Satın alınan mail nasıl kullanılır?
Son güncelleme: 15 Temmuz 2026
Mail hesabını aldın, elinde bir adres, bir şifre ve muhtemelen üç alan daha var. En hızlı yol sitedeki dahili okuyucu: siparişlerinden hesabı açıyorsun, gelen kutusu hiçbir kurulum yapmadan ekrana geliyor. Hesabı kendi koduna bağlayacaksan şifreyi değil, OAuth2 access token'ı kullanacaksın; IMAP ya da Microsoft Graph üzerinden. Bu sayfanın özeti bu tek cümle ve ilk denemede neredeyse kimsenin doğru yapamadığı kısım da tam olarak burası.
Önemli olmasının sebebi kuralların değişmiş olması. Microsoft, Outlook, Hotmail ve Live hesaplarında basic authentication'ı Eylül 2024'te kapattı. Yani tüketici Microsoft hesaplarında adres ve şifre artık bir IMAP oturumunu açmıyor. Hesapla gelen token'lar bu yüzden "varsa iyi olur" cinsinden bir ekstra değil. Microsoft tarafındaki hesaplarda programatik erişimi mümkün kılan şeyin ta kendisi. Aşağıda her alanın ne işe yaradığını, hangi sırayla kullanacağını ve 401 aldığında neye bakman gerektiğini anlatıyoruz.
Hesap geldiğinde elinde hangi alanlar oluyor?
Her hesapta en az iki alan geliyor: e-posta adresi ve şifresi. Çoğunda üç alan daha var, OAuth2 access token, refresh token ve client ID. Bu beş alan farklı işler yapıyor ve ilk denemelerin çoğu bunları birbirine karıştırdığı için başarısız oluyor. Adres, posta kutusunun kimliği, yani kayıt formuna yapıştıracağın şey. Şifre, Microsoft'un tarayıcıdaki giriş ekranında işe yarıyor ve hesabı tutacaksan değiştireceğin alan da bu. Access token, istekleri hesap adına yetkilendiren kısa ömürlü bir taşıyıcı bilgi. Refresh token ikilinin kalıcı olanı; tek görevi access token'ın süresi dolduğunda yenisini almak. Client ID ise token'ların hangi uygulamaya verildiğini söylüyor. Bir üründe bu üç token alanının gelip gelmediği, sen para harcamadan önce ürün listesinde yazıyor.
Neden tarayıcıdan giriş yapmamalısın?
İşe adresi ve şifreyi Microsoft'un giriş ekranına yazarak başlama. Tarayıcıdaki interaktif giriş, Microsoft'un risk kontrollerini çalıştırdığı yer. Tanımadığı bir IP'den, tanımadığı bir tarayıcıdan ve çoğu zaman başka bir ülkeden gelen ilk giriş, o kontrollerin yakalamak için kurulduğu şeyin ders kitabı tarifi. Telefon numarası, alternatif adres veya ikinci faktör tam olarak o anda soruluyor ve elinde bunlar yoksa oturum orada bitiyor. Bu, hesabın bozuk olduğu anlamına gelmiyor mutlaka. Sadece "asıl sahibi sen misin" diye soran tek kapıyı kullanmış oluyorsun. Token ile erişim ise farklı ve belgelenmiş bir yol: access token zaten o posta kutusu için verilmiş durumda, dolayısıyla IMAP veya Microsoft Graph'a sunduğunda yeni bir interaktif oturum açılmıyor. Bu sıradan OAuth2, telefonundaki mail uygulamasının kullandığı mekanizmanın aynısı. Garanti de değil tabii: Microsoft oturumu geçersiz kılarsa token'lar da onunla birlikte çalışmayı bırakıyor.
IMAP: şifre artık tek başına yetmiyor
Çoğu kişi burada takılıyor, çünkü doğru cevap yakın zamanda değişti. Microsoft, tüketici Outlook, Hotmail ve Live hesapları için basic authentication'ı 16 Eylül 2024'te kapattı. O tarihten önce herhangi bir mail istemcisine sadece adres ve şifre yazıp bağlanabiliyordun. Artık bağlanamıyorsun; şifre bu hesaplarda bir IMAP oturumunu doğrulamıyor. Ama protokolün kendisi kaldırılmadı ve asıl işine yarayacak ayrım bu: Microsoft'un geliştirici dokümantasyonu, IMAP, POP ve SMTP için OAuth2 desteğinin Microsoft 365 kadar Outlook.com kullanıcıları için de geçerli olduğunu yazıyor. Değişen şey kimlik doğrulama adımı. İstemci SASL XOAUTH2 mekanizmasıyla doğruluyor, yani eskiden şifrenin gittiği yere access token'ı gönderiyor; sunucu olarak outlook.office365.com, port 993. Bunu veren kapsam da https://outlook.office.com/IMAP.AccessAsUser.All. Outlook için gerçek OAuth2 desteği olan istemciler, Thunderbird dahil, bu alışverişi senin yerine yapıyor. Google da Gmail'i aynı yöne taşıdı.
Microsoft'un kendi sayfaları bu konuda tutarlı değil ve hesabın arızalı sanmadan önce sebebini bilmekte fayda var. Tüketici destek makalesi, Outlook POP veya IMAP için yapılandırıldıysa modern authentication'ın desteklenmediğini yazıyor; okuyunca IMAP bitmiş gibi duruyor. O cümle Outlook masaüstü istemcisinin kendi POP/IMAP yapılandırmasını anlatıyor, Outlook.com servisini değil, ve XOAUTH2 geliştirici dokümanı bunun tam tersini açıkça söylüyor. Pratikteki sonuç şu: IMAP erişimi sunucunun IMAP'a izin verip vermemesine değil, senin istemcinin OAuth2 destekleyip desteklemediğine bağlı. Sadece şifre göndermeyi bilen eski yazılımlar hata verecek ve bunu bizim tarafımızdaki hiçbir ayar değiştirmiyor. Bu alan iki yıldır hareket halinde, tarihler hem ertelendi hem uygulandı. O yüzden bu sayfadakiler dahil her spesifik iddiayı olduğu gibi kabul etmek yerine küçük bir test partisiyle doğrula. On bin hesabı nasıl bağlayacaksan on hesabı da öyle bağla, önce.
Microsoft Graph: access token ve refresh token
Microsoft Graph, posta kutusunun modern HTTP API'si ve genelde iki yolun kolay olanı. IMAP protokolü konuşan bir istemci isterken, Graph düpedüz bir REST çağrısı: access token'ı Authorization başlığında bearer token olarak gönderiyorsun, mesajlar JSON olarak dönüyor; adres https://graph.microsoft.com/v1.0/me/messages. Aklında kalması gereken mekanik ise token ömrü. Access token tasarımı gereği kısa ömürlü. Microsoft süresini kendi takvimine göre doldurtuyor ve dolduğu anda bütün istekler 401 dönmeye başlıyor. Bu, hesabın ölmesi değil ve bize en sık gelen yanlış alarm da tam olarak bu. Refresh token ikilinin uzun ömürlü olanı: Microsoft kimlik platformunun token ucuna client ID ile birlikte POST ediyorsun, karşılığında yeni bir access token alıyorsun. Yani saklayacağın şey refresh token, harcanabilir gözüyle bakacağın şey access token. Yenilemeyi de zamanlayıcıya değil, gelen 401'e bağlamak doğrusu.
Client ID ne işe yarıyor, silinebilir mi?
Client ID, insanların sildiği alan, çünkü kimlik bilgisinden çok künye gibi duruyor. Ne isteğe bağlı ne de süs. OAuth2'de token sadece bir hesap için verilmiyor, aynı zamanda bir uygulamaya veriliyor ve client ID o uygulamanın kimliği. Refresh token'ı yeni bir access token'la takas ederken kimlik platformu isteği hangi uygulamanın yaptığını bilmek istiyor ve cevabın, token'ın en başta verildiği uygulamayla aynı olması gerekiyor. Refresh token'ı farklı bir client ID ile gönderirsen istek reddediliyor. Alanın hesapla birlikte gelmesinin sebebi bu: o olmadan refresh token işlevsiz kalıyor ve access token'ın süresi dolduğu anda elinde sunacak bir şey kalmıyor. Ayrıca satın almadan önce sorulan bir soruyu da cevaplıyor, yani işin içinde neden bir uygulama olduğunu. Dünyadaki her OAuth2 token'ı kayıtlı bir uygulamaya verilir. Üç token alanını tek bir kayıt olarak birlikte tut.
Hiç kurulum yapmadan mail okuma: dahili okuyucu ve API
Mail okumak için hiçbir şey yapılandırmak zorunda değilsin. Hotmail ve Outlook hesaplarında siparişlerinden hesabı açıyorsun, dahili okuyucu hesabın kendi bilgileriyle gelen kutusunu tarayıcıya çekiyor, doğrulama kodları dahil. İstemci yok, elinde token tutman gerekmiyor, Microsoft giriş ekranı da yok. Aynı işi HTTP üzerinden yapacaksan iki uç var. GET https://api.xmailhub.net/api/publicapi/mailreader/:apiKey bir hesabın mailini okuyor, GET https://api.xmailhub.net/api/publicapi/mailinfo/:apiKey ise hesabın mail bilgisini dönüyor. İkisi de API anahtarını yol üzerinde alıyor; anahtar hesabındaki API sayfasında duruyor ve istediğin an yenileyebilirsin. Anahtar istemeyen bir uç daha var: GET https://api.xmailhub.net/api/publicapi/stock canlı stoğu kimlik doğrulaması olmadan dönüyor, yani satın alma tarafını yazmadan önce stok kontrolünü rahatça kurabiliyorsun. Tek bir gelen kutusuna şimdi bakacaksan okuyucu, döngünün sen başında beklemeden dönmesi gerekiyorsa API doğru araç.
Yeni partiyle ilk saat: ne yapmalı
Ölçeklemeden önce üç şey yap. Birincisi, az al. Taze hesap 0,004 dolar, trusted hesap 0,040 dolar; on hesaplık bir test birkaç sent tutuyor ve sana bu sayfa dahil hiçbir metnin anlatamayacağı kadar şey söylüyor. Test ederken hesapları üretimdeki kodun bağlanacağı şekilde bağla, çünkü IMAP, Graph ve dahili okuyucunun hata verme biçimleri gerçekten farklı. İkincisi, kaydın tamamını sakla. Adres, şifre, refresh token ve client ID aynı satırda durmalı; kaybetmeyi göze alabileceğin tek alan access token, çünkü yenisini zaten üretebiliyorsun. Üçüncüsü, tutmayı planladığın hesaplarda şifreyi değiştir, çünkü değiştirene kadar bilgiler teslimattan önce nerede duruyorsa orada durmaya devam ediyor. Şunu da bilerek yap: Microsoft hesabında şifre değiştirmek mevcut token'ları geçersiz kılabiliyor, yani iş akışın token'lara dayanıyorsa bir erişimi diğerine takas ediyor olabilirsin. Önce hangisine ihtiyacın olduğuna karar ver. Buradaki hiçbir şey bir hesabın herhangi bir platformun kontrollerinden geçeceğini vaat etmiyor, dürüst hiçbir sayfa da edemez.
Sık sorulan sorular
Giriş yapmaya çalışınca telefon doğrulama istiyor, ne yapmalıyım?
+
Çünkü tarayıcıdaki interaktif girişi kullanıyorsun ve Microsoft risk kontrollerini orada çalıştırıyor. Yeni bir IP'den, yeni bir tarayıcıdan ve çoğu zaman başka bir ülkeden gelen ilk giriş, o kontrollerin sorgulamak üzere tasarlandığı davranışın kendisi. Bu yüzden telefon numarası, alternatif adres veya ikinci faktör isteyip asıl sahibi olduğunu doğrulamaya çalışıyor. Bu, hesabın öldüğü anlamına gelmiyor. Kullandığın giriş yolunun senin işine uygun olmadığı anlamına geliyor. Hesapta OAuth2 token'ları geldiyse tarayıcıyla uğraşmak yerine IMAP veya Microsoft Graph üzerinden token'ı kullan; token ile erişim isteği yeni bir interaktif oturum açmadan yetkilendiriyor. Hesap token'sız geldiyse tarayıcıdaki giriş tek yolun ve orada çıkan bir doğrulama ekranını bizim tarafımızdan kaldırabileceğimiz bir şey yok.
Sadece mail ve şifreyle IMAP'a bağlanabilir miyim?
+
Microsoft tüketici hesaplarında hayır. Microsoft, Outlook, Hotmail ve Live hesaplarında basic authentication'ı 16 Eylül 2024'te kapattı, yani bu hesaplarda şifre bir IMAP oturumunu artık doğrulamıyor. Birkaç yıl önce aynı şeyi sorunsuz yapmış olanlar için şaşırtıcı oluyor. IMAP'in kendisi çalışmaya devam ediyor: Microsoft'un geliştirici dokümantasyonu Outlook.com hesapları için IMAP, POP ve SMTP üzerinde OAuth2 desteğini doğruluyor. Ancak istemcinin SASL XOAUTH2 ile doğrulama yapması ve şifre yerine access token göndermesi gerekiyor; sunucu outlook.office365.com, port 993. Yani soru aslında şu: senin istemcin Outlook için OAuth2 destekliyor mu? Thunderbird gibi güncel olanlar destekliyor. Sadece şifre göndermeyi bilen eski script'ler ve cihazlar desteklemiyor ve bunu bizim tarafımızdaki bir ayar çözmüyor. Google da Gmail'i aynı yöne taşıdı, yani şifreyle erişim genel olarak daralıyor.
Access token'ın süresi doldu, hesap öldü mü?
+
Büyük ihtimalle hayır ve bu bize gelen en yaygın yanlış alarm. Access token'lar bilerek kısa ömürlü. Microsoft süreyi kendi takvimine göre doldurtuyor ve dolduğu anda posta kutusu sapasağlam olsa bile bütün istekler 401 dönüyor. Refresh token tam olarak bunun için var. Onu client ID ile birlikte Microsoft kimlik platformunun token ucuna POST ediyorsun, yeni access token'ı alıyorsun ve kaldığın yerden devam ediyorsun. Bir hesabı 401 gördüğün için çöpe atma. Önce yenile; yenileme de başarısız olursa o zaman elinde gerçek bir sinyal var demektir. Yenilemeyi zamanlayıcıya değil 401'e bağlamak da işini kolaylaştırır, çünkü token ömrünü tahmin etmek kırılgan bir yöntem ama hata mesajı geldiğinde son derece net.
Refresh token ne işe yarıyor, ne yapmalıyım?
+
Sakla. Hesabı zaman içinde kullanılabilir tutan alan bu. Hesapla gelen access token'ın süresi dolacak ve dolduğunda yenisini almak için refresh token'ı client ID ile birlikte Microsoft kimlik platformunun token ucuna POST edeceksin. Ona şifre gibi davran: kalıcı bir kimlik bilgisi, yani kodun içine gömme, ekran görüntüsüyle paylaşma, projendeki gizli bilgi yönetimi neyse orada tut. Hesapları bir tabloda tutuyorsan refresh token ve client ID, adresin yanındaki sütunlarda durmalı. Sadece adres, şifre ve access token'ı kaydedenler sorunu bir saat sonra fark ediyor: access token'ın süresi doluyor ve yenilemek için ellerinde hiçbir şey kalmıyor.
Client ID nedir, silebilir miyim?
+
Silme. OAuth2'de token bir hesap için olduğu kadar bir uygulamaya da verilir ve client ID o uygulamanın kimliğidir. Refresh token'ı yeni bir access token'la her takas edişinde ona ihtiyacın var, çünkü kimlik platformu isteği yapan uygulamanın, token'ın verildiği uygulama olup olmadığını kontrol ediyor. Yanlış client ID ile gönderilen refresh token isteği reddediliyor. Token'lar kadar gizli bir bilgi değil, ama zaten verilmiş bir token için kendi uygulama kaydınla değiştirebileceğin bir şey de değil. Diğer iki alanla birlikte tek kayıt olarak sakla ve yenileme isteğinde gönder, hepsi bu.
Kurulum yapmadan gelen kutusunu nasıl okurum?
+
Dahili okuyucuyu kullan. Siparişlerinden hesabı açıyorsun, gelen kutusu hesabın kendi bilgileriyle tarayıcıda yükleniyor, doğrulama kodları dahil. Kurulacak istemci, yapılandırılacak IMAP sunucusu ve geçilecek Microsoft giriş ekranı yok. Hotmail ve Outlook hesaplarında çalışıyor, çünkü ikisi de aynı Microsoft altyapısında. Aynı işi HTTP üzerinden yapmak istersen GET https://api.xmailhub.net/api/publicapi/mailreader/:apiKey hesabın mailini okuyor, GET https://api.xmailhub.net/api/publicapi/mailinfo/:apiKey ise mail bilgisini dönüyor; ikisinde de API anahtarın yolun içinde. Tek bir gelen kutusuna şimdi bakacaksan okuyucu doğru araç. Döngünün sen başında beklemeden dönmesi gerekiyorsa API doğru araç.
Satın aldığım hesabın şifresini değiştirmeli miyim?
+
Tutacaksan evet, hem de hemen. Şifreyi değiştirene kadar hesap bilgileri teslimattan önce nerede duruyorsa orada durmaya devam ediyor ve posta kutusunu yalnızca senin yapan tek adım bu. Bir kez kullanıp bırakacağın hesapta ise otuz saniyeye değmez, zaten atacaksın. Yapmadan önce bilmen gereken bir detay var: Microsoft hesabında şifre değiştirmek, o hesap için verilmiş token'ları geçersiz kılabiliyor. Yani iş akışın tarayıcıdaki girişe değil de refresh token'a dayanıyorsa, bir erişim biçimini diğerine takas ediyor olabilirsin. Önce hangisine ihtiyacın olduğuna karar ver. Hesabı aylarca tutacaksan güvence altına alman gereken şey şifre. Maili script'ten okuyacaksan token'lar.
İlgili sayfalar
Çalışacak hesaba mı ihtiyacın var?
Canlı stok, taze 0,004 dolardan, trusted 0,040 dolar civarı, Microsoft partilerinin çoğunda token dahil.
Mağazayı aç →