Is Outlook Down Right Now?: Outlook login not working? What caused Microsoft Outlook outage today — and was it Hacked?
Outlook saldırıya uğramadı. Hesabınız ihlal edilmedi. E-postalarınız sağlam. Microsoft’un kendi kimlik doğrulama sunucuları çöktü ve cihazınızda yaptığınız her düzeltme, Microsoft altyapılarını onarana kadar boşa harcanan çabadır. Şifrenizi sıfırlamayı bırakın. Uygulamayı yeniden yüklemeyi bırakın. Beklemek.
Outlook Şu anda Kapalı mı?
27 Nisan 2026 Pazartesi günü sabah saat 9’dan önce Microsoft’un Outlook kimlik doğrulama sunucuları hata vermeye başladı. Yavaş yavaş değil. Kısmen değil. Kullanıcı ile gelen kutusu arasında duran sistem olan kimlik doğrulama katmanı işini tamamlamayı bıraktı. Oturum açma istekleri aldı ve kullanışlı hiçbir şey döndürmedi. Kullanıcılar başlangıca geri gönderildi. Tekrar tekrar.
Sabah 11’e gelindiğinde Downdetector’a 800’den fazla rapor ulaştı. Etkilenen kullanıcıların %60’ından fazlası hiç giriş yapamadı. Diğer %10’luk kesim ise e-posta aldıklarını ancak açamadıklarını bildirdi. Microsoft Outlook kesintisi canlı yayındaydı, yayılıyor ve hızlanıyordu ve şirket kamuoyuna kesinlikle hiçbir şey söylememişti.
Dört gün süren bu sessizlik, kesintinin kendisi kadar önemli. Bu, neyin kırıldığının, neden bir hack gibi göründüğünün, Microsoft’un neyi ne zaman bildiğinin ve bu çöküşün küresel e-postayı bir arada tutan altyapı hakkında neler ortaya çıkardığının tam hikayesidir.
Outlook kesintisi Pazartesi sabahı herhangi bir uyarı yapılmadan ortaya çıkmadı. Kullanıcılar, kimlik doğrulama katmanı tamamen çökmeden önce art arda dört gün boyunca istikrarsızlığın giderek arttığını bildiriyordu. Bildirimler geldi ancak dokunulduğunda hiçbir yere gitmiyordu. Hesaplar aynı oturumda tekrar tekrar oturum açılmasını gerektiriyordu. Mobil uygulama kısmen yüklendikten sonra dondu. Her semptom bir sinyaldi. Hiçbiri Microsoft’tan genel bir yanıt tetiklemedi.
23 Nisan Perşembe – Outlook uygulamasındaki aksaklıklar ve tekrarlanan oturum açma istemleriyle ilgili ilk kullanıcı raporları Microsoft: sessiz
24 Nisan Cuma – Bildirimler geliyor ancak açılmıyor; mobil uygulama yükte donuyor
Microsoft: sessiz
25 Nisan Cumartesi – E-postaların web üzerinden teslim edilmesine rağmen masaüstünde “gönderilmedi” hataları raporları
Microsoft: sessiz
26 Nisan Pazar – Oturum başına birden çok kez yeniden kimlik doğrulama gerektiren hesaplar
Microsoft: sessiz
27 Nisan Pazartesi – Sabah 9’dan önce tam kimlik doğrulaması çöktü. Sabah 11’e kadar 800’den fazla Downdetector raporu
Microsoft: onaylandı
Microsoft, kesintiyi ancak kullanıcılar Pazartesi sabahı sosyal medyayı ve Downdetector’ı raporlarla doldurduktan sonra kabul etti. Microsoft’un kesintileri kullanıcılarına ilettiği resmi kanalı olan Hizmet Sağlığı kontrol paneli, ancak çöküşün göz ardı edilmesi imkansız hale gelmesinden sonra bir “hizmet bozulması” bildirimi yayınladı. Dört gün süren uyarı işaretleri kamuoyuyla iletişimin sıfır olmasına neden oldu. Bir viral kullanıcı şikayeti dalgası, bir saat içinde resmi bir açıklama yapılmasını sağladı.
“Uygulama yaklaşık dört gündür sorun yaşıyor. Bu, ikinci kez kaldırıp yeniden yüklemek zorunda kalışım. Artık hesaplarımın kimlik doğrulamasını hiçbir şekilde sağlayamıyorum.” — Downdetector kullanıcısı, 27 Nisan
Microsoft’un Outlook Sunucularında Teknik Olarak Neler Kırıldı?
Outlook kesintisini anlamak için kimlik doğrulamanın gerçekte ne yaptığını anlamanız gerekir. Outlook’u açıp kimlik bilgilerinizi girdiğinizde, cihazınız yalnızca şifrenizi bir listeyle kontrol etmez. Microsoft’un kimlik sunucularıyla, özellikle de tüm Microsoft tüketici ve kurumsal hesaplarını destekleyen Azure Active Directory altyapısıyla çok adımlı bir şifreleme alışverişi başlatır.
Bu takas şu şekilde işliyor. Uygulamanız Microsoft’un kimlik doğrulama uç noktasına bir istek gönderir. Sunucu, kimliğinizi Outlook’un posta sunucularına kanıtlayan geçici bir şifreleme anahtarı olan bir oturum belirteci oluşturur. Uygulamanız jetonu alır ve gelen kutunuza erişmek için kullanır. Her oturum, her senkronizasyon, her gönderim, bu belirtecin doğru şekilde verilmesine ve aşağı akış hizmetleri tarafından kabul edilmesine bağlıdır.
Pazartesi sabahı bu token oluşturma süreci sona erdi. Microsoft’un kimlik doğrulama sunucuları oturum açma istekleri aldı ancak geçerli oturum belirteçlerini döndüremedi. Uygulamaların posta sunucularına sunacak belirteci yoktu. Bu nedenle posta sunucuları erişimi reddetti. Geçerli bir oturumu olmayan ve görüntülenecek net bir hata bulunmayan uygulamalar, varsayılan olarak gerçekleştirebilecekleri tek eylemi belirledi: kullanıcıyı oturum açma ekranına geri gönderin ve tekrar deneyin.
Teknik arıza — neyin başarısız olduğu ve nerede
Başarısız katman – Azure AD kimlik doğrulama uç noktası aracılığıyla OAuth 2,0 belirteci verilmesi
Belirti – Kimlik doğrulama sunucusu kimlik bilgilerini alıyor, geçerli oturum belirtecini döndüremiyor
Uygulamalar üzerindeki etkisi – Uygulamalar sonsuz oturum açma döngüsüne girer; belirtecin olmaması, gelen kutusu erişiminin olmadığı anlamına gelir
2FA üzerindeki etkisi – 2FA doğru şekilde tamamlanıyor ancak jeton hâlâ yayınlanmıyor — döngü devam ediyor
Üçüncü taraf istemciler – Apple Mail, Thunderbird tamamen engellendi; geri dönüş yolu yok
Web sürümü – Kısmen işlevsel – farklı kimlik doğrulama yolu sınırlı erişim sağlar
Konumu düzeltme – Yalnızca sunucu tarafı — hiçbir yerel eylem sorunu çözmez
Üçüncü taraf istemciler ile resmi web uygulaması arasındaki asimetri özellikle açıklayıcıdır. Apple Mail ve Thunderbird, Microsoft posta sunucularına erişmek için IMAP ve SMTP protokollerini kullanıyor ancak kimlik doğrulama için hâlâ OAuth belirteçlerine bağlılar. Token basımı bozulduğunda, bu istemciler herhangi bir geri dönüş olmaksızın erişimi tamamen kaybettiler. Resmi Outlook web uygulaması, başarısızlıktan kısmen kurtulan, biraz farklı bir kimlik doğrulama yolu kullanıyor ve bazı kullanıcılara, uygulamaları tamamen kilitlenmiş olsa bile bir tarayıcı aracılığıyla okuma erişimi sağlıyor.
Bu fark bir tasarım zaferi değil. Bu bir mimarlık kazasıdır. Ve bu, “yalnızca web sürümünü kullanın” tavsiyesinin yalnızca bazı kullanıcılar için (hesapları kısmi işlevi koruyan sunuculara bağlanan kullanıcılar için) işe yaradığı anlamına geliyor.
Outlook Hacklendi mi? Neden Böyle Hissettim – ve Neden Değildi?
Hayır. Outlook saldırıya uğramadı. Bir güvenlik ihlaline, kullanıcı hesaplarına yetkisiz erişime ve veri sızıntısına dair bir kanıt yoktur. Microsoft herhangi bir güvenlik önerisi yayınlamamıştır. Kimlik doğrulama hatası bir izinsiz giriş değil, altyapının çökmesiydi.
Ancak kesinti, koşullar gereği tam olarak bir ihlal gibi hissettirecek şekilde tasarlandı. Kullanıcıların neler deneyimlediğini düşünün. Outlook oturum açma bilgileri herhangi bir açıklama yapılmadan çalışmayı durdurdu. Uygulama, hesaplarının “kimliğinin doğrulanmadığına” dair uyarılar görüntüledi; bu, harici bir şeyin hesap durumunuzu değiştirdiğini ima eden bir dildi. Beklenmedik şifre istemleri, birisinin şifrenizi uzaktan değiştirmesi durumunda olduğu gibi, oturumun ortasında belirdi. 2FA adımı tetiklendi ancak sonuç vermedi; bu, bir devralma girişiminden sonra kilitlenen bir hesabın neye benzediğini yansıtıyor.
Bu sinyallerin her biri uzlaşmaya işaret ediyordu. Hiçbiri değildi. Bunların hepsi, standart bir kimlik doğrulama sırasını tamamlayamayan bir sunucunun belirtileriydi; iletişim kurması gereken belirli bir hata olmadığından genel hata durumlarını gösteriyordu.
Bir altyapı arızası bir güvenlik ihlalini taklit ettiğinde kullanıcılar, gerçek restorasyonu zorlaştıran yıkıcı kurtarma eylemleri (şifre sıfırlama, hesap kilitleme, kurtarma e-postası değişiklikleri) gerçekleştirir. Microsoft’un hata mesajları bu arıza modu için tasarlanmamıştır. Yüzbinlerce kişiye aynı anda yanlış hikayeyi aktardılar.
Reddit’teki çok sayıda kullanıcı, sorunun kişisel değil, yaygın olduğunu fark ettikleri anı anlattı. Biri, kesintiyi doğrulayan bir Downdetector ileti dizisi görmeden önce şifrelerini zaten iki kez değiştirdiklerini ve ek güvenlik önlemlerini etkinleştirdiklerini yazdı. Bir diğeri, Microsoft Hizmet Sağlığı bildirimi ortaya çıkmadan önce olası e-posta ihlallerini işaretlemek için bankalarını aradıklarını söyledi. Microsoft’un dört günlük sessizliğinin insani maliyeti, rahatsızlığın çok ötesine geçti.
Outlook Oturum Açma Döngüsü Açıklaması — Denediğiniz Hiçbir Şey Neden Çalışmıyor?
Oturum açma döngüsü, bu Outlook kesintisinin en çıldırtıcı özelliğidir. Yüksek sesle başarısız olmaz. Açık bir hata göstermiyor. Sizi yalnızca başlangıca döndürür; sonsuza dek, sabırla, hiçbir açıklama ya da çıkış sunmadan.
İşte tam olarak nedeni. Outlook uygulamanız kimlik bilgilerinizi Microsoft’un kimlik doğrulama sunucusuna gönderir. Sunucu isteği işler. Bir oturum belirteci oluşturmaya çalışır. Belirteç oluşturma işlemi dahili olarak sessizce başarısız olur. Sunucu eksik veya geçersiz bir yanıt döndürüyor. Uygulamanız bunu alır, geçerli bir belirteç bulamaz ve oturum açma işleminin başarısız olduğunu belirler. Giriş ekranını tekrar görüntüler. Tekrar dene. Sunucu yine başarısız oluyor. Döngü devam ediyor.
İki faktörlü kimlik doğrulama, bozuk boru hattının içinde yer aldığından yardımcı olmuyor. 2FA kodunuzu girdiğinizde doğru bir şekilde alınır ve doğrulanır. Ancak bir sonraki adım olan doğrulanmış kimliğin kullanılabilir bir oturum belirtecine dönüştürülmesi, sunucunun başarısız olduğu yerdir. Doğru 2FA yanıtınız bozuk bir süreçte kaybolur ve hiçbir şey döndürmez. Uygulama hiçbir jeton görmüyor. Giriş ekranına geri dönün.
Uygulama bozuk olmadığı için uygulamayı kaldırıp yeniden yüklemek işe yaramıyor. Doğru davranıyor; kimlik doğrulama istiyor, hata alıyor, bunu oturum açma hatası olarak bildiriyor. Yeniden yükleme, aynı bozuk sunucuya aynı isteği yapacak ve aynı bozuk yanıtı alacak bir uygulamanın yeni bir kopyasını size verir.
Sunucu, parola doğrulama işleminde başarısız olmadığından parolanızı sıfırlamanın bir faydası olmaz. Belirteç üretiminden sonra başarısız olur. Yeni bir parola aynı bozuk işlem hattından geçer ve aynı eksik jetonu üretir.
Microsoft Outlook Kesintisinden Kimler Etkileniyor ve Neler Hala Çalışıyor?
Kesinti en çok tüketici Microsoft hesaplarını (Outlook.com ve Hotmail adresleri) etkiledi. Ayrı bir kimlik doğrulama altyapısı kullanan kurumsal Microsoft 365 hesapları büyük ölçüde etkilenmemiş görünüyor. Kesinti, ticari kimlik yığınında değil, tüketici kimlik yığınında yoğunlaşıyor.
Coğrafi olarak Birleşik Krallık’taki kullanıcılar, sabah 11’e kadar 700’den fazla raporla Downdetector’daki en büyük rapor yoğunluğunu temsil ediyor. Ancak kesinti küresel. Avrupa, Kuzey Amerika ve Asya’daki kullanıcılardan raporlar geldi. Bu bölgesel bir altyapı hatası değil. Etkilenen sunucular uluslararası tüketici trafiğine hizmet ediyor.
Hala neyin işe yaradığı, erişim yöntemine göre büyük ölçüde değişiklik gösterir. Outlook.com’da bir tarayıcı aracılığıyla erişilen Outlook web uygulaması en kararlı yoldur. Bazı kullanıcılar burada tam okuma erişimi olduğunu bildiriyor. Diğerleri kısmi erişim bildiriyor. E-posta göndermek tüm yöntemlerde güvenilmezdir; bazı kullanıcılar, web sürümünde kontrol edildiğinde e-postaların gerçekten teslim edilmesine rağmen masaüstünde “gönderilmedi” hataları görüyor. Mobil uygulama ve masaüstü istemcisi en ciddi şekilde etkilenmektedir. Üçüncü taraf istemciler etkili bir şekilde tamamen engellenir.
Microsoft’un Yanıtı – Şirketin Ne Söylediği, Ne Zaman Söylediği ve Neyi Dışarıda Bıraktığı
Microsoft’un resmi yanıtı, çoğu kullanıcının daha önce hiç ziyaret etmediği ve bir kesinti sırasında kontrol etmeyi düşünmediği bir sayfa olan Hizmet Sağlığı kontrol panelinden geldi. Bildirim, Outlook.com ve Hotmail’i etkileyen “hizmet bozulması”nı doğruladı. Mühendisler olayın temel nedenini araştırıyor. Soruşturma ilerledikçe sürekli güncellemeler yayınlanacaktır. Çözüm için herhangi bir zaman çizelgesi sağlanmadı.
Bu yanıt teknik olarak yeterlidir. Zaman çizelgesi konusunda dürüst değil. Microsoft’un hizmet izleme sistemleri, anormal kimlik doğrulama başarısızlık oranlarını, 800 kullanıcının Downdetector raporlarını göndermesinden çok önce tespit etmiş olurdu. Dahili kontrol panelleri, token ihraç oranlarını gerçek zamanlı olarak izler. Başarılı kimlik doğrulamadaki ani bir çöküş, başlangıçtan itibaren birkaç dakika içinde otomatik uyarıları tetikleyecektir.
Microsoft’un sistemlerinin bir şeylerin yanlış olduğunu anlaması ile şirketin kamuya açık bir şekilde iletişim kurması arasındaki fark teknik bir gecikme değildir. Bu bir iletişim tercihidir. Ve bugünkü çöküşten önceki dört gün süren istikrarsızlık boyunca, bu seçim sürekli olarak sessizlikten yana yapıldı.
Microsoft, güncellemeleri yayınlamayı taahhüt etmiştir. Şirket, sunucu tarafında bir düzeltme uygulanmadan önce yerel sorun gidermenin sorunu çözmeyeceğini açıkça belirtti. Bunlar doğru ve faydalı bilgiler. 96 saat önce çok daha faydalı olurdu.
