleri için geçerlidir. İşlemsel emailler (sipariş onayı, şifre sıfırlama) bu kuraldan muaftır.
Microsoft ne zaman katıldı ve Google'dan farkı ne?
Microsoft, Outlook.com, Hotmail.com ve Live.com hesapları için 5 Mayıs 2025'te enforcement başlattı. Temel gereksinimler aynı (SPF, DKIM, DMARC minimum p=none). En önemli fark yaklaşımda: Google kademeli geçiş (önce uyarı, sonra red) uygularken, Microsoft uyumsuz emailleri doğrudan Junk klasörüne yönlendirdi ve tekrarlayan ihlallerde kalıcı redde geçti.
Email doğrulama ile bu kuralların ilişkisi ne?
Email kimlik doğrulama (SPF/DKIM/DMARC) gönderici kimliğinizi kanıtlar. Email doğrulama (verification) ise listenizdeki adreslerin geçerli olup olmadığını kontrol eder. İkisi birbirini tamamlar: kimlik doğrulama emailinizin kabul edilmesini sağlar, liste doğrulama ise bounce oranınızı düşük tutarak gönderici itibarınızı korur.
Bu kurallar Türkiye'deki işletmeleri de etkiliyor mu?
Kesinlikle. Gmail, Outlook ve Yahoo dünyada en çok kullanılan email sağlayıcılardır. Müşterilerinizin, iş ortaklarınızın veya abonelerinizin büyük çoğunluğu bu sağlayıcılardan birini kullanıyor. Türkiye'den gönderim yapmanız hiçbir muafiyet sağlamaz, kurallar gönderim ülkesine değil, alıcının kullandığı email sağlayıcıya göre uygulanır. Türkiye'deki bir E-Ticaret sitesi müşterilerine sipariş onayı gönderiyorsa ve müşterilerin %60'ı Gmail kullanıyorsa, Google'ın kurallarına uymak zorunludur. Aksi takdirde sipariş onayları dahil tüm emailler reddedilir.
PCI DSS v4.0 ve DMARC zorunluluğu
2026'dan itibaren PCI DSS v4.0 (ödeme kartı endüstrisi veri güvenliği standardı) kapsamında kredi kartı verisi işleyen tüm kuruluşlar için DMARC zorunlu hale geldi. Bu, E-Ticaret sitelerinin sadece email sağlayıcılarının değil, ödeme güvenliği denetçilerinin de DMARC beklediği anlamına geliyor. Email kimlik doğrulama artık yalnızca "emailim ulaşsın" meselesi değil, aynı zamanda bir uyumluluk ve güvenlik gerekliliği.
İlk yayın tarihi: Feb 8, 2024
Profesyonel email marketing platformu.
Fırsatlardan haberdar olun
Güncel email marketing ipuçları ve fırsat duyuruları için bültenimize katılın.