Alan Adı & DNS

    Wildcard DNS Kaydı Nedir

    Tüm alt alan adlarını tek kayıtla yöneten wildcard DNS kaydının kullanımı.

    12 dk okuma Güncellendi: 10 Temmuz 2026

    Bir alan adının altında tek tek alt alan adı tanımlamak, birkaç servis için gayet makuldür. Ama uygulamanız her yeni müşteri için musteri1.uygulamam.com, musteri2.uygulamam.com gibi onlarca hatta binlerce alt alan adı üretiyorsa, her biri için ayrı bir DNS kaydı açmak sürdürülemez hale gelir. İşte tam bu noktada wildcard (joker) DNS kaydı devreye girer: tek bir kayıtla, henüz tanımlamadığınız bütün alt alan adlarını aynı hedefe yönlendirirsiniz.

    Wildcard kayıtları, yıldız (*) karakteriyle gösterilir ve DNS'in en pratik ama en yanlış anlaşılan özelliklerinden biridir. Doğru kullanıldığında bir SaaS mimarisini ayakta tutar; yanlış kullanıldığında ise sizi subdomain takeover gibi ciddi güvenlik açıklarına ve beklenmedik yönlendirmelere sürükler. Bu rehberde wildcard'ın tam olarak neyi çözdüğünü, DNS çözümleme sırasında nasıl davrandığını, daha özel kayıtlarla nasıl ezildiğini ve üretim ortamında hangi tuzaklara dikkat etmeniz gerektiğini gerçek örneklerle anlatacağız.

    Wildcard DNS Kaydı Nedir#

    Wildcard DNS kaydı, alan adının sol tarafına * yazılarak oluşturulan ve o ana alan adının açıkça tanımlanmamış tüm alt alan adlarını kapsayan bir kayıttır. Örneğin *.uygulamam.com şeklinde bir A kaydı tanımlarsanız; alpha.uygulamam.com, beta.uygulamam.com, rastgele-birsey.uygulamam.com gibi daha önce hiç oluşturmadığınız her isim, wildcard'ın işaret ettiği IP adresine çözümlenir.

    Kritik nokta şudur: wildcard yalnızca eşleşmeyen istekleri yakalar. Yani DNS bölgenizde zaten posta.uygulamam.com için ayrı bir kayıt varsa, bu isim geldiğinde wildcard hiç devreye girmez; kendi özel kaydı kullanılır. Wildcard bir "yakalayıcı" (catch-all) gibi düşünülebilir: elinde açık adı olan herkes kendi kapısından girer, adı listede olmayan herkes ise wildcard kapısına yönlendirilir.

    Wildcard en sık A ve AAAA kayıtlarında kullanılır ama CNAME, TXT ve MX gibi çoğu kayıt türüyle de tanımlanabilir:

    ; Zone: uygulamam.com
    *.uygulamam.com.        3600    IN  A       203.0.113.10
    *.uygulamam.com.        3600    IN  AAAA    2001:db8::10
    *.dev.uygulamam.com.    3600    IN  CNAME   staging-lb.uygulamam.com.
    

    Bu üç satır, sırasıyla tüm birinci seviye alt alan adlarını bir IPv4 ve bir IPv6 adresine, dev altındaki tüm alt alan adlarını ise bir yük dengeleyiciye yönlendirir. Alt alan adı kavramına hâkim değilseniz, önce alt alan adı (subdomain) nedir yazımızı okumanızı öneririm; wildcard'ın mantığı oturması için o temel şart.

    Wildcard Kaydı Nasıl Çalışır#

    Wildcard'ın davranışını anlamak için DNS çözümleyicinin (resolver) bir isim için otoriter sunucuya nasıl sorduğunu bilmek gerekir. Bir kullanıcı xyz.uygulamam.com istediğinde, otoriter sunucu şu sırayı izler:

    1. Tam olarak xyz.uygulamam.com adında bir kayıt var mı? Varsa onu döndürür ve durur.
    2. Yoksa, *.uygulamam.com şeklinde bir wildcard var mı? Varsa wildcard'ın verisini xyz etiketine uygulayıp döndürür.
    3. İkisi de yoksa, NXDOMAIN (böyle bir isim yok) yanıtı döner.

    Buradaki en önemli iki kural şudur. Birincisi, wildcard yalnızca tek bir etiket düzeyini kapsar. *.uygulamam.com, a.uygulamam.com ile eşleşir ama a.b.uygulamam.com ile eşleşmez. Çok seviyeli eşleşme istiyorsanız her seviye için ayrı wildcard gerekir (*.uygulamam.com ve *.b.uygulamam.com gibi). İkincisi, wildcard'ın devreye girmesi için o düzeyde başka hiçbir kayıt bulunmaması gerekir; aynı isimde farklı türde bir kayıt (örneğin bir TXT) varsa, wildcard o isim için baskılanabilir.

    Davranışı canlı görmek için dig çok işe yarar:

    # Var olmayan rastgele bir alt alan adını sorgula
    dig +short rastgele-1234.uygulamam.com A
    # 203.0.113.10  -> wildcard eşleşti
    
    dig +short baskabirsey.uygulamam.com A
    # 203.0.113.10  -> aynı IP, çünkü yine wildcard yakaladı
    
    # Özel bir kayıt varsa wildcard ezilir
    dig +short posta.uygulamam.com A
    # 198.51.100.25 -> kendi A kaydı geldi, wildcard değil
    

    İki farklı rastgele isim için aynı IP dönüyorsa wildcard çalışıyor demektir. Bu davranış, alt alan adının gerçekten var olup olmadığını DNS'e sorarak anlayamayacağınız anlamına da gelir: wildcard varken her isim geçerli bir yanıt döndürür.

    Wildcard DNS Kaydı Nasıl Tanımlanır#

    Tanımlama yöntemi kullandığınız DNS altyapısına göre değişir ama mantık her yerde aynıdır. Bir DNS yönetim panelinde (Clou.TR panelinde de dahil olmak üzere) yeni kayıt eklerken isim/host alanına yıldız yazarsınız:

    AlanDeğerAçıklama
    TürAIPv4 için A, IPv6 için AAAA
    İsim/Host*Ana alan adının tüm alt adlarını kapsar
    Değer203.0.113.10Trafiğin gideceği hedef IP
    TTL3600Saniye cinsinden önbellek süresi

    Belirli bir alt seviyeyi kapsamak isterseniz isim alanına *.dev yazabilirsiniz; bu, *.dev.uygulamam.com anlamına gelir. Ham bir zone dosyasıyla (BIND formatı) çalışıyorsanız satır şöyle görünür:

    $ORIGIN uygulamam.com.
    $TTL 3600
    @       IN  SOA   ns1.clou.tr. admin.uygulamam.com. (
                      2026071001 ; serial
                      7200 3600 1209600 3600 )
    @       IN  NS    ns1.clou.tr.
    @       IN  NS    ns2.clou.tr.
    @       IN  A     203.0.113.5
    www     IN  A     203.0.113.5
    *       IN  A     203.0.113.10   ; wildcard: tüm diğer alt alan adları
    

    Dikkat edin: @ (kök alan adı) ve www için ayrı kayıtlar var, bunlar wildcard'dan etkilenmez çünkü açıkça tanımlılar. mail.uygulamam.com, panel.uygulamam.com gibi listede olmayan her şey ise 203.0.113.10'a gider.

    Wildcard'ı sadece DNS'te açmak çoğu zaman yeterli değildir. Trafik hedef sunucuya vardığında, web sunucusunun da bu alt alan adlarını kabul etmesi gerekir. Örneğin Nginx tarafında tek bir server bloğunun tüm alt alan adlarını karşılaması için:

    server {
        listen 443 ssl;
        server_name ~^(?<tenant>.+)\.uygulamam\.com$;
    
        ssl_certificate     /etc/ssl/uygulamam/fullchain.pem;
        ssl_certificate_key /etc/ssl/uygulamam/privkey.pem;
    
        location / {
            # Yakalanan alt alan adını uygulamaya başlık olarak geçir
            proxy_set_header X-Tenant $tenant;
            proxy_pass http://127.0.0.1:8080;
        }
    }
    

    Bu yapılandırma, gelen isteğin alt alan adı kısmını $tenant değişkenine yakalar ve uygulamaya bir başlık olarak iletir. Böylece uygulama, hangi müşteri için istek geldiğini bilir. HTTPS tarafında ise tek tek her alt alan adı için sertifika almak yerine bir joker sertifika kullanmanız gerekir; bunun detayları için wildcard SSL nedir yazımıza göz atın.

    SaaS ve Çok Kiracılı Yapılarda Wildcard Kullanımı#

    Wildcard'ın en güçlü kullanım alanı, her kullanıcıya kendi alt alan adını veren çok kiracılı (multi-tenant) uygulamalardır. Slack'in takiminiz.slack.com, Shopify'ın magazaniz.myshopify.com yaklaşımını düşünün: yeni bir müşteri kaydolduğunda ona anında bir alt alan adı verilir, ama arka planda kimse gidip elle DNS kaydı açmaz. Bunu mümkün kılan şey wildcard'dır.

    Akış tipik olarak şöyle işler. Müşteri panelde acme adını seçer, uygulamanız veritabanına yeni bir kiracı satırı ekler ve müşteri hemen acme.uygulamam.com üzerinden erişmeye başlar. DNS zaten *.uygulamam.com wildcard'ı sayesinde bu ismi çözer; web sunucusu isteği uygulamaya yönlendirir; uygulama alt alan adına bakıp doğru kiracının verisini gösterir.

    -- Yeni kiracı kaydı; DNS'e dokunmaya gerek yok
    INSERT INTO tenants (slug, name, plan, created_at)
    VALUES ('acme', 'Acme A.Ş.', 'pro', NOW());
    

    Uygulama katmanında ise gelen isteğin ana bilgisayar (host) başlığından kiracıyı çıkarırsınız. Kabaca mantık şudur:

    # Örnek yönlendirme mantığı (kavramsal)
    istek_host: acme.uygulamam.com
    adim_1: host'tan ilk etiketi ayır -> "acme"
    adim_2: tenants tablosunda slug = "acme" ara
    adim_3: bulunduysa o kiracının içeriğini göster
    adim_4: bulunamadıysa 404 veya "kayıt oluştur" sayfası döndür
    

    Bu modelin en büyük kazancı ölçeklenebilirliktir: 10 müşteriniz de olsa 10.000 müşteriniz de olsa DNS tarafında hâlâ tek bir satır vardır. TTL yayılımı, DNS sağlayıcı API limitleri, kayıt sayısı sınırları gibi dertler tarih olur. Bu yaklaşım özellikle bir WordPress hosting çoklu-site kurulumu, bir müşteri paneli veya bir reseller hosting ortamı işletiyorsanız çok değerlidir.

    Tek dikkat edilecek nokta, uygulamanızın "tanımlı olmayan kiracı" durumunu zarifçe ele almasıdır. Wildcard her ismi çözeceği için, var olmayan bir kiracıya ait istek de sunucunuza ulaşır; bunu uygulama katmanında yakalayıp anlamlı bir yanıt (404 ya da kayıt daveti) döndürmeniz gerekir.

    Wildcard Daha Özel Kayıtlarla Nasıl Ezilir#

    DNS'te temel bir kural vardır: daha özel (spesifik) kayıt her zaman kazanır. Wildcard bir "en son çare" gibidir; aynı isim için açık bir kayıt bulunduğu anda wildcard o isim için tamamen görünmez olur. Bu davranışı bilmezseniz, "wildcard'ım neden bazı alt alan adlarında çalışmıyor" sorusuyla saatlerce boğuşabilirsiniz.

    Aşağıdaki bölgeyi ele alalım:

    *.uygulamam.com.      IN  A       203.0.113.10   ; wildcard
    posta.uygulamam.com.  IN  A       198.51.100.25  ; özel kayıt
    posta.uygulamam.com.  IN  MX 10   mail.uygulamam.com.
    

    Burada posta.uygulamam.com için açık bir A kaydı olduğundan, posta ismi geldiğinde wildcard değil, 198.51.100.25 döner. Daha da ince bir ayrıntı var: posta altında bir A kaydı tanımladığınız anda, o isim için wildcard tamamen baskılanır. Yani posta.uygulamam.com için bir TXT sorgusu gelse ve posta altında TXT kaydı olmasa bile, wildcard TXT'yi devralmaz; DNS "bu isimde TXT yok" der. Çünkü isim düzeyinde en az bir kayıt olması, o ismi wildcard kapsamından çıkarır.

    Aşağıdaki tablo, farklı sorguların hangi yanıtı alacağını özetler:

    SorguSonuçNeden
    rasgele.uygulamam.com A203.0.113.10Açık kayıt yok, wildcard devreye girer
    posta.uygulamam.com A198.51.100.25Açık A kaydı wildcard'ı ezer
    posta.uygulamam.com TXTNODATAİsimde kayıt var ama TXT yok, wildcard baskılı
    a.b.uygulamam.com ANXDOMAINWildcard tek düzey kapsar, iki düzeyi değil

    Bu ezme kuralı aslında çok kullanışlıdır: genel bir wildcard tanımlarsınız, sonra istisnaları tek tek özel kayıtlarla ayırırsınız. Örneğin tüm alt alan adları uygulama sunucusuna gitsin ama posta ayrı bir e-posta sunucusuna, cdn ise bir içerik ağına gitsin diyorsanız; wildcard'ı bırakıp yalnızca istisnalar için özel kayıt eklersiniz. E-posta trafiğinizi doğru yönlendirmek özellikle kurumsal e-posta çözümlerinde hayati önemdedir.

    Wildcard Kaydının Sınırları ve Dikkat Edilmesi Gerekenler#

    Wildcard pratik olsa da, sihirli bir çözüm değildir ve birkaç önemli sınırı vardır. Bunları önceden bilmek, üretimde sürpriz yaşamanızı önler.

    Öncelikle, wildcard tek etiket kuralına tabidir. *.uygulamam.com yalnızca birinci seviyeyi kapsar; panel.acme.uygulamam.com gibi iki seviyeli bir istek eşleşmez. Derin hiyerarşiye ihtiyacınız varsa her seviye için ayrı wildcard eklemeniz gerekir, bu da yönetimi karmaşıklaştırır.

    İkincisi, wildcard'lar kök alan adını kapsamaz. *.uygulamam.com, uygulamam.com (yani apex) için hiçbir şey ifade etmez; onu ayrıca tanımlamanız gerekir. Benzer şekilde www da otomatik gelmez; çoğu ekip wildcard'ın yanında www ve apex için ayrı A/CNAME kayıtları tutar.

    Üçüncüsü, bazı kayıt türleri wildcard ile birlikte beklenmedik davranır. Özellikle CNAME wildcard'ları ve MX, NS, SOA ile etkileşimleri RFC'lerde özel kurallara tabidir; e-posta yönlendirmesini wildcard MX ile yapmak, tanımsız her alt alan adının posta kabul ediyormuş gibi görünmesine yol açabilir. Bir başka nokta da DNSSEC'tir: imzalı bölgelerde wildcard'lar özel "NSEC/NSEC3" kayıtlarıyla ele alınır ve yanlış yapılandırma doğrulama hatalarına neden olabilir.

    Son olarak, wildcard TTL'i düşük tutmak isteyebilirsiniz. Wildcard tüm tanımsız trafiği tek hedefe taşıdığı için, o hedefin IP'sini değiştirmeniz gerektiğinde eski değerin önbelleklerde takılı kalması geniş bir yüzeyi etkiler:

    ; Geçiş dönemlerinde daha kısa TTL kullanmak esneklik sağlar
    *.uygulamam.com.   300   IN  A   203.0.113.10   ; 5 dakika
    

    Trafiği bir sunucudan diğerine taşırken, site taşıma sürecinde ve DNS geçişlerinde TTL'i geçici olarak düşürmek, kesintiyi en aza indirmenin klasik yöntemidir.

    Güvenlik Açısından Wildcard DNS#

    Wildcard'ın en gözden kaçan yönü güvenliktir ve bu konuda dikkatsizlik gerçek olaylara yol açar. En bilinen risk subdomain takeover (alt alan adı ele geçirme) senaryosudur, ama wildcard bunu doğrudan çözmez; hatta bazı durumlarda saldırı yüzeyini genişletir.

    Klasik bir tehlike şudur: wildcard'ınız *.uygulamam.com'u bir bulut hizmetine (örneğin bir CDN veya PaaS) CNAME ile bağlıyorsa ve o hizmette bir kiracı adresini serbest bırakırsanız, saldırgan aynı adresi kendi hesabında talep edip sizin bir alt alan adınız üzerinden içerik yayınlayabilir. Wildcard, bu tür "sahipsiz hedef" durumlarını tüm tanımsız alt alan adlarına yayabildiği için etkisi büyük olur. Bu yüzden wildcard'ı yalnızca sizin kontrolünüzdeki, sabit bir hedefe yönlendirmek en güvenli yaklaşımdır.

    İkinci bir konu, wildcard'ın bilgi sızıntısını maskelemesidir. Wildcard varken bir saldırgan geçerli alt alan adlarınızı DNS üzerinden numaralandıramaz çünkü her isim yanıt döner; bu bir avantaj gibi görünse de, aynı zamanda sizin de var olmayan istekleri fark etmenizi zorlaştırır. Uygulama katmanında bilinmeyen kiracı isteklerini loglamak ve gerekiyorsa oran sınırlaması uygulamak akıllıca olur.

    Üçüncü olarak, HTTPS tarafında wildcard sertifikaların yönetimini ciddiye alın. Tek bir joker sertifika (*.uygulamam.com) tüm alt alan adlarını kapsar; ama bu sertifikanın özel anahtarı sızarsa, tüm alt alan adlarınız birden risk altına girer. Anahtarı iyi koruyun, otomatik yenilemeyi kurun ve mümkünse trafiği bir web uygulama güvenlik duvarı (WAF) ve DDoS koruması katmanının arkasına alın. Şüpheli veya kötüye kullanılan alt alan adlarını hızlıca tespit edebilmek için erişim loglarını düzenli izlemek de bu resmin bir parçasıdır; sunucu tarafını kendiniz yönetmek istemiyorsanız sunucu yönetimi hizmetlerimiz bu izleme ve sıkılaştırma işini üstlenir.

    Sıkça Sorulan Sorular#

    Wildcard DNS kaydı ile normal alt alan adı kaydı arasındaki fark nedir#

    Normal bir alt alan adı kaydı yalnızca kendi tam adını çözer; örneğin blog.uygulamam.com kaydı sadece o ismi karşılar. Wildcard ise açıkça tanımlanmamış tüm alt alan adlarını tek seferde yakalar. Kaç tane alt alan adına ihtiyacınız olacağını önceden bilmiyorsanız veya isimler dinamik olarak oluşturuluyorsa wildcard mantıklıdır; sabit ve az sayıda alt alan adı varsa her birini ayrı tanımlamak daha okunaklı ve denetlenebilir olur.

    Wildcard birden fazla seviyeyi kapsar mı#

    Hayır, standart bir wildcard yalnızca kendi bulunduğu düzeydeki tek etiketi kapsar. *.uygulamam.com kaydı a.uygulamam.com ile eşleşir ama a.b.uygulamam.com ile eşleşmez. İç içe iki seviyeyi de kapsamak istiyorsanız, alt seviye için ayrı bir wildcard tanımlamanız gerekir; örneğin *.dev.uygulamam.com şeklinde. Bu sınır DNS standardının bir parçasıdır ve sağlayıcıdan sağlayıcıya değişmez.

    Wildcard tanımlarken apex ve www kayıtlarını da açmam gerekir mi#

    Evet, wildcard kök alan adını (apex, yani uygulamam.com) ve www alt alan adını otomatik kapsamaz. Ziyaretçilerin hem çıplak alan adınıza hem de www adresine erişebilmesi için bunları ayrı A veya CNAME kayıtlarıyla tanımlamanız gerekir. Yaygın kurulum, apex ve www için sabit kayıtlar tutmak ve geri kalan tüm dinamik alt alan adlarını wildcard'a bırakmaktır.

    Wildcard kaydı e-posta teslimatını bozar mı#

    Bozabilir, o yüzden dikkatli olun. E-posta yönlendirmesi MX kayıtlarıyla yapılır ve posta gibi e-posta ile ilgili alt alan adlarınız için açık kayıtlar tanımlarsanız, o isimler zaten wildcard'dan etkilenmez. Asıl risk, wildcard bir MX veya CNAME tanımlarsanız ortaya çıkar; bu durumda tanımsız her alt alan adı posta kabul ediyormuş gibi görünür ve SPF/DKIM doğrulamaları karışabilir. En güvenlisi, e-posta ile ilgili tüm kayıtları açıkça tanımlamak ve wildcard'ı yalnızca web trafiği için kullanmaktır.

    Wildcard alt alan adları için tek bir SSL sertifikası yeterli mi#

    Evet, bir joker (wildcard) SSL sertifikası *.uygulamam.com biçiminde tanımlanır ve o alan adının tüm birinci seviye alt adlarını tek sertifikayla kapsar. Böylece her yeni alt alan adı için ayrı sertifika almanıza gerek kalmaz. Ancak apex alan adını ve iki seviyeli alt alan adlarını kapsamadığını unutmayın; bunlar için sertifikaya ek SAN girişleri eklemek gerekir. Konunun detayları için wildcard SSL rehberimizi inceleyebilirsiniz.

    Wildcard kullanmak subdomain takeover riskini artırır mı#

    Doğrudan artırmaz ama yanlış hedefe bağlandığında etkisini büyütür. Eğer wildcard'ınız sizin kontrolünüzde olmayan, serbest bırakılabilir bir dış hedefe (bir bulut hizmetindeki geçici adrese) işaret ediyorsa, o hedef sahipsiz kaldığında saldırgan tüm tanımsız alt alan adlarınız üzerinden içerik yayınlayabilir. Riski en aza indirmek için wildcard'ı yalnızca kendi sabit sunucunuza veya IP'nize yönlendirin, kullanılmayan dış entegrasyonları temizleyin ve alt alan adı trafiğini düzenli olarak loglardan izleyin.

    Kapanış#

    Wildcard DNS kaydı, doğru senaryoda kullanıldığında yüzlerce alt alan adını tek satıra indiren, SaaS ve çok kiracılı mimarilerin bel kemiği olan güçlü bir araçtır. Özünde basit bir kural üzerine kuruludur: açık kayıt varsa o kazanır, yoksa wildcard devreye girer. Bu mantığı, tek etiket sınırını, apex ve e-posta istisnalarını ve subdomain takeover risklerini kavradığınızda, wildcard sizin için sorun değil çözüm üretir.

    Uygulamanız için ölçeklenebilir bir alt alan adı altyapısı kurmak istiyorsanız, güçlü DNS yönetimiyle gelen hosting paketlerimize, esnek alan adı hizmetlerimize ve tam kontrol sağlayan VDS sunucularımıza göz atabilirsiniz. Kurulumu, joker SSL sertifikasını ve güvenlik sıkılaştırmasını sizin yerinize yapmamızı isterseniz sunucu yönetimi ekibimiz her adımda yanınızda. Wildcard'ı bugün doğru kurun, yarın binlerce müşteriye ölçeklenirken DNS tarafında hiç uğraşmayın.

    DNSWildcardAlt Alan Adı

    Uygulamaya geçmeye hazır mısınız?

    NVMe SSD, ücretsiz SSL ve %99.9 uptime garantisiyle Clou.TR hosting ve sunucu çözümleriyle projenizi hayata geçirin.