Microsoft İstanbulbir microsoft iş ortağı projesi
Tüm yazılarExchange Online

Exchange Online E-posta Gönderilemiyor (5.1.8) Çözümü (2026)

·~8 dk okuma
Microsoft 365 e-posta koruması ve posta akışı diyagramı — Exchange Online gönderim engeli ve kısıtlanmış varlıklar — Microsoft resmi belgelerinden

Özet (TL;DR): Bir kullanıcı Exchange Online'da e-posta gönderemiyor ve 550 5.1.8 Access denied, bad outbound sender NDR (geri dönen ileti) hatası alıyorsa, hesabı Microsoft Defender portalındaki Kısıtlanmış varlıklar (Restricted entities) sayfasına eklenmiştir. Bunun en yaygın nedeni hesabın ele geçirilmesi veya çıkış (giden) gönderim limitlerinin aşılmasıdır. Doğru sıra şudur: önce hesabı güvene alın (parolayı sıfırlayın, oturumları iptal edin, gizli yönlendirme kurallarını temizleyin, MFA'yı etkinleştirin), ardından kullanıcıyı kısıtlamadan kaldırın. Engel genellikle 1 saat (en geç 24 saat) içinde kalkar.

Belirtiler: Kullanıcı e-posta gönderemiyor

Bu sorunda kullanıcı e-postaları alabilir ancak gönderemez. Gönderilen her ileti, gönderene bir geri dönüş raporu (Non-Delivery Report — NDR) olarak döner. En sık karşılaşılan hata metni şudur:

Your message couldn't be delivered because you weren't recognized as a valid sender... Remote Server returned '550 5.1.8 Access denied, bad outbound sender.'

Bu metnin Türkçe karşılığı: "İletiniz teslim edilemedi çünkü geçerli bir gönderen olarak tanınmadınız. En yaygın neden, e-posta adresinizin spam göndermekten şüphelenilmesi ve artık e-posta göndermesine izin verilmemesidir. Yardım için e-posta yöneticinizle iletişime geçin."

Yan belirtiler:

  • Yöneticiye "User restricted from sending email" (Kullanıcının e-posta göndermesi kısıtlandı) uyarı bildirimi düşer.
  • Kullanıcı, Microsoft Defender portalındaki Kısıtlanmış varlıklar listesinde görünür.
  • Outlook'ta gönderilen iletiler "Taslaklar" veya "Giden Kutusu"nda takılı kalabilir, hemen geri döner.

Önemli ayrım: Bu hata, harici alıcı sayısı ya da saatlik/günlük limit aşımıyla ilgili "dış alıcı gönderim sınırı" hatasından farklıdır. 5.1.8 hatası doğrudan "hesabınız gönderimden engellendi" anlamına gelir ve genellikle bir güvenlik olayının işaretidir.

Hata kodu eşleme tablosu (550 5.x.x serisi)

Geri dönen iletideki tam koda göre kök neden değişir. Microsoft'un resmi NDR kod listesine göre öne çıkan kodlar:

  • 550 5.1.8 — "Access denied, bad outbound sender." Kullanıcı hesabı kısıtlanmış varlıklara eklendi (genellikle spam şüphesi/ele geçirilme). Bu yazının ana konusu.
  • 550 5.7.703 — Alıcılar kuruluşunuzun Kiracı İzin Ver/Engelle Listesi'nde (Tenant Allow/Block List) engelli. Yöneticinin listeyi düzeltmesi gerekir.
  • 550 5.7.705 — "Access denied, tenant has exceeded threshold." Tüm kiracı eşik aşımı nedeniyle engellendi (sıklıkla ele geçirilmiş şirket içi sunucu veya yönetici hesabı). Microsoft Desteği ile engel kaldırılır.
  • 550 5.7.708 — "Access denied, traffic not accepted from this IP." Gönderim yapılan IP'nin itibarı yetersiz. Yönetici Microsoft Desteği'nden IP istisnası ister.
  • 550 5.7.711 — "Access denied, bad inbound connector." Bir bağlayıcı (connector) ele geçirilmiş olarak işaretlendi; bağlayıcıyı kısıtlamadan kaldırın.
  • 550 5.7.750 — "Client blocked from sending from unregistered domain." Kayıtlı olmayan bir etki alanından yüksek hacimli gönderim. Tüm gönderen etki alanlarını Microsoft 365'te doğrulayın.

Kök neden: Neden kısıtlandı?

Microsoft, bir kullanıcı şu iki durumdan birini tetiklediğinde gönderimi engeller:

  1. Hesabın ele geçirilmesi (compromise): En sık karşılaşılan senaryo. Saldırgan ele geçirdiği posta kutusundan kitlesel spam/phishing gönderir; Microsoft bunu algılayıp hesabı kısıtlar. Gönderim limitini aşmak başlı başına bir ele geçirilme göstergesidir.
  2. Meşru toplu gönderim: Kullanıcı bilerek limiti aşan büyük hacimde e-posta gönderdi. Bu durumda bile önce hesabın güvende olduğu doğrulanmalı, ardından toplu gönderim için uygun yöntemler değerlendirilmelidir.

Engeli kaldırmadan önce mutlaka nedenini belirleyin. Microsoft'un net uyarısı şudur: gönderim limitlerini aşan bir gönderen, bir ele geçirilmiş hesap göstergesidir. Bu nedenle engeli körü körüne kaldırmak, saldırganın gönderime devam etmesine yol açar. Microsoft güvenlik hizmetleriyle bu olayları proaktif izlemek kritik önemdedir.

Hızlı tanı: Kısıtlanmış varlıklar sayfası

İlk adım, kullanıcının gerçekten kısıtlandığını doğrulamaktır.

Microsoft Defender portalından

  1. https://security.microsoft.com adresine gidin.
  2. Sol menüden E-posta ve işbirliği > Gözden geçir > Kısıtlanmış varlıklar (Email & collaboration > Review > Restricted entities) yolunu izleyin. Doğrudan gitmek için: https://security.microsoft.com/restrictedentities.
  3. Listede Varlık (Entity) değeri Posta kutusu (Mailbox) olan kullanıcıyı arayın. Arama kutusunu kullanarak adresi filtreleyin.

Exchange Online PowerShell ile

Kısıtlanan tüm gönderenleri listelemek için:

Get-BlockedSenderAddress

Belirli bir kullanıcının ayrıntısı için:

Get-BlockedSenderAddress -SenderAddress <eposta-adresi> | Format-List

Adım adım çözüm: Önce güvene al, sonra engeli kaldır

Doğru sıra hayati önemdedir. Kullanıcıyı kısıtlamadan kaldırmadan önce hesabın güvende olduğundan emin olun. Aksi halde saldırgan gönderime devam eder ve hesap tekrar engellenir. Microsoft'un ele geçirilmiş hesaba müdahale kılavuzundaki adımlar:

1. Hesabı devre dışı bırakın veya parolayı sıfırlayın

Soruşturma tamamlanana kadar hesabı devre dışı bırakmak en güvenli yoldur — saldırganın erişimini anında keser. Microsoft Graph PowerShell ile:

Connect-MgGraph -Scopes "User.ReadWrite.All"
$user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
Update-MgUser -UserId $user.Id -AccountEnabled $false

Devre dışı bırakamıyorsanız parolayı sıfırlayın. Yeni parolayı kullanıcıya e-posta ile göndermeyin — saldırgan hâlâ posta kutusuna erişiyor olabilir. Son 5 paroladan farklı; büyük/küçük harf, rakam ve özel karakter içeren bir parola seçin. Hesap şirket içi Active Directory ile eşitleniyorsa parolayı AD tarafında ve pass-the-hash riskini azaltmak için iki kez sıfırlayın. Federasyon (federated) kimlik kullanılıyorsa parola şirket içi ortamda değiştirilmelidir.

2. Etkin oturumları iptal edin

Çalınan kimlik bilgileriyle açık olan tüm oturumları geçersiz kılın. Microsoft Graph PowerShell ile:

Connect-MgGraph -Scopes User.RevokeSessions.All
Revoke-MgUserSignInSession -UserId <UPN>

3. Gizli posta yönlendirme ve gelen kutusu kurallarını temizleyin

Saldırganların en sık kullandığı kalıcılık yöntemi otomatik yönlendirmedir. Exchange Online PowerShell'de kontrol edin:

Get-Mailbox -Identity <kimlik> | Format-List Forwarding*Address,DeliverTo*
Get-InboxRule -Mailbox <kimlik> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity

Bilinmeyen adreslere yönlendiren ya da iletileri "Notlar / Önemsiz / RSS" klasörlerine taşıyan kuralları silin.

4. MFA'yı etkinleştirin ve uygulama parolalarını yenileyin

Çok faktörlü kimlik doğrulama (MFA), hesap ele geçirilmesine karşı en etkili savunmadır; özellikle yönetici hesapları için zorunludur. Uygulama parolaları parola sıfırlamada otomatik iptal olmaz — kullanıcının mevcutları silip yeniden oluşturması gerekir. Kalıcı koruma için Microsoft 365 ortamınızda Koşullu Erişim politikalarını da gözden geçirin.

5. Kullanıcıyı kısıtlanmış varlıklardan kaldırın

Hesap güvene alındıktan sonra Defender portalında engeli kaldırın:

  1. Kısıtlanmış varlıklar sayfasında kullanıcıyı seçin ve görünen Engeli kaldır (Unblock) eylemini tıklayın.
  2. Açılan pencerede Genel bakış ve Öneriler bölümlerini okuyun; hesabın ele geçirilmediğini doğrulayın. İleri'ye basın.
  3. MFA'yı etkinleştirme ve parola sıfırlama önerilerini gözden geçirip Gönder'e basın.
  4. Uyarı iletişiminde, hesabın güvende olduğundan eminseniz Evet ile onaylayın.

Microsoft'un notu: Çoğu durumda tüm kısıtlamalar 1 saat içinde kalkar; geçici teknik sorunlarda bekleme süresi en fazla 24 saattir.

PowerShell ile engeli kaldırma

Defender portalına ek olarak, kullanıcıyı PowerShell ile de kısıtlamadan kaldırabilirsiniz:

Remove-BlockedSenderAddress -SenderAddress <eposta-adresi>

Gerekli izinler: Kullanıcıyı kaldırmak için Organization Management veya Security Administrator rol grubu üyeliği gerekir. Salt-okunur erişim için Global Reader / Security Reader yeterlidir. Microsoft en az ayrıcalık ilkesini önerir — Global Administrator rolünü yalnızca acil durumlar için kullanın.

Senaryoya özel dallar

Aldığınız tam koda göre çözüm değişir:

  • Tek kullanıcı (5.1.8): Yukarıdaki adımları uygulayın — güvene al, kısıtlamadan kaldır.
  • Tüm kiracı engellendi (5.7.705): Genellikle ele geçirilmiş şirket içi sunucu veya yönetici hesabıyla oluşturulan bağlayıcılar nedeniyledir. Kök nedeni giderin, MFA'yı zorunlu kılın, ardından engeli kaldırmak için Microsoft Desteği'ne başvurun.
  • Bağlayıcı engellendi (5.7.711): Defender portalında Remove blocked connectors adımlarını izleyin ve bağlayıcının yapılandırmasını denetleyin.
  • IP itibarı (5.7.708): Deneme aboneliklerinde, Exchange Online lisansları atanmadan önce sık görülür. IP istisnası için Microsoft Desteği'ne başvurun.
  • Kayıtsız etki alanı (5.7.750): Tüm gönderen etki alanlarını Microsoft 365'te ekleyip doğrulayın; sertifika tabanlı giden bağlayıcılar kullanın.

Soruşturma: Olayın kapsamını belirleme

Engeli kaldırmadan ve dosyayı kapatmadan önce, saldırganın geride başka bir kalıcılık (persistence) yöntemi bırakmadığını doğrulayın. Microsoft Entra ve Microsoft Defender portalı bu inceleme için birkaç araç sunar:

  • Entra oturum açma günlükleri (sign-in logs): IP adresi, oturum konumu, oturum zamanı ve başarı/başarısızlık sütunlarını inceleyin. Beklenmedik ülke/IP'den girişler ele geçirilmenin en net işaretidir.
  • İleti izleme (Message trace): Defender portalında, şüpheli etkinliğin başladığı tarihten itibaren kullanıcının gönderdiği iletileri inceleyin. "Gönderilmiş Öğeler" ve "Silinmiş Öğeler" klasörlerinde tanımadığınız toplu gönderimler olup olmadığına bakın.
  • Uygulama izinleri (consent): Kullanıcının onayladığı kurumsal uygulamaları gözden geçirin; saldırganlar bazen kalıcı erişim için kötü amaçlı OAuth uygulaması ekler. İzin verilmemesi gereken uygulamaları kaldırın ve iznini geri çekin.
  • Yönetici rolleri: Hesaba atanmış olması gereken/gerekmeyen yönetici rollerini kontrol edin; yetki yükseltme (privilege escalation) girişimlerini tespit edin.
  • MFA kayıtlı cihazlar: Saldırgan tarafından eklenmiş şüpheli cihazları ve tanınmayan kimlik doğrulama yöntemlerini kaldırın.

Denetim günlüklerini (audit log) şüpheli etkinliğin başlangıcından remediasyon tamamlanana kadar olan tarih aralığı için gözden geçirin. İlk aramada belirli etkinlikleri filtrelemeyin — önce geniş bakıp zaman aralığını daraltın, sonra detaya inin.

Önleyici kontroller: Tekrar engellenmeyi önleme

Olayı kapattıktan sonra tekrarını önlemek için:

  • Giden spam politikalarını yapılandırın: Saatlik ve günlük alıcı limitlerini (0–10000) ve bildirimleri ayarlayın. Outbound spam policy yapılandırması referans alınabilir.
  • Uyarı politikalarını aktif tutun: "User restricted from sending email", "Email sending limit exceeded" ve "Suspicious email sending patterns detected" uyarıları açık olmalı. Uyarıların çalışması için denetim günlüğü (audit log) etkin olmalıdır (varsayılan açık).
  • MFA'yı yaygınlaştırın: Tüm hesaplarda, özellikle yöneticilerde MFA — ele geçirilmeyi büyük ölçüde engeller.
  • Düzenli izleme: Posta akışı raporlarını ve ileti izlemeyi (message trace) periyodik gözden geçirin.
  • Kullanıcı eğitimi: Gönderim limitleri ve toplu e-posta için alternatif yöntemler hakkında kullanıcıları bilgilendirin.

Sürekli şifre sorma gibi yan kimlik sorunları yaşanıyorsa Outlook sürekli şifre soruyor sorunu yazımız da işinize yarayabilir.

Sıkça Sorulan Sorular (SSS)

Kullanıcı e-posta alabiliyor ama gönderemiyor, neden?

Çünkü kısıtlama yalnızca gönderimi durdurur. Hesap kısıtlanmış varlıklara eklendiğinde kullanıcı e-posta almaya devam eder, ancak gönderdiği her ileti "550 5.1.8 Access denied, bad outbound sender" hatasıyla geri döner.

Engeli kaldırdıktan sonra ne kadar sürede düzelir?

Microsoft'a göre çoğu durumda tüm kısıtlamalar 1 saat içinde kalkar. Geçici teknik sorunlarda bu süre uzayabilir, ancak toplam bekleme 24 saati geçmemelidir.

Hesabı güvene almadan doğrudan engeli kaldırabilir miyim?

Önerilmez. Gönderim limitini aşmak bir ele geçirilme göstergesidir. Önce parola sıfırlama, oturum iptali, gizli yönlendirme kurallarının temizlenmesi ve MFA etkinleştirilmesi yapılmadan engel kaldırılırsa, saldırgan spam göndermeye devam eder ve hesap kısa sürede tekrar engellenir.

Kısıtlamayı kaldırmak için hangi yetki gerekir?

Microsoft Defender portalında veya Exchange Online PowerShell'de kullanıcıyı kaldırmak için Organization Management ya da Security Administrator rol grubu üyeliği gerekir. Salt-okunur görüntüleme için Global Reader veya Security Reader rolü yeterlidir.

5.1.8 ile 5.7.705 hataları arasındaki fark nedir?

5.1.8 tek bir kullanıcı hesabının kısıtlandığını gösterir ve yönetici Defender portalından kaldırabilir. 5.7.705 ise tüm kiracının eşik aşımı nedeniyle engellendiğini gösterir; bu durumda kök neden giderildikten sonra engeli kaldırmak için Microsoft Desteği ile iletişime geçmek gerekir.

Toplu (kitlesel) e-posta gönderirken bu hatayı nasıl önlerim?

Meşru toplu gönderimler için Exchange Online'ın standart posta kutusu yerine uygun gönderim yöntemleri (özel SMTP, pazarlama platformları) kullanın, giden spam politikalarında limitleri ihtiyaca göre ayarlayın ve gönderen etki alanlarınızın SPF/DKIM/DMARC kayıtlarını doğru yapılandırın.

Engeli kaldırdıktan sonra kullanıcı aynı gün tekrar engellenir mi?

Hayır. Bir yönetici kullanıcıyı kısıtlanmış varlıklardan kaldırdıktan sonra, kullanıcı o gün içinde tekrar kısıtlanmaz. Ancak ertesi gün, kök neden (ele geçirilme veya limit aşımı) giderilmemişse aynı sorun yeniden tetiklenebilir; bu yüzden remediasyon ve önleyici kontroller şarttır.

Restricted users ve Restricted entities sayfaları aynı şey mi?

Evet, ikisi aynı listeyi gösterir. Doğrudan erişim için hem https://security.microsoft.com/restrictedusers hem de https://security.microsoft.com/restrictedentities adresleri kullanılabilir. Liste hem kısıtlanan kullanıcı hesaplarını hem de kısıtlanan bağlayıcıları (connector) içerir.

Sonuç: Önce güvenlik, sonra erişim

Exchange Online'da "e-posta gönderilemiyor / 5.1.8 bad outbound sender" sorunu, çoğu zaman teknik bir aksaklık değil bir güvenlik olayının habercisidir. Doğru müdahale sırası nettir: önce hesabı güvene alın (parola, oturum, yönlendirme kuralları, MFA), ardından kullanıcıyı kısıtlanmış varlıklardan kaldırın. Bu sırayı atlamak, hesabın saatler içinde tekrar engellenmesiyle sonuçlanır.

Kalıcı çözüm, reaktif engel kaldırmadan çok proaktif korumadır: giden spam politikaları, etkin uyarılar, yaygın MFA ve düzenli posta akışı izleme. Bu katmanlar bir araya geldiğinde hem kullanıcı kesintisi hem de marka itibarı riski (IP/etki alanı kara listeye düşmesi) büyük ölçüde azalır.

Microsoft İstanbul — Xen Bilişim ekibi olarak, kurumunuzun Exchange Online ve Microsoft Defender for Office 365 güvenliği, ele geçirilmiş hesaplara müdahale ve kısıtlanmış kullanıcıların hızlı geri kazanımı dahil uçtan uca e-posta güvenliği yönetiminde destek sağlıyoruz. İletişim sayfamızdan bize ulaşın.

İlgili yazılar

Microsoft 365 SPF, DKIM ve DMARC e-posta kimlik doğrulama akış diyagramı — DMARC hizalama kontrolü (Microsoft Learn resmi diyagramı)
Exchange Online

Microsoft 365 SPF, DKIM ve DMARC Nasıl Yapılandırılır? (2026)

Microsoft 365'te giden e-postalar Outlook tarafından '550 5.7.515' ile reddedilmesin diye SPF, DKIM ve DMARC kayıtlarını adım adım nasıl kurarsınız? Defender po

26 Haziran 2026Yazıyı oku
Microsoft Teams 3D arayüz ikonları ve mor degrade arka plan — Microsoft resmi ürün görseli
Microsoft 365

Microsoft Teams Oturum Açma Hatası ve Hata Kodları Çözümü (2026)

Microsoft Teams oturum açılamıyor mu? caa70004, caa20003, caa82ee7 gibi hata kodlarının kök nedenleri ve adım adım çözümü: önbellek temizliği, modern kimlik doğ

24 Haziran 2026Yazıyı oku
Microsoft Purview Data Security Posture Management (DSPM) duruş panosu — Microsoft resmi belgelerinden
Microsoft Security

Microsoft Purview DSPM Nedir? Veri Güvenliği Duruş Yönetimi (2026)

Microsoft Purview DSPM (Veri Güvenliği Duruş Yönetimi), hassas verinizin nerede olduğunu, kime açık olduğunu ve nasıl korunduğunu tek panelde gösterir. Mayıs 20

22 Haziran 2026Yazıyı oku

Microsoft yolculuğunuzu
birlikte planlayalım

Mevcut altyapınızı ücretsiz değerlendirelim, doğru lisansı önerelim ve geçiş planınızı çıkaralım — aramayı uzmanlarımız 24 saat içinde yapar.

Ücretsiz Danışmanlık0850 259 59 49
WhatsApp