İletişim Formu Spam’ini Azaltmak: Paylaşımlı Hosting’de reCAPTCHA, Honeypot ve Mail Sunucusu Ayarları

İletişim Formu Spam’i Neden Ciddiye Alınmalı?

İletişim formu, neredeyse her web sitesinin en kritik parçalarından biri. Potansiyel müşteriler, teklif isteyenler, iş başvuruları, destek talepleri… Hepsi bu küçük formdan geçiyor. Fakat aynı form, bot’ların ve kötü niyetli taramaların da en çok sevdiği kapı. Özellikle paylaşımlı hosting ortamında, tek bir sitenin güvenlik zafiyeti bazen aynı sunucudaki diğer sitelerin mail itibarını da etkileyebiliyor.

DCHost tarafında kurumsal sitelerin, ajansların ve e-ticaret projelerinin barındırıldığı yüzlerce paylaşımlı hosting hesabında en sık karşılaştığımız şikâyetlerden biri şu: “İletişim formundan gelen maillerin yarısı spam”. Kiminde günde 3–5, kiminde yüzlerce otomatik gönderim görüyoruz. Bir noktadan sonra gerçek müşterileri spam’lerin arasından seçmek neredeyse imkânsız hale geliyor.

Bu yazıda, özellikle paylaşımlı hosting kullanan siteler için reCAPTCHA, honeypot alanları ve mail sunucusu ayarları ile iletişim formu spam’ini nasıl ciddi oranda azaltabileceğinizi adım adım anlatacağım. Hem WordPress gibi hazır sistemleri, hem de özel PHP formlarını düşüneceğiz. Ayrıca, sadece spam’i durdurmak değil, gerçek form maillerinin de spam klasörüne düşmeden, güvenilir şekilde teslim olmasını sağlamak için DNS ve mail tarafında neler yapmanız gerektiğini konuşacağız.

Anlatacağım yöntemlerin tamamı, paylaşımlı hosting sınırlarını dikkate alıyor. Yani ek sunucu paketi, karmaşık altyapı ya da ekstra lisans gerektirmeden; elinizdeki DCHost paylaşımlı hosting hesabıyla uygulayabileceğiniz, pratik bir kontrol listesi gibi düşünebilirsiniz.

Paylaşımlı Hosting’de İletişim Formu Nasıl Çalışıyor ve Nerede Zayıflıyor?

Önce hedefi netleştirelim. Tipik bir iletişim formu süreci şöyle işler:

• Kullanıcı web sayfasındaki formu doldurur.
• Tarayıcı form verilerini sunucuya (PHP dosyası, WordPress eklentisi vb.) gönderir.
• Sunucudaki kod, bu verileri kontrol eder ve bir e-posta hazırlar.
• Mail, sunucunun local mail transfer agent’ı (sendmail/Exim vb.) ya da SMTP üzerinden alıcı adrese gönderilir.

Spam’in çoğu, henüz ilk adımda, yani formun doldurulması aşamasında başlar. Bot’lar, sitenizdeki formu tarayıcı açmadan, doğrudan HTTP isteği ile doldurabilir. İnsan gibi davranmadıkları için:

• Formu çok hızlı, saniyede birden fazla kez gönderirler,
• Alanları anlamsız metinlerle doldururlar,
• Javascript çalıştırmadan form yollayabilirler.

İkinci zayıf nokta, mail tarafında ortaya çıkar. Aynı IP’den çok fazla form mail’i çıktığında, ya da SPF/DKIM gibi doğrulamalar yanlışsa:

• İletişim formu mailleri alıcının spam klasörüne düşebilir,
• Sunucu IP’nizin itibarı zedelenebilir,
• Aşırı spam trafiğinde, sunucudaki kaynak limitleri zorlanabilir.

DCHost altyapısında biz, sunucu seviyesinde çeşitli kısıtlar ve filtreler uygulasak da, en etkili savunma hattı formun kendisinde başlıyor. reCAPTCHA, honeypot ve davranışsal kontrollerle bot’ların büyük kısmını form seviyesinde durdurduğunuzda, mail tarafını yönetmek hem daha kolay, hem daha sağlıklı hale geliyor.

reCAPTCHA ile Bot’ları Form Seviyesinde Durdurmak

reCAPTCHA, Google’ın geliştirdiği, insan ile bot’u ayırt etmeye yarayan bir doğrulama sistemi. Paylaşımlı hosting’de en pratik ve etkili ilk adım, iletişim formunuza reCAPTCHA eklemek.

Hangi reCAPTCHA Sürümünü Kullanmalı?

Bugün en yaygın iki sürüm:

• reCAPTCHA v2 (“Ben robot değilim” kutusu): Kullanıcı bir kutuya tıklıyor, bazen görsel doğrulama çıkıyor.
• reCAPTCHA v3 (skor tabanlı, görünmez): Kullanıcıdan ekstra eylem istemiyor, arkada bir skor üretiyor.

İletişim formları için pratik yaklaşım şu olabilir:

• Kritik form (ödeme, üyelik, önemli başvuru) ise: v2 genelde daha güvenli; bot’ları daha net kesiyor.
• Kullanıcı deneyiminin çok hassas olduğu durumlarda: v3 ile başlayıp, spam artarsa v2’ye geçmek mantıklı.

Paylaşımlı hosting’de her iki sürümü de rahatlıkla kullanabilirsiniz; ihtiyacınız olan tek şey, alan adınız için alınmış bir site key ve secret key.

Paylaşımlı Hosting’de reCAPTCHA Entegrasyonu (PHP ve WordPress)

DCHost’ta tipik iki senaryo görüyoruz: Hazır CMS (özellikle WordPress) ve özel PHP formu.

WordPress İletişim Formu Örneği

WordPress kullanıyorsanız, çoğu popüler form eklentisi reCAPTCHA entegrasyonunu hazır olarak sunuyor. Genel adımlar:

1. Google reCAPTCHA yönetim panelinden alan adınız için v2 veya v3 anahtarlarını oluşturun.
2. Form eklentinizin ayarlarından site key ve secret key değerlerini girin.
3. reCAPTCHA’yı sadece kritik formlarda (örneğin iletişim / teklif formu) etkinleştirin.
4. Test formu göndererek hem görselin doğru çıktığını, hem de mailin sorunsuz geldiğini kontrol edin.

WordPress tarafında daha geniş bir performans ve güvenlik resmi görmek isterseniz, paylaşımlı hosting için hazırladığımız WordPress güvenliği, WAF ve 2FA odaklı rehber de işinize yarayacaktır.

Özel PHP İletişim Formu Örneği

Kendi yazdığınız bir PHP formu varsa mantık şu şekilde ilerler:

1. Form HTML’ine reCAPTCHA script’ini ve widget’ını ekleyin.
2. Form gönderildiğinde, $_POST['g-recaptcha-response'] değerini alın.
3. Sunucu tarafında, secret key ile Google doğrulama API’sine istek atın.
4. Gelen cevaptaki success alanı true ise maili gönderin; değilse hata gösterin.

Burada kritik nokta, doğrulamayı mutlaka sunucu tarafında yapmak. Sadece Javascript ile yapılan kontroller, bot’lar tarafından kolaylıkla atlanabiliyor.

reCAPTCHA Ayarlarında Dikkat Edilmesi Gerekenler

• Alan adı eşleşmesi: reCAPTCHA anahtarını hangi domain için aldıysanız, o domain’de kullanın. Alt alan adları (subdomain) için izin verdiğinizden emin olun.
• v3 skoru: Çok düşük eşik (örneğin 0.1) ayarlarsanız, bot’lar geçebilir. Çok yüksek eşik (örneğin 0.9) ise gerçek kullanıcıları da engelleyebilir. Genellikle 0.5–0.7 arası mantıklı bir başlangıç.
• Hata mesajları: reCAPTCHA hatası aldığında, kullanıcıya net ve Türkçe bir mesaj gösterin. Aksi durumda formun “bozuk” olduğunu sanıp vazgeçebilir.

reCAPTCHA tek başına çok güçlü bir filtre ama %100 çözüm değil. Bazı gelişmiş spam bot’ları reCAPTCHA’lı formları da geçebiliyor. Bu nedenle ikinci katman olarak honeypot eklemek, özellikle paylaşımlı hosting’de çok etkili bir kombinasyon oluşturuyor.

Honeypot Alanlarıyla Bot’ları Sessizce Yakalamak

Honeypot, kelime anlamıyla “bal kavanozu”: Bot’lar için çekici bir tuzak alan. Mecra şu:

• Formunuza kullanıcıya görünmeyen ekstra alanlar ekliyorsunuz.
• Gerçek kullanıcı bu alanları göremediği için boş bırakıyor.
• Bot ise tüm alanları doldurmaya çalıştığından, bu görünmez alanlara da veri yazıyor.
• Sunucu tarafında bu alan doluysa, formu otomatik olarak reddediyorsunuz.

Basit Bir HTML + CSS Honeypot Örneği

Özel PHP formu kullandığınızı varsayalım. Form HTML’ine şu şekilde bir alan ekleyebilirsiniz:

<div style="display:none" aria-hidden="true">
  <label for="hp_phone">Telefon</label>
  <input type="text" name="hp_phone" id="hp_phone" value="" />
</div>

CSS ile bu alanı tamamen gizlediğiniz için, normal ziyaretçi görmeyecek ve doldurmayacaktır. Ancak birçok basit spam bot’u, formdaki tüm input alanlarına veri yazmaya çalışır. Böylece hp_phone alanında veri görürseniz, bunu bir “bot imzası” kabul edebilirsiniz.

PHP Tarafında Honeypot Kontrolü

Formu işleyen PHP dosyanızda şu mantık yeterli olur:

$honeypot = isset($_POST['hp_phone']) ? trim($_POST['hp_phone']) : '';

if ($honeypot !== '') {
    // Bot olduğu çok büyük ihtimal
    // İsterseniz loglayın, isterseniz sessizce yok sayın
    exit; // veya die();
}

Bu kadar basit bir kontrol, paylaşımlı hosting kullanan onlarca müşterimizde iletişim formu spam’ini tek başına %60–70 oranında düşürdü. reCAPTCHA ile birleştirildiğinde, gerçek insan form gönderimleri hariç neredeyse hiç isabet kalmıyor.

WordPress Form Eklentilerinde Honeypot

Pek çok WordPress form eklentisi, ayarlar içinde “honeypot” seçeneği sunuyor. Eğer form eklentiniz bunu destekliyorsa:

• Ayarlar sayfasından honeypot’u etkinleştirin.
• Otomatik oluşturulan gizli alan adını not alın.
• Gelişmiş bot’lara karşı, bu alanın adını dönem dönem değiştirmek iyi bir fikir olabilir.

Bu yaklaşımı, genel güvenlik bütçenizin bir parçası olarak düşünmek isterseniz, yeni açılan web siteleri için hazırladığımız güvenlik check-listi de iletişim formu özelinde alabileceğiniz diğer önlemler için size fikir verecektir.

Davranışsal Kontroller: Süre, Frekans ve IP Bazlı Filtreler

reCAPTCHA ve honeypot, formun “kim” tarafından gönderildiğini anlamaya çalışır. Üçüncü katmanda ise “nasıl” gönderildiğine bakmak çok faydalıdır. Özellikle paylaşımlı hosting’de, basit davranışsal kontroller bile büyük fark yaratır.

Minimum Doldurma Süresi Kontrolü

İnsan bir formu genellikle birkaç saniyeden önce dolduramaz. Bot’lar ise milisaniyeler içinde gönderebilir. Bunu avantaja çevirmek için:

1. Formu ilk gösterdiğinizde, bir timestamp (zaman damgası) saklayın (session, cookie veya gizli input alanında).
2. Form gönderildiğinde şu hesabı yapın: şimdiki zaman - form_gösterim_zamanı.
3. Eğer bu süre çok kısaysa (örneğin < 2 saniye), gönderimi reddedin veya ek doğrulama isteyin.

Bu kontrol, kullanıcı deneyimini bozmadan çok sayıda basit bot’u eler.

IP ve Oturum Bazlı Gönderim Sınırları

Paylaşımlı hosting’de, karmaşık rate limiting çözümleri kuramazsınız; ancak basit sayaclar bile iş görür:

• Aynı IP’den 5 dakika içinde 3’ten fazla form gönderimi varsa, ek reCAPTCHA isteyin.
• Oturum (session) bazlı sayaç tutarak, aynı tarayıcının peş peşe çok mail atmasını sınırlayın.

Bu tür kontroller için formu işleyen PHP dosyanızda, $_SESSION kullanabilir veya geçici bir veri tablosu oluşturabilirsiniz. Özellikle, kısa sürede yüzlerce kez deneme yapan spam dalgalarında bu tip limitler çok işe yarar.

Mesaj İçeriğine Basit Filtreler

Gelen form alanlarında bazı tipik spam kalıpları varsa (çok sayıda link, belirli anahtar kelimeler vb.) bunları da basit regex veya string kontrolleri ile filtreleyebilirsiniz. Ancak bu aşamada dikkatli olmak gerekir; aşırı agresif içerik filtreleri, gerçek müşterilerin iletilerini de yanlışlıkla silebilir. Bu yüzden içerik bazlı filtreleri yumuşak (örneğin “konu satırında 3’ten fazla link varsa ‘şüpheli’ olarak işaretle”) şekilde kullanmak daha sağlıklı olur.

Mail Sunucusu, SPF/DKIM/DMARC ve Spam Klasörüne Düşmeyen Form Mailleri

Form seviyesinde spam’i büyük ölçüde azalttıktan sonra, ikinci önemli hedefimiz şu olmalı: Gerçek iletişim formu mailleri, alıcının gelen kutusuna güvenle ulaşsın. Yani hem siz hem de müşteriniz, “form doldurdum ama mail gelmedi” stresini yaşamasın.

DCHost tarafında gördüğümüz yaygın sorunlardan bazıları şunlar:

• Form mailleri PHP mail() fonksiyonuyla, doğrulama ayarları eksik şekilde gönderiliyor.
• Alan adının SPF, DKIM ve DMARC kayıtları ya eksik, ya da yanlış yapılandırılmış.
• Alıcı tarafında güçlü spam filtreleri var ama site sahibi bunları hiç kontrol etmiyor.

Bu noktada, daha önce detaylı anlattığımız e-postaların neden spam klasörüne düştüğü ve teslim edilebilirlik kontrol listesi rehberini mutlaka okumanızı öneririz. Burada özetleyeceğim adımlar, özellikle iletişim formu mailleri için kritik.

PHP mail() Yerine SMTP Kullanmak

Paylaşımlı hosting’de PHP’nin mail() fonksiyonu genellikle sunucunun varsayılan MTA’sını kullanır. Bu, teknik olarak çalışır ama şu riskleri taşır:

• Gönderici adresi ile kimlik doğrulama uyumsuz olabilir.
• Sunucu IP’si, başka sitelerin davranışlarından da etkilenir.
• Detaylı log istemek ve hata teşhisi yapmak daha zordur.

Bu yüzden, mümkünse iletişim formu maillerini SMTP kimlik doğrulaması ile göndermek daha sağlıklıdır. Adımlar:

1. cPanel veya kontrol panelinizde bir e-posta hesabı oluşturun (örneğin [email protected] veya [email protected]).
2. Bu hesabın SMTP ayarlarını (sunucu adı, port, SSL/TLS, kullanıcı adı, şifre) not edin.
3. WordPress form eklentinizde veya PHP kodunuzda bu bilgileri kullanarak SMTP ile gönderimi etkinleştirin.

Kendi alan adınızla e-posta tarafını sağlam kurmak için, adım adım bir rehbere ihtiyacınız varsa kendi alan adınızla kurumsal e-posta kurma rehberi size bu süreci baştan sona özetleyecektir.

SPF, DKIM ve DMARC Kayıtlarını Doğru Kurmak

Günümüz mail servisleri, gelen e-postaya güvenip güvenmeyeceğine karar verirken üç temel DNS kaydına bakıyor:

• SPF: Bu alan adı adına mail göndermeye yetkili IP ve sunucular hangileri?
• DKIM: Mail, alan adı sahibi tarafından kriptografik olarak imzalanmış mı?
• DMARC: SPF/DKIM başarısızsa, alıcı ne yapsın (kabul et, karantinaya al, reddet)?

İletişim formu mailleri de bu kurallardan muaf değil. Özellikle SPF ve DKIM doğru değilse, form mailleriniz alıcının spam klasörüne düşebilir. Bu konuyu SPF, DKIM ve DMARC’yi sıfırdan kurma rehberimizde detaylı anlattık. İletişim formu özelinde şu kontrol listesini kullanabilirsiniz:

• Alan adınızın SPF kaydı, DCHost e-posta sunucularını kapsıyor mu?
• Mail gönderirken kullandığınız From adresi, SPF/DKIM ile doğrulanan alan adına ait mi?
• DMARC politikanız çok agresif (örneğin p=reject) ise, önce p=quarantine ile raporları inceleyerek test ettiniz mi?

cPanel’de Spam Filtreleri ve Beyaz Liste Yönetimi

Bazı durumlarda, form mailleriniz kendi sunucunuzda bile spam olarak işaretlenebilir. Özellikle aynı sunucuda çalışan farklı projelerin birbirini etkilememesi için, cPanel seviyesinde spam filtreleri sıkı ayarlanmış olabilir.

Böyle durumlarda, cPanel’de e-posta spam filtreleme ve karantina yönetimi rehberimiz üzerinden şu adımları uygulayabilirsiniz:

• İletişim formu maillerinin geldiği adresi (örneğin [email protected]) ve alan adınızı beyaz listeye eklemek.
• SpamAssassin puan eşiğini aşırı düşük tutmamak.
• Sunucu loglarını inceleyip, yanlış pozitif (false positive) durumları tespit etmek.

Bu sayede, hem dışarıya giden form maillerinin alıcıda spam’a düşme ihtimalini azaltır, hem de kendi iç postanızı gereksiz karantinaya almamış olursunuz.

DCHost Paylaşımlı Hosting’de Önerdiğimiz Uygulama Sırası

Buraya kadar anlattıklarımızı, uygulanabilir bir yol haritası halinde özetleyelim. DCHost paylaşımlı hosting hesabınızda, iletişim formu spam’ini azaltmak için pratikte şu sırayı öneriyoruz:

1. Formunuzu analiz edin
   WordPress mi kullanıyorsunuz, özel PHP formu mu? Hangi eklenti veya kütüphane mail gönderimini yapıyor? Sunucu loglarınızı inceleyip (özellikle mail logları ve web sunucu logları), spam yoğunluğunu kabaca not alın. Log okuma konusunda yeniyseniz, Apache ve Nginx loglarını okuma rehberi genel mantığı anlamanıza yardım eder.
2. reCAPTCHA ekleyin
   Önce reCAPTCHA v2 veya v3’ü devreye alın. WordPress kullanıyorsanız eklenti ayarlarından, özel formda ise script ve sunucu tarafı doğrulama ile entegrasyonu tamamlayın.
3. Honeypot alanı tanımlayın
   Formunuza en az bir görünmez alan ekleyin ve sunucu tarafında kontrol edin. WordPress form eklentiniz destekliyorsa, eklenti içindeki honeypot seçeneğini aktif hale getirin.
4. Minimum süre ve IP bazlı sınırlar
   Formun yüklenme ve gönderilme zamanı arasına minimum 2–3 saniyelik bir eşik koyun. Aynı IP veya oturumdan gelen ardışık çoklu gönderimleri sınırlayın.
5. Mail gönderimini SMTP’ye alın
   İletişim formu maillerini mail() yerine SMTP ile göndermeye geçin. DCHost e-posta hesabınızı kullanarak kimlik doğrulamalı mail gönderimi sağlayın.
6. SPF, DKIM, DMARC’yi doğrulayın
   Alan adınız için SPF, DKIM ve DMARC kayıtlarını kontrol edin ve gerekirse güncelleyin. Bu adımı, ilgili rehberlerimiz eşliğinde veya DCHost destek ekibinin yardımıyla tamamlayabilirsiniz.
7. Spam filtrelerini ince ayar yapın
   cPanel’de hem gelen, hem giden mailler için spam filtre ayarlarını gözden geçirin. İletişim formu adreslerinizi gereksiz yere kara listeye sokmadığınızdan emin olun.
8. 1–2 hafta gözlem ve log takibi
   Yaptığınız değişikliklerden sonra, en az bir hafta boyunca form trafiğini ve mail teslim durumlarını gözlemleyin. Gerekirse eşikleri (reCAPTCHA skorları, süre limitleri, IP limitleri) ince ayarla yeniden düzenleyin.

Performans ve Kaynak Kullanımı: Paylaşımlı Hosting Sınırlarını Zorlamadan Güvenlik

İletişim formu spam’ini azaltmaya çalışırken, bir yandan da paylaşımlı hosting hesabınızın CPU, RAM ve I/O limitlerini zorlamamak önemli. Aşırı karmaşık filtreler, her form isteğinde çok fazla veritabanı yazma/okuma yapmak, ağır eklentiler kullanmak gibi hatalar, sitenizin “Resource Limit Reached” hatası vermesine yol açabilir.

DCHost olarak, paylaşımlı hosting kullanan müşterilerimiz için daha önce “Resource Limit Reached” hatasını önleme rehberi hazırlamıştık. İletişim formu özelinde bu rehberden çıkarılabilecek bazı dersler:

• Form eklentinizin gereksiz özelliklerini (istatiksel raporlar, ağır dosya upload modülleri vb.) kapatmak.
• Her gönderimde büyük veritabanı yazımları yapmak yerine, sadece kritik verileri kaydetmek.
• reCAPTCHA ve honeypot kontrollerini mümkün olduğunca hafif tutmak (karmaşık regex’ler yerine basit string kontroller).

Eğer siteniz yüksek trafik alıyor ve form gönderimleri çok fazlaysa, bir noktadan sonra paylaşımlı hosting yerine VPS veya dedicated çözümlere geçmek mantıklı hale gelebilir. Bu geçişi planlarken, paylaşımlı hosting’den VPS’e sorunsuz geçiş rehberimizi inceleyerek mimariyi ve kaynak ihtiyacını daha net planlayabilirsiniz.

Uzun Vadeli Strateji: Sadece Spam’i Değil, Süreci de Yönetmek

İletişim formu spam’ini azaltmak, bir defalık yapılan ve sonra unutulan bir iş değil. Özellikle internet üzerindeki spam dalgaları, saldırı türleri ve bot yetenekleri zamanla değişiyor. DCHost altyapısında yıllar içinde gözlemlediğimiz birkaç temel prensibi sizinle paylaşmak isterim:

• Düzenli gözden geçirme: Yılda en az bir kez, form eklentilerinizi, reCAPTCHA ayarlarınızı ve honeypot alanlarınızı gözden geçirin. Kullanılmayan formları kaldırın.
• Güncel yazılım: Kullandığınız CMS, tema ve form eklentilerinin güncel olması, hem güvenlik açıklarını hem de spam istismarlarını azaltır.
• Log takibi: Belirli aralıklarla web sunucu ve mail loglarını kontrol ederek, olağanüstü form gönderimlerini tespit edin.
• İtibar yönetimi: Sunucu IP itibarınız, SPF/DKIM/DMARC ayarlarınız ve spam filtrelerinizin durumu, tüm mail trafiğinizin kaderini etkiler; sadece iletişim formu değil.

Sonuç olarak, paylaşımlı hosting’de bile doğru kurgulanmış reCAPTCHA + honeypot + SMTP + SPF/DKIM/DMARC kombinasyonu ile, iletişim formu spam’ini dramatik biçimde azaltmak mümkün. DCHost olarak, barındırma altyapınızı bu güvenlik katmanlarıyla birlikte düşünmenizi ve özellikle mail tarafındaki ayarları bir kez sağlam kurup, düzenli olarak gözden geçirmenizi öneriyoruz.

Eğer mevcut paylaşımlı hosting hesabınızda bu adımları uygularken takılırsanız veya daha gelişmiş bir mimariye (örneğin ayrı mail sunucusu, VPS üzerinde özel WAF, gelişmiş log analizi vb.) geçmek isterseniz, DCHost destek ekibiyle iletişime geçerek projenize özel bir yol haritası oluşturabilirsiniz. Sağlam bir iletişim formu, gerçekten iş getiren ve ölçülebilir bir kanal haline geldiğinde, hem operasyonel yükünüz azalacak hem de pazarlama ve satış süreçleriniz çok daha net takip edilebilir hale gelecektir.