Okumamaları Gereken E-posta

 (it-notes.dragas.net)
2 puan yazan GN⁺ 2025-10-09 | 1 yorum | WhatsApp'ta paylaş
  • Tedarikçiye bağımlılık (vendor lock-in) ve agresif ticari uygulamaların risklerine dair gerçek olaylardan esinlenen bir hikâye
  • Kamu kurumları e-posta sistemlerini açık kaynak tabanlı yapıya taşımaya çalışırken tedarikçinin adil olmayan sözleşmeleri ve gözetim şüpheleriyle karşılaşıyor
  • Sözleşmedeki gizli maddeler ve tek taraflı değişiklikler, müşterilerin özgürce ayrılmasını engelliyor ve yönetim maliyetlerini hızla artırıyor
  • Gözetim ve e-postaların okunmuş olabileceğine dair işaretler fiilen ortaya çıkmasına rağmen, kurumlar hukuki ve etik tepki yerine yalnızca artan maliyetlerle ilgileniyor
  • Açık kaynak ruhunu savunduğunu söyleyen şirketlerde bile suistimal örnekleri görülebiliyor; geriye tüm sektör için güven kaybı ve olumsuz bir imaj kalıyor

Yazarın önsözü

  • Bu hikâye gerçek deneyimlere dayansa da, kişi ve şirket kimliklerini korumak için teknikler, ayrıntılar ve bağlamın bazı bölümleri değiştirilmiş ve harmanlanmıştır
  • Tedarikçiye bağımlılık ve agresif iş uygulamaları gibi BT sektöründe yaygın sorunları ele alan tipik bir vaka olarak okunması önerilir

Süreç – yeni bir e-posta sisteminin devreye alınması

  • Birkaç yıl önce büyük bir kamu kurumu (Agency A) eskimiş bir Exchange posta sunucusu kullanıyordu
  • Güvenlik güncellemeleri uzun süredir yapılmadığı için maruz kalma riski yüksekti ve açık kaynak kullanımını öneren düzenlemeler ortaya çıkmıştı
  • Bir taşeron, açık kaynak e-posta yığını tabanlı yönetilen bir hizmeti kendi genişletmeleri ve kurumsal desteğiyle birlikte sunmayı teklif etti
  • Piyasada sık görülen fiyat seviyelerine benziyordu, ancak fiilen sunulan hizmete kıyasla fiyat aşırı yüksekti
  • Agency A zaten güvenilir bir altyapıya (çoklu veri merkezi, sağlam IP aralıkları vb.) sahipti
  • Kurumun talebi, "bu çözümü değerlendirip uygunsa geçişi yapmak" idi (hedef: yaklaşık 500 posta kutusu ve takma ad)

Pilot uygulama ve başarılı geçiş

  • Yazar, söz konusu açık kaynak yığını çekirdek olmayan bir ortamda ve bazı test müşterilerinde indirimli fiyatla uyguladı ve bir yıl boyunca sorunsuz şekilde doğruladı
  • Tasarım esnekliğinden memnun kalarak Agency A için pilot bir geçiş önerdi
  • Yeni sunucular kuruldu, erken katılanlar için alan adı yapılandırıldı ve kademeli geçiş gerçekleştirildi
  • MX kaydı değişiminden sonra sistem sorunsuz şekilde oturdu ve kurum içindeki ekip de önemli bir sorun yaşamadan işletimi sürdürdü

Söylentinin yayılması ve ikinci kurum

  • Agency B, aynı yönetilen hizmet sağlayıcısının mevcut müşterisiydi
  • Toplam maliyeti 10'da 1'e indirme, veri özerkliği kazanma ve daha yüksek istikrar gibi avantajları görerek geçişe ilgi gösterdi
  • Ancak 5 yıllık otomatik yenilenen sözleşmenin bitmesine 2 yıl vardı ve 6 ay önceden bildirim maddesi belirli bir zaman payı sağlıyordu
  • Sağlayıcının agresif satış politikası ve misilleme korkusu nedeniyle hazırlıklar son derece gizli yürütüldü
  • Hesap ve takma ad yapılandırmaları ile test kümesi tamamlandıktan sonra, gerçek geçişin sözleşme fesih bildirimi zamanına denk getirilmesi planlandı

Üçüncü kurumun ortaya çıkışı ve uğursuz önsezi

  • Agency C de aynı tedarikçiyi kullanıyordu ve aynı açık kaynak yığınına geçme isteği gösterdi
  • Yazar Agency C'ye ayrı bir teklif sundu, ancak bunun Agency B ile ilişkisini belirtmedi
  • Süreç sorunsuz görünüyordu, fakat beklenmedik bir SMS mesajı geldi ("e-posta gönderemiyorum" içerikli)

Fesih engelleme ve iç bilgi sızıntısı işaretleri

  • Agency B'nin BT sorumlusu, "fesihte sorun çıktığını ve içerideki ayrılma hazırlığının tedarikçiye sızdığını" bildirdi
  • Kurumun iç planları ve yazarın Agency C için hazırladığı teklif bile tedarikçinin eline geçmişti
  • Agency C, tedarikçi tarafından "ilgili yazılımın tek yetkili kurulum firması" olduğu iddiasıyla haksız rekabet ve hukuki tehditlere maruz kaldı
  • Kurum, olası bir anlaşmazlıktan çekinerek geçiş planını iptal etti

E-posta gözetimi şüphesi ve test

  • Agency C'de, eski dış sözleşme yöneticisinin token doğrulamalı hesabının tüm postalara erişim yetkisine sahip olduğu tespit edildi
  • İlgili kişi tedarikçiye "haber verdiğini" itiraf etti, ancak yazardan söz edildiğini reddetti
  • E-posta takibini doğrulamak için yurt dışındaki bir tanıdık üzerinden sahte bir teklif gönderildikten sonra, tedarikçinin bu bilgiyi hemen gündeme getirdiği bir olay yaşandı
  • Böylece e-postaların okunmuş olma ihtimalinin çok yüksek olduğu ortaya çıktı

Dehşet verici sözleşme maddeleri ve tedarikçinin tepkisi

  • BT ekibi resmî olarak itiraz ettiğinde tedarikçi, bunun "sözleşme maddelerine göre mümkün" olduğunu söyleyerek 2 yıl önce kabul ettirilmiş tek taraflı değişiklikleri işaret etti
  • Değiştirilen maddelere örnekler:
    • Bildirim süresinin 6 aydan 12 aya çıkarılması
    • Ücretsiz hizmetlerin ücretliye dönüştürülebilmesi
    • "Güvenlik amacı" gerekçesiyle webmail dışı erişimin engellenmesi (fiilen hemen uygulandı)
  • Bunlar, GDPR öncesi dönemde düzenlemelerin yeterince güçlü olmadığı bir ortamda mümkün olabilen uygulamalardı

Pasif tepki ve ek zarar

  • Yazar, adil rekabet ve tanınmayan kurulum firması tartışmalarına doğrudan açıklık getirmeye çalıştı, ancak tedarikçi iletişim girişimlerine yanıt vermedi
  • İki kuruma da hukuki ve etik soruşturma önerildi, ancak gerçekte dikkat ettikleri tek şey maliyet artışı oldu (önceden ücretsiz olan işlevlerin ücretli hâle gelmesi, %30 ek maliyet)
  • Kurumlar, iç yolsuzluk veya kişisel veri ihlali yerine yalnızca bütçe yükünü sorun ederek konuyu kapattı

Sonuç ve çıkarımlar

  • Yıllar sonra sorumlu yöneticilerin tamamı değişti; geriye pişmanlık ve daha fazla temkin duyan teknik ekip kaldı
  • Sonunda mesele, daha güvenli ama yenilikçi olmayan bir sağlayıcıya geçişle kapandı
  • Yazar bu sorunu kökünden çözmeyi başaramadı
  • "Açık kaynak desteği" sunduğunu iddia eden şirketler böyle tedarikçiye bağımlılık veya etik dışı davranışlar sergilediğinde, tüm sektör zarar görüyor
  • Sorunun özü yazılım değil, onu kullanan insanların tutumudur

İlgili okumalar

1 yorum

 
GN⁺ 2025-10-09
Hacker News görüşleri

  • Bir dönem geçici IT yöneticiliği yapmış biri, token tabanlı kimlik doğrulama sayesinde e-posta istemcisine bağlı kalmaya devam etmiş ve tüm mesajlara erişebilmiş. Bu kişi, geçmişte tedarikçiyle ilk sözleşmeyi yapan taraftı. Resmî olmayan şekilde sorulduğunda "uyarmak için" iletişime geçtiğini söylemiş ve bunda bir sorun görmemiş. Bu tür davranışlar gerçekten insanın içini kemiriyor. Bir şey sızdırıp ya da kuralları çiğneyip sonra da "önemli bir şey değildi" diyen insanlar yüzünden. Birlikte çalıştığım bir Director da benzer şeyleri defalarca yaptı. Konferansta bir yazılım görür görmez hemen demo ayarlıyor ve sözleşme teklif ediyordu. Sonra da tanıdığı dış kaynak firmalarına önceden iş sözü veriyordu. Aslında sözleşme yapma yetkisi olmadığı için ancak o noktada bana ulaşıyordu. Ürün seçimini ben üstlendikten sonra bile bu iki kez yaşandı. Her seferinde farklı bir yöneticiye bağlıydım ama ikisi de sadece "hiçbir sorun yok" dedi. Sonunda Director’a, bu şekilde iş sözü verip sözleşme hazırlamasının şirket politikasını ciddi biçimde ihlal ettiği söylendi. Director ise bunun iç mesele olduğunu, kimsenin kendisine disiplin cezası veremeyeceğini söyleyip umursamadı. Daha sonra ürünü değerlendirdiğimizde, ürünün "zamanla daha iyi olacağı" vaat ediliyordu ve şirketin tüm verileri dümdüz yapay zekaya akıyordu. Kurumsal veri güvenliği kuralları tamamen göz ardı edilmişti. O sırada da Director umursamazca "ne var bunda, herkes başkasının verisini okuyor" diyordu. Sonunda hukuk ekibi devreye girip AI özelliğini kapattı. Böyle kötü niyetli ya da düşüncesiz iş arkadaşlarıyla mücadele etmek gerçekten zor; hele o kişi sizden üst pozisyondaysa daha da beter. Onlar bunu sadece hata diye geçiştiriyor ve kimse de yaptırım uygulayamıyor

    • Fortune 100 şirketlerinden ikisinde çalıştım. Çeşitli yerlerde yöneticilerin tedarikçilerden kişisel geri ödeme aldığını açık açık görmeme rağmen bunun defalarca yaşandığına tanık oldum. Bunu alenen dile getirince de birkaç toplantıya artık çağrılmamaya başladım

    • Director’un yaptıkları, benim gördüğüm HR Director’ların rutin olarak yaptığı şeylere çok benziyor. Bunlar her 2-3 yılda bir, kimseye danışmadan türlü pahalı performans değerlendirme yazılımlarını değiştirmeyi gerçekten seviyor. Yine de bugünlerde en sevdikleri Lattice en azından kullanılabilir bir UX’e sahip; eskiden kullandıkları PeopleSoft ise gerçekten berbattı

  • İstenen şey basitti: "Bu çözümü değerlendirelim, uygunsa geçiş yapalım." Ama ne dendiğini gerçekten anlamak için metni birkaç kez okumak gerekti. Buradaki çözüm, önceki paragrafta geçen tedarikçi olmadan, yalnızca açık kaynak yığınını ifade ediyor. İlk başta tedarikçinin de buna dahil olduğunu sanmıştım ama sürekli karşılaştırma yapılmaya başlanınca kafam karıştı

    • Ben de bunu ancak birkaç paragraf okuduktan sonra fark ettim

    • İlginçti. Ben okumayı tam o noktada bıraktım

  • Bunun Oracle’la ilgili bir hikâye olabileceğini düşündüm. Tabii Oracle bunu çok daha ustaca yapar, ama ben her zaman insanlara mümkün olduğunca Oracle ürünlerinden uzak durmalarını tavsiye ederim

  • Umarım bir gün bu hikâyede isimler açıkça verilir

    • Yazara göre ilgili şirket dava açmayı çok seven bir yermiş. Onlar tarafından şahsen dava edilmek istememesi gayet anlaşılır. Hatta kendi yöneticileri bile bu şirketle kavga etmeye yanaşmazdı

    • "Bir gün isimler açıklansın isterdim" denmiş. Ama buna "ilgili kişi ve şirketin mahremiyetini korumak" için anonim yazdığı cevabı verilmiş. Şirketlerin artık mahremiyet hakkı mı var diye düşündürüyor ama bu hissi ben de anlıyorum. Bir zamanlar doğal afet sırasında şirketin kesinlikle kabul edilemez şeyler yaptığı bir yerde çalıştım. Konuyu gündeme getirince cezalandırılan tek kişi ben oldum, iş arkadaşlarım ise sessizce katlandı. Sonunda elime geçen ilk fırsatta ayrıldım. Üzerinden 20 yıl geçti ama bunu yazıya dökmek yine de kolay değil. Aradan onlarca yıl geçmişken bunun bir anlamı var mı diye düşünüyor insan; liderlik de isimler de değişmiş bir şirkette geriye ne kalıyor ki? Bu yüzden blogumda, farklı şirketlerin rezilliklerini otomatik yayımlayacak bir dead-man's switch var ama bunu gören olsa ne değişir ondan da emin değilim. Büyük ihtimalle sadece yeniden öfkelendirir ya da anlamsız kalır. Buna rağmen HN’de hep isimleri açıklayın diye bağıranlardan biri de benim; yani sonuçta ben de kendi içinde çelişkiliyim

    • Ne yazık ki AB’deler; orada ifade özgürlüğü hukuken ve kültürel olarak pek de öncelikli görünmüyor

  • Bu kişi gerçekten bir "mayın tarlasında" çalışıyor gibi. Her adımda bir sorun patlıyor ve karşısında güçlü düşmanlar var ilgili bağlantı

    • Böyle bir mayın tarlası ortamı aslında İtalya’daki iş dünyasının gerçeği. İtalya’da küçük aile ve akraba şirketleri baskın olduğu için bu tür şeyler her gün yaşanıyor. Eğer bu hikâye doğruysa, yazarın mali polis Guardia di Finanza ile bir bağı olan biri olabileceğini düşünüyorum. Bu kurum, küçük işletmeler üzerinde neredeyse hayat memat gücüne sahip

  • Saat dilimini ya da tarafları karıştırmış olabilirim ama "bu şirketin kendi yönetilen sürüm ve kendine özgü özellikler eklenmiş bir ürün önerdiği" söyleniyorsa, bunun gerçekten açık kaynak olup olmadığını merak ediyorum

    • Böyle projeler çok. Mesela Gitlab’ın açık kaynak Community Edition’ı var; ayrıca ücretli Premium ve Ultimate sürümleri de var

    • Bu, tam anlamıyla "yasa metnine uymak" durumu. Avrupa hukukunda, özellikle Avrupa ülkelerinin mevzuatında, kamu tarafında açık kaynak kullanımı çoğu zaman zorunlu tutuluyor; çünkü amaç birlikte çalışabilirliği garanti etmek, vendor lock-in’i önlemek, dijital egemenliği korumak ve "kamusal para = kamusal kod" ilkesini yaşatmak. Ama açık kaynak yazılımı başkasının sunucusunda kullanırsanız, teknik olarak zorunluluğa uymuş olursunuz; buna rağmen açık kaynağın benimsenmesinin asıl nedenleri, özellikle de vendor lock-in’i önleme hedefi düşünülünce ortaya komik bir tablo çıkıyor

  • Sözleşmelerin ince ayrıntıları mutlaka dikkatle okunup öyle imzalanmalı. Bu, sıradan tüketici sözleşmeleri için de geçerli ama iş dünyasında özellikle şart

    • Küçük iş sözleşmeleri de istisna değil. Yönetim kurulunda yer aldığım bir kâr amacı gütmeyen kuruluşta çalışanlar ofis tipi çok işlevli yazıcı bakıp bir sözleşme getirdi. Her şeyin zaten incelendiğini söyleyip sadece imzalamamı istediler ama maddeler gerçekten şok ediciydi. Mesela herhangi bir nedenle iptal edersek — karşı taraf sözleşmeyi yerine getirmemiş olsa bile — kalan tüm sözleşme bedelini derhal ödememiz gerektiği yazıyordu. Bu bir kiralama düzeniydi; cihazın tüm bedelini aylık ödemelerin içine yedirerek tahsil ediyorlar ama mülkiyet yine tedarikçide kalıyordu. Yani iptal etsek de cihaz onların, tüm parayı ödeyen biziz. Hukuki ihtilaf çıkarsa bizim taraf tüm avukat masraflarını da üstleniyor. Ben bunun altına asla imza atmam dedim; çalışanlar ise başka yerlerin hepsinin imzaladığını söyleyip neredeyse bir yıl boyunca bana kırgın kaldı

    • İnce ayrıntıları dikkatle okuyun deniyor ama aslında yazıya bakılırsa bunun da çoğu zaman anlamı yok. Sözleşme koşulları "tek taraflı" biçimde değiştiriliyor ve taraflara haber bile verilmiyor. IT sektöründe bu neredeyse gündelik hayatın parçası. Zaten imzalanmış sözleşmenin maddelerini ne kadar dikkatli kontrol ederseniz edin, sonradan değiştirilmişse pek işe yaramıyor. Bugünlerde şartların değiştiğine dair e-posta alırsanız kendinizi şanslı sayın. Tavır şu: kabul etmiyorsan ne yapacaksın? Avukat değilim ama bana göre bu yasa dışı olmalı; fakat mahkemeler düzgün bir yaptırım uygulamadığı için aynı şey tekrar tekrar yaşanıyor

    • Sözleşmenin yorumlanması ve incelenmesi için harcanan zaman, emek ve yanlış anlama riskinin tamamı da maliyet hesabına katılmalı. Bunu düşününce bazı sözleşmelere hiç girmemek daha iyi olabiliyor

    • Bu "tek taraflı değişiklik maddesinin" pratikte nasıl işlediğini merak ediyorum. İnce ayrıntılar hoşunuza gitmezse hemen 6 ay önceden bildirim verip feshetmeniz mi gerekiyor?

    • ID.me kayıt sözleşmesini okuyunca şoke oldum. "Gönüllü olarak" vatandaşlık haklarından feragat etmeyi istiyor. Bu yüzden kullanmak istemiyorum. Ama IRS.gov girişi için başka yol yok. YouTube izlemek için Google hesabı şart. Sınıfın veli grubunda olmak için WhatsApp’ın Meta şartlarını kabul etmek gerekiyor. Bunun gibi örneklerin sonu gelmiyor

  • Hukuk uzmanı değilim ama onların e-postaları okuyup buna göre hareket etme amacı başlı başına açıkça yasa dışı göründüğü için sözleşmenin de geçersiz sayılması gerektiğini düşünüyorum

    • Özellikle bu bir devlet kurumuysa durum gerçekten dehşet verici. Bir dış kaynak firmasının e-posta sunucusuna gizlice bir arka kapı yerleştirip e-postaları gizlice izlemesi mi? Bunun içinde yolsuzluktan yabancı istihbarat faaliyetlerine kadar ne ararsanız olabilir. Bu ABD’de olsaydı FBI ya da CIA devreye girip böyle tedarikçi işlerini kökünden temizlerdi

    • Evet. Sorun şu ki feshe giderseniz kendinizi son derece düşmanca bir karşı tarafla mahkemede bulursunuz ve onlar da size daha fazla para ödetmek için ellerinden geleni yapar. Bazı kurumlar etiği değil güvenliği önceler ve ek maliyeti sineye çeker. Buna karşılık haksız patent davalarıyla veya saçma sözleşme maddeleriyle mücadele eden şirketler de var. Bu örnekteki kurumun öyle bir yer olmadığı çok açık

    • Bu hukuki tavsiye değil ama böyle durumlarda insanları uyarmak için isimlerin kesinlikle açıklanması gerektiğini düşünüyorum

  • Buradaki birçok HN kullanıcısının benzer bir durum yaşamış olabileceğini düşünüyorum. Bir keresinde sistem kapatma işini gizlice yürütüyorduk ve bizim şirketle iş ortağımız arasında ortak bir kod tabanı vardı. Geliştiricilerimizden biri commit mesajına "Reversing Migration Script" gibi bir şey yazdı ve bir saat geçmeden iki şirketin CEO’ları arasında büyük bir kriz patladı. Sonradan öğrendik ki karşı taraf bu tür kelimeleri kod içinde gerçek zamanlı izliyormuş ve bizim kapatma yönünde hareket ettiğimizi anlar anlamaz aksiyon almış. Aslında sözleşme bitmeden önce yapılan yasal bir sonlandırmaydı; yani olağan dışı bir durum da yoktu. Böyle bir izleme olduğunu sonradan öğrenince şirket içinde de "köstebek kim" diye adeta cadı avı başladı. Gerçekten çok zor bir deneyimdi. Artık bu düzeyde psikopatça davranışların sıradanlaştığı bir dünyada yaşıyoruz gibi. Sanki sadece ben eski kafalı ve saf biçimde çalışıyorum; bu yüzden birçok şirketin neden sadece 20 yaşındakileri işe almak istediği de anlaşılır /yarı şaka

    • Bunu tam olarak nasıl izlediklerini paylaşırsanız iyi olur. Böyle örneklerden ders çıkarmak isterim

    • İzleneceğini düşündüğünüz yerlere çok sık tetiklenecek değişken adları koymak iyi olur. Eski NSA şakalarındaki gibi

  • "Gerçek olaylardan uyarlanmış korku hikâyesi" deniyor ama bunun gerçekten yaşanmış olup olmadığını merak ediyorum. Ayrıntılar doğruysa daha da ilgi çekici olurdu

    • "Mahremiyeti korumak için bazı teknikler, durumlar ve ayrıntılar değiştirilmiş ya da başka deneyimlerle birleştirilmiştir" diye açıkça belirtilmiş. Bu da medyanın iftira davasından kaçınmak için sahte isim kullanmasına benzer bir mantık