DNS Yönetimi Rehberi: A, CNAME, MX, TXT Kayıtları ve Propagasyon Süreleri

1. DNS Nedir ve Nasıl Çalışır?

DNS (Domain Name System), internetin telefon rehberi olarak bilinir. İnsanların kolayca hatırlayabileceği alan adlarını (örneğin datassl.com), bilgisayarların anlayabileceği IP adreslerine (93.184.216.34) çeviren dağıtık bir veritabanı sistemidir.

Bir web sitesine erişmek istediğinizde tarayıcınız önce yerel DNS önbelleğini kontrol eder. Burada bulamazsa ISP'nin DNS sunucusuna, ardından root DNS sunucularına, TLD sunucularına ve son olarak yetkili (authoritative) DNS sunucusuna sorgu gönderir. Bu süreç genellikle milisaniyeler içinde tamamlanır.

DNS çözümleme süreci 4 temel aşamadan oluşur: DNS Resolver (ISP'nin sunucusu), Root Server (13 adet dünya genelinde), TLD Server (.com, .net, .tr gibi), Authoritative Server (alan adının gerçek kayıtlarını tutan sunucu). Her aşamada önbellekleme yapılarak performans artırılır.

Modern DNS altyapısı güvenlik açısından da kritik önem taşır. DNS Spoofing, DNS Cache Poisoning ve Man-in-the-Middle saldırılarına karşı DNSSEC (DNS Security Extensions) protokolü kullanılarak DNS yanıtlarının doğruluğu kriptografik olarak garanti altına alınır.

2. A ve AAAA Kayıtları

A Kaydı (Address Record), bir alan adını IPv4 adresine yönlendiren en temel DNS kaydıdır. Örneğin: datassl.com → 93.184.216.34. Her web sitesinin en az bir A kaydı olmalıdır.

Birden fazla A kaydı tanımlayarak basit yük dengeleme (Round Robin DNS) yapabilirsiniz. DNS sunucusu, her sorguda farklı IP adresi döndürerek trafiği sunucular arasında dağıtır. Ancak bu yöntem sağlık kontrolü yapmaz, bu nedenle profesyonel ortamlarda load balancer kullanılması önerilir.

AAAA Kaydı (Quad-A), IPv6 adresleri için kullanılır. IPv4 adres havuzu tükendiği için IPv6 geçişi hızlanmaktadır. Modern web siteleri hem A hem de AAAA kaydı tanımlayarak dual-stack yapılandırma kullanmalıdır. Örnek: datassl.com → 2001:0db8:85a3::8a2e:0370:7334.

TTL (Time To Live) değeri, A kaydının ne kadar süre önbellekte tutulacağını belirler. Düşük TTL (300 saniye) değeri hızlı değişiklik imkanı sunar ancak DNS sorgularını artırır. Yüksek TTL (86400 saniye = 24 saat) performansı artırır ancak değişikliklerin yayılması uzar. Standart web siteleri için 3600 saniye (1 saat) önerilen değerdir.

3. CNAME, MX ve TXT Kayıtları

CNAME (Canonical Name) kaydı, bir alan adını başka bir alan adına yönlendirir. Alt alan adları (subdomain) için idealdir. Örnek: www.datassl.com → datassl.com veya blog.datassl.com → hosting.provider.com. Dikkat: CNAME kaydı root domain'de kullanılamaz ve aynı isim için başka kayıt türüyle birlikte tanımlanamaz (CNAME exclusivity kuralı).

MX (Mail Exchange) kaydı, e-posta trafiğini doğru sunucuya yönlendirir. Priority (öncelik) değeri ile primary ve backup mail sunucuları belirlenir. Düşük sayı = yüksek öncelik. Örnek yapılandırma: MX 10 mail.datassl.com (birincil), MX 20 backup.datassl.com (yedek). Google Workspace kullanıyorsanız Google'ın MX kayıtlarını tanımlamanız gerekir.

TXT Kaydı, metin tabanlı bilgi saklama amaçlı kullanılır. Günümüzde en yaygın kullanım alanları:

• SPF (Sender Policy Framework): E-posta gönderim yetkisi — v=spf1 include:_spf.google.com ~all
• DKIM (DomainKeys Identified Mail): E-posta imza doğrulama
• DMARC: SPF ve DKIM politikası — v=DMARC1; p=reject; rua=mailto:dmarc@datassl.com
• Domain doğrulama: SSL sertifikası, Google Search Console, Microsoft 365 doğrulaması

SSL sertifikası için CAA (Certificate Authority Authorization) TXT kaydı da önemlidir. Bu kayıt, hangi sertifika otoritelerinin alan adınız için SSL sertifikası düzenleyebileceğini belirler: CAA 0 issue "sectigo.com".

4. NS ve SRV Kayıtları

NS (Name Server) kaydı, alan adınızın DNS yönetiminden hangi sunucuların sorumlu olduğunu belirtir. Domain registrar'ınızda NS kayıtlarını değiştirerek DNS yönetimini Cloudflare, AWS Route 53 veya başka bir DNS sağlayıcısına devredebilirsiniz.

NS değişikliği yapıldığında, propagasyon süresi genellikle 24-48 saat sürer. Bu süre zarfında bazı kullanıcılar eski, bazıları yeni DNS sunucusundan yanıt alabilir. Bu nedenle NS değişikliğini trafiğin düşük olduğu saatlerde yapmak önerilir.

SRV (Service Record) kaydı, belirli servislerin hangi sunucu ve port üzerinden çalıştığını tanımlar. VoIP (SIP), anlık mesajlaşma (XMPP), oyun sunucuları ve Microsoft Teams/Skype for Business gibi uygulamalar için kullanılır.

SRV kayıt formatı: _service._proto.name TTL class SRV priority weight port target. Örnek: _sip._tcp.datassl.com 3600 IN SRV 10 60 5060 sipserver.datassl.com. Priority ve weight değerleri ile yük dengeleme ve failover yapılandırması sağlanır.

5. DNS Propagasyon Süreleri ve Sorun Giderme

DNS propagasyonu, DNS kayıtlarındaki değişikliklerin dünya genelindeki tüm DNS sunucularına yayılma sürecidir. Kayıt türüne göre propagasyon süreleri değişir:

• A/AAAA Kaydı: 1-24 saat (TTL değerine bağlı)
• CNAME: 1-4 saat
• MX: 1-24 saat
• TXT: 1-12 saat
• NS: 24-48 saat (en uzun süren değişiklik)

Propagasyon süresini hızlandırmak için değişiklik öncesinde TTL değerini düşürün (örneğin 300 saniye). Değişiklik tamamlandıktan sonra TTL'yi tekrar normal seviyeye çıkarın. Bu teknik, planlı göçlerde ve sunucu değişikliklerinde çok kullanışlıdır.

DNS sorunlarını teşhis etmek için nslookup, dig ve online araçlar (MXToolbox, DNSChecker.org) kullanabilirsiniz. dig datassl.com A +trace komutu, DNS çözümleme sürecinin her adımını gösterir ve sorunun hangi aşamada olduğunu belirlemenize yardımcı olur.

6. DNS Güvenliği ve SSL Sertifikası İlişkisi

DNS güvenliği, SSL sertifikanızın doğru çalışması için kritik öneme sahiptir. DNS kayıtları manipüle edilirse, saldırganlar trafiği kendi sunucularına yönlendirip sahte SSL sertifikası ile kullanıcı verilerini çalabilir (DNS Hijacking).

DNSSEC protokolü, DNS yanıtlarını dijital olarak imzalayarak bu tür saldırıları önler. DNSSEC aktifleştirildiğinde, her DNS yanıtı kriptografik olarak doğrulanır ve manipüle edilmiş yanıtlar reddedilir.

CAA Kaydı ile SSL sertifikanızın güvenliğini artırın. CAA kaydı, hangi sertifika otoritelerinin (CA) alan adınız için sertifika düzenleyebileceğini kontrol eder. Bu sayede yetkisiz CA'lar tarafından sahte sertifika düzenlenmesi engellenir.

DNS tabanlı domain doğrulama (DV SSL) sürecinde, sertifika otoritesi belirli bir TXT veya CNAME kaydı eklemenizi ister. Bu kayıt, alan adının gerçekten size ait olduğunu kanıtlar. DataSSL'nin SSL sertifikaları, hızlı DNS doğrulama ile dakikalar içinde aktifleştirilir.