Gelen kutunuza düşen her ek dosya masum değil. E-posta ekleri güvenli mi? sorusunun kısa yanıtı: Hayır, otomatik olarak güvenli sayılamaz. 2024 Verizon DBIR raporuna göre zararlı yazılımların %94’ü hâlâ e-posta ekleri üzerinden bulaşıyor. Üstelik 2024’ün ilk yarısında oltalama e-postalarındaki zararlı yazılım oranı %30 arttı. İyi haber şu: Birkaç basit kontrol adımıyla bu tehditlerin büyük çoğunluğunu bertaraf edebilirsiniz.
Kilit Çıkarım: Tanımadığınız birinden gelen veya beklemediğiniz bir eki açmadan önce mutlaka bu kontrol listesini uygulayın. Üç dakikalık bir kontrol, saatlerce sürecek bir veri kurtarma işleminden sizi kurtarabilir.
Başlamadan Önce: Temel Hazırlık
Herhangi bir eki açmadan önce sisteminizin savunma hatlarını kontrol edin. Aşağıdaki liste, güvenli bir başlangıç noktası oluşturmanızı sağlar.
Gerekenler
- Güncel bir antivirüs yazılımı (Windows Defender dahil yeterli)
- Tarayıcı tabanlı e-posta kullanıyorsanız güncel bir tarayıcı
- Dosya uzantılarını gösterecek şekilde ayarlanmış işletim sistemi
- Şüpheli dosyaları taratmak için VirusTotal gibi çevrimiçi bir tarayıcı
Ön Koşullar
- İşletim sistemi güncellemeleri tamamlanmış olmalı
- E-posta istemcinizin spam filtreleri aktif durumda olmalı
- Otomatik ek indirme özelliği kapalı olmalı
Pro İpucu: Windows’ta dosya uzantılarını görmek için Dosya Gezgini → Görünüm → “Dosya adı uzantıları” kutucuğunu işaretleyin. macOS’ta Finder → Tercihler → Gelişmiş → “Tüm dosya adı uzantılarını göster” seçeneğini aktifleştirin.
Tehlikeli Dosya Uzantıları: Kırmızı Bayraklar

Bazı dosya türleri doğası gereği daha risklidir. Aşağıdaki tablo, en yaygın tehlikeli uzantıları ve risk seviyelerini gösteriyor:
| Uzantı | Dosya Türü | Risk Seviyesi | Neden Tehlikeli? |
|---|---|---|---|
| .exe, .msi | Çalıştırılabilir dosya | Çok Yüksek | Doğrudan kod çalıştırır |
| .zip, .rar, .7z | Sıkıştırılmış arşiv | Yüksek | İçinde gizli zararlı dosya barındırabilir |
| .docm, .xlsm | Makro içeren Office | Yüksek | Makrolar zararlı kod çalıştırabilir |
| .js, .vbs | Script dosyaları | Çok Yüksek | Sistem komutları çalıştırabilir |
| .html, .htm | Web sayfası | Orta | Oltalama sayfasına yönlendirebilir |
| .iso, .img | Disk imajı | Yüksek | Güvenlik taramalarını atlayabilir |
| .one | OneNote dosyası | Orta-Yüksek | 2024’te saldırganların yeni gözdesi |
Dikkat: Saldırganlar bazen çift uzantı hilesi kullanır. “fatura.pdf.exe” gibi bir dosya, uzantılar gizliyse sadece “fatura.pdf” olarak görünür. Bu yüzden uzantıları her zaman görünür tutun.
E-posta Eklerini Açmadan Önce: 7 Adımlık Kontrol Listesi

Aşağıdaki adımları sırasıyla uygulayarak şüpheli ekleri güvenle değerlendirebilirsiniz:
- Göndereni doğrula: E-posta adresi tanıdık mı? Sadece isme değil, @ işaretinden sonraki alan adına bak. “[email protected]” ile “[email protected]” arasındaki farkı yakala.
- Beklediğin bir ek mi? Hiç beklemediğin bir fatura, kargo takip belgesi veya “acil” ibareli dosya geliyorsa alarm zilleri çalmalı. Meşru kurumlar genellikle kritik belgeleri ek olarak göndermez.
- Dosya uzantısını kontrol et: Yukarıdaki tablodaki yüksek riskli uzantılardan biri mi? Özellikle .exe, .zip içinde .exe veya makro içeren Office dosyalarına dikkat et.
- E-posta dilini incele: Yazım hataları, garip cümle yapıları, aşırı aciliyet vurgusu (“Hesabınız 24 saat içinde kapatılacak!”) oltalama işaretleridir.
- Fareyle üzerine gel, tıklama: Ekteki bağlantılara veya dosyaya tıklamadan önce fareyi üzerine getir. Görünen URL ile gerçek URL farklıysa dokunma.
- Çevrimiçi tarayıcıyla kontrol et: Şüphen varsa dosyayı indirmeden önce VirusTotal (virustotal.com) gibi bir servise yükle. 70’ten fazla antivirüs motoruyla tarama yapar.
- Sandbox ortamında aç: Hâlâ açman gerekiyorsa, sanal makine veya Windows Sandbox gibi izole bir ortamda dene. Ana sistemin güvende kalır.
Pro İpucu: Gmail ve Outlook gibi büyük sağlayıcılar ekleri otomatik tarar, ancak bu %100 koruma sağlamaz. Sıfır gün (zero-day) saldırıları henüz tanınmayan zararlıları kullanır; bu yüzden insan faktörü hâlâ en kritik savunma hattıdır.
Şu Durumda Ne Yaparsın?
Pratikte karşılaşabileceğiniz senaryolar ve doğru tepkiler:
Senaryo 1: Bankadan gelmiş gibi görünen “hesap özeti”
Bankanız gerçekten e-postayla hesap özeti gönderiyor mu? Çoğu banka bunu yapmaz. Şüpheleniyorsan eki açma, bankanın resmi uygulamasından veya web sitesinden kontrol et. Gerekirse müşteri hizmetlerini ara.
Senaryo 2: İş arkadaşından gelen “acil dosya”
Arkadaşının e-posta hesabı ele geçirilmiş olabilir. Dosyayı açmadan önce farklı bir kanaldan (telefon, mesaj) teyit al: “Bu dosyayı sen mi gönderdin?”
Senaryo 3: Şüpheli eki yanlışlıkla açtın
Panik yapma ama hızlı hareket et:
- İnternet bağlantısını kes
- Tam sistem taraması başlat
- Önemli hesapların şifrelerini değiştir (farklı bir cihazdan)
- BT departmanını veya bir uzmanı bilgilendir
Yaygın Hatalar: Bunları Sakın Yapma
- Merak güdüsüne yenilmek: “Acaba ne var içinde?” düşüncesi en tehlikeli dürtüdür. Beklemediğin bir eki meraktan açma.
- Antivirüse körü körüne güvenmek: Antivirüs yazılımları önemli ama her tehdidi yakalayamaz. Katmanlı güvenlik şart.
- “Bana bir şey olmaz” yanılgısı: Saldırganlar hedef seçmez; otomatik botlarla milyonlarca e-posta gönderir. Herkes potansiyel hedeftir.
- Makroları etkinleştirmek: Office dosyası “İçeriği görmek için makroları etkinleştirin” diyorsa, bu neredeyse kesinlikle zararlı yazılımdır.
Sıkça Sorulan Sorular
PDF dosyaları güvenli mi?
Görece güvenlidir ancak %100 risksiz değildir. PDF’ler de JavaScript içerebilir veya zararlı bağlantılar barındırabilir. Güvenilir kaynaktan gelmiyorsa yine dikkatli olun.
Resim dosyaları (.jpg, .png) tehlikeli olabilir mi?
Nadiren. Ancak “resim.jpg.exe” gibi gizlenmiş çalıştırılabilir dosyalar veya özel hazırlanmış görüntü dosyaları (exploit içeren) istisna oluşturabilir. Uzantıyı mutlaka kontrol edin.
E-posta önizlemesi zararlı yazılım bulaştırır mı?

Modern e-posta istemcilerinde önizleme genellikle güvenlidir çünkü ek dosya çalıştırılmaz. Ancak HTML içerikli e-postalarda izleme pikselleri veya harici kaynaklar yüklenebilir. Hassas durumlarda “düz metin” görünümünü tercih edin.
Şirket e-postamda BT departmanı zaten filtreleme yapıyor, yine de dikkat etmeli miyim?
Kesinlikle evet. Kurumsal filtreler katmanlardan sadece biridir. Hedefli saldırılar (spear phishing) özellikle bu filtreleri atlatmak için tasarlanır. Son savunma hattı her zaman kullanıcıdır.
Sonuç
E-posta eki güvenliği, tek bir yazılıma veya filtreye bırakılacak bir konu değil. Göndereni doğrulamak, dosya uzantısını kontrol etmek ve şüpheli durumlarda çevrimiçi tarayıcı kullanmak birkaç saniyenizi alır; ancak olası bir fidye yazılımı saldırısının maliyeti saatler, günler hatta binlerce lira olabilir.
Altın kural: Beklemediğin eki açma, tanımadığın göndericiye güvenme, şüphelendiğinde teyit al. Bu üç adım, siber tehditlerin büyük çoğunluğunu kapının dışında tutar.
Risk Seviyesi: Orta-Yüksek | Uygulama Süresi: 2-3 dakika | Maliyet: Ücretsiz












Cevap ver