E-Posta Header'ı Nedir?
Her e-posta iki ana bölümden oluşur: header (başlık) ve body (gövde). Body'yi normal okurken görürsünüz. Header ise e-postanın gönderildiği andan itibaren her bir posta sunucusunun eklediği "yolculuk geçmişi"dir — kim, ne zaman, hangi IP'den göndermiş; SPF/DKIM/DMARC doğrulamasını geçmiş mi; spam puanı ne; hangi route'tan size ulaşmış. Phishing tespiti, spoofing analizi ve teslim sorunlarını çözmede vazgeçilmezdir.
Header okumayı bilmek, IT yöneticileri, güvenlik analistleri ve şüpheli bir mailden emin olmak isteyen herkes için temel bir beceridir. Bu araç, raw header'ı yapıştırdığınızda tüm önemli bilgileri otomatik çıkarır ve görselleştirir.
Header'da Hangi Bilgiler Bulunur?
| Header | Ne anlatır? |
From | Gönderici olarak görünen e-posta adresi (kolayca taklit edilebilir). |
Return-Path | Bounce mesajlarının gideceği adres — From ile farklıysa şüpheli. |
Reply-To | Cevap "Reply" tıklandığında gidecek adres — From ile farklıysa şüpheli. |
To / Cc / Bcc | Açık alıcılar (Bcc header'da görünmez ama "undisclosed-recipients" işareti olabilir). |
Date | Gönderim zaman damgası (gönderici saatinden alınır, manipüle edilebilir). |
Subject | Konu (UTF-8 encoded olabilir, =?UTF-8?B?...?= formatında). |
Message-ID | Mesajın benzersiz kimliği — sunucu tarafından üretilir, fingerprint sağlar. |
Received | Mesajın geçtiği her sunucu için bir satır; hop hop yolculuk. |
Authentication-Results | SPF, DKIM, DMARC, ARC doğrulama sonuçları (alıcı sunucu yorumu). |
X-Originating-IP | Bazı sağlayıcılar gerçek istemci IP'sini buraya koyar. |
X-Mailer | Gönderen istemci yazılımı (Outlook 16, Thunderbird, PHPMailer vb.). |
X-Spam-Score / X-MS-SCL | Alıcı sunucunun spam değerlendirmesi. |
Received Chain Nasıl Okunur?
Received satırları üstten alta doğru tersten okunur:
- En alttaki Received satırı, mesajın yola çıktığı ilk sunucu (gönderen).
- Aralardaki Received satırları, geçtiği posta relay'leri.
- En üstteki Received, mesajın size teslim edildiği son sunucu.
Her satırdaki zaman damgalarına bakarak hop'lar arası gecikmeleri tespit edebilirsiniz. Normalde her hop arası 1-2 saniyedir; 30 saniyeden uzun gecikmeler içerik denetiminde takılan veya graylisting'e uğrayan mesajları işaret edebilir. 5 dakikadan uzun gecikmeler ise teslim hatası olduğunu, mesajın kuyrukta beklediğini gösterir.
SPF, DKIM, DMARC Sonuçları Ne Anlatır?
- spf=pass: Mesajı gönderen IP, alanın SPF kaydında listelenmiş — yetkili gönderici.
- spf=fail: IP yetkili değil — büyük ihtimalle spoofing.
- spf=softfail: SPF'te
~all tanımlı ve IP listede yok — şüpheli.
- spf=neutral: SPF'te
?all tanımlı; karar verilmemiş — bilgi yok demek.
- dkim=pass: Mesajın imzası geçerli, içerik değişmemiş.
- dkim=fail: İmza geçersiz veya içerik manipüle edilmiş.
- dmarc=pass: SPF ve/veya DKIM alignment ile geçti — alanın politikasıyla uyumlu.
- dmarc=fail: Hiçbir doğrulama alignment ile geçemedi — phishing göstergesi.
Kendi alanınızın DMARC durumunu test etmek için domain analiz aracımızı kullanabilirsiniz. DMARC kaydınız yoksa DMARC sihirbazımızla 30 saniyede oluşturun.
Outlook, Gmail ve Yahoo Mail'de Header'a Nasıl Ulaşılır?
Microsoft Outlook (masaüstü)
- Mesajı çift tıklayarak ayrı pencerede açın.
- Dosya → Özellikler menüsüne gidin.
- Açılan pencerenin alt kısmındaki "Internet headers" kutusundaki tüm metni Ctrl+A ile seçip Ctrl+C ile kopyalayın.
Outlook on the Web (OWA) / New Outlook
- Mesajı açın.
- Sağ üstteki ... (Diğer eylemler) menüsüne tıklayın.
- Görüntüle → Mesaj kaynağı seçin.
- Açılan pencerede header + body görünür; yalnızca header (boş satıra kadar olan kısım) yeterlidir.
Gmail
- Mesajı açın.
- Sağ üstteki üç nokta (Cevapla butonunun yanında) menüsüne tıklayın.
- "Show original" / "Orijinali göster" seçin.
- Açılan sayfada "Copy to clipboard" butonu veya tüm header'ı manuel kopyalayın.
Yahoo Mail
- Mesajı açın.
- Sağdaki "Daha Fazla" menüsünden "Görüntüle → Raw Message" seçin.
- Açılan tüm metni kopyalayın.
Phishing Göstergeleri
Header analizinde dikkat etmeniz gereken kırmızı bayraklar:
- From ≠ Reply-To: Cevabınız beklenmeyen bir adrese gidecek — klasik dolandırıcılık taktiği.
- From ≠ Return-Path domain'i: Bounce'lar farklı bir alan adına gidiyorsa gönderen iddia ettiği kişi olmayabilir.
- SPF/DKIM/DMARC=fail: Üçü de başarısızsa mesajı çöp kutusuna atın.
- Bilinmeyen gönderen IP'si: DigitalOcean, AWS Lightsail, Hetzner gibi düşük maliyetli VPS sağlayıcılarından gelen kurumsal görünümlü mailler şüphelidir.
- X-Mailer'da otomasyon aracı: PHPMailer, Bulk Mailer, Mass Mailer gibi araçlar phishing kampanyalarında sıkça kullanılır.
- Tipo'lu domain:
microsftt.com, micros0ft.com gibi typosquatting alanları — gözle dikkat edin.
- Aniden ücretsiz e-posta ile yöneticiden mesaj: CEO'nuz size birden Gmail'den havale talep ederse aramayın, doğrulayın.
Microsoft 365 Defender ile Gelişmiş Header Analizi
Microsoft 365 Defender for Office 365, gelen her mesajın header'ını otomatik olarak değerlendirir ve şu özel header'ları ekler:
X-MS-Exchange-Organization-SCL: Spam Confidence Level (-1 = whitelist, 0-9 = düşük → kesin spam)
X-MS-Exchange-Organization-AuthAs: Doğrulama mekanizması (Internal, Anonymous, Partner)
X-Forefront-Antispam-Report: Defender'ın detaylı spam analizi (CIP, CTRY, LANG, SCL, vb.)
X-Microsoft-Antispam: BCL (Bulk Complaint Level), SRV (Service identifier)
Eğer kurumunuzda Microsoft 365 ve Defender for Office 365 kullanıyorsanız, phishing analizini bu araçla manuel yapmak yerine Threat Explorer ekranından otomatik olarak yapabilirsiniz. Defender for O365 kurulum ve eğitim için Defender hizmetimize göz atabilirsiniz.
Profesyonel E-Posta Güvenlik Danışmanlığı
Microsoft Kurumsal (Micro Bilgi Teknolojileri), Microsoft Yetkili Çözüm Ortağı (CSP) olarak Türkiye genelinde Microsoft 365 ve Defender for Office 365 müşterilerine phishing simülasyonu, kullanıcı eğitimi, gelişmiş tehdit politikaları ve incident response danışmanlığı sunar. İletişime geçin, kurumsal e-posta güvenliğinizi birlikte güçlendirelim.