Cloudflare DNS Yönetimi Nedir? Plesk Web ve Mail Hosting Müşterileri İçin Güvenli DNS Yönlendirme Rehberi

Cloudflare DNS Yönetimi ile Alan Adı, Web ve Mail Trafiğini Doğru Yönlendirme

Web sitenizin ve e-posta hizmetlerinizin kesintisiz çalışması için DNS kayıtlarının doğru yönetilmesi kritik öneme sahiptir. Özellikle Plesk panel üzerinde web hosting ve mail hosting hizmeti alan müşterilerde; alan adı, web sitesi, e-posta sunucusu, doğrulama kayıtları ve yönlendirme kayıtlarının tek tek doğru tanımlanması gerekir.

T-Cloud olarak Cloudflare üzerinde müşterilerimize DNS yönetimi ve DNS yönlendirme desteği sağlıyoruz. Bu hizmet kapsamında Cloudflare, alan adının yetkili DNS servis sağlayıcısı olarak konumlandırılır; web sitesi ve mail servisleri için gerekli DNS kayıtları müşteri altyapısına uygun şekilde yapılandırılır.

Bu dokümanda Cloudflare DNS hizmetinin ne işe yaradığını, Plesk web/mail hosting ortamlarında nasıl kullanıldığını, hangi kayıtların nasıl yönetildiğini ve DDoS koruması için hangi ek adımların gerektiğini anlatıyoruz.

Bu Hizmetin Kapsamı Nedir?

Cloudflare DNS yönetimi hizmetimiz, temel olarak alan adının DNS kayıtlarının Cloudflare üzerinden merkezi ve güvenli şekilde yönetilmesini sağlar.

Bu kapsamda verilen hizmetler:

  • Alan adının Cloudflare hesabına eklenmesi
  • Cloudflare nameserver bilgilerinin müşteriye iletilmesi
  • Registrar tarafında nameserver değişikliği için yönlendirme yapılması
  • Plesk web hosting için A, CNAME ve gerekli yönlendirme kayıtlarının tanımlanması
  • Plesk mail hosting için MX, SPF, DKIM, DMARC ve TXT kayıtlarının tanımlanması
  • DNS kayıtlarının müşteri hizmetine göre kontrol edilmesi
  • Yanlış veya çakışan kayıtların temizlenmesi
  • DNS değişikliklerinden sonra çözümleme testlerinin yapılması
  • Destek talebi kapsamında kayıt güncelleme, ekleme veya silme işlemlerinin yürütülmesi

Bu yapılandırmada Cloudflare, yetkili DNS servis sağlayıcısı olarak kullanılır. Web trafiğinin Cloudflare proxy/CDN/WAF üzerinden geçirilmesi ayrı bir güvenlik mimarisi ve müşteri onayı gerektirir.

Önemli Ayrım: DNS Hizmeti ile DDoS Koruması Aynı Şey Değildir

Cloudflare DNS kullanmak, tek başına web sitenizin Cloudflare DDoS koruması altında olduğu anlamına gelmez.

DNS hizmeti, alan adınızın hangi sunucuya yönleneceğini belirler. Örneğin:

  • com hangi IP adresine gidecek?
  • example.com hangi sunucuya yönlenecek?
  • E-posta hangi mail sunucusuna teslim edilecek?
  • SPF, DKIM ve DMARC doğrulama kayıtları nasıl çalışacak?

Bu işlemler DNS seviyesindedir.

DDoS koruması için ise özellikle web trafiğinin Cloudflare üzerinden geçirilmesi gerekir. Bunun için ilgili web kayıtlarının Cloudflare üzerinde Proxied olarak çalışması, origin sunucunun doğrudan internete açık bırakılmaması ve firewall tarafında yalnızca Cloudflare kaynak IP’lerine izin verilmesi gerekir.

Bu nedenle mevcut DNS hizmeti şu şekilde konumlandırılır:

Cloudflare DNS yönetimi: Aktif kullanılan hizmet
Cloudflare CDN/WAF/DDoS proxy: Müşteri talebi, teknik uygunluk ve ek yapılandırma sonrası devreye alınabilecek ek güvenlik modeli

Plesk Web Hosting İçin Cloudflare DNS Yapılandırması

Plesk üzerinde barındırılan web siteleri için en temel DNS kayıtları genellikle A ve CNAME kayıtlarıdır.

Örnek web kayıtları:

Kayıt Tip Değer Açıklama
example.com A Web sunucu IP adresi Ana domain yönlendirmesi
www CNAME example.com www yönlendirmesi
panel A Plesk panel IP adresi Panel erişimi için kullanılır
ftp A veya CNAME Web sunucu bilgisi FTP erişimi gerekiyorsa tanımlanır

Bu kayıtlar Cloudflare üzerinde DNS only olarak çalıştırıldığında, Cloudflare yalnızca DNS çözümleme hizmeti verir. Trafik doğrudan origin sunucuya gider.

Web trafiğinin Cloudflare güvenlik ve performans katmanlarından geçmesi istenirse, uygun kayıtlar müşteri onayıyla Proxied yapılabilir. Ancak bu değişiklik SSL/TLS, uygulama uyumluluğu, gerçek IP loglama, firewall ve cache davranışları açısından ayrıca test edilmelidir.

Plesk Mail Hosting İçin Cloudflare DNS Yapılandırması

Mail hosting tarafında DNS kayıtlarının doğru tanımlanması, e-posta gönderim ve alım kalitesi için kritik öneme sahiptir.

Tipik mail DNS kayıtları:

Kayıt Tip Örnek Değer Açıklama
example.com MX mail.example.com Gelen e-postanın teslim edileceği mail sunucusu
mail A Mail sunucu IP adresi Mail sunucusunun IP yönlendirmesi
example.com TXT SPF kaydı Yetkili gönderici sunucuları tanımlar
default._domainkey TXT DKIM public key E-posta imza doğrulaması
_dmarc TXT DMARC politikası SPF/DKIM başarısızlık politikasını belirler
autoconfig CNAME veya A Mail otomatik yapılandırma İstemci kurulumları için kullanılabilir
autodiscover CNAME veya A Exchange/Outlook keşif kaydı Uygun ortamlarda kullanılır

Mail kayıtlarında dikkat edilmesi gereken en önemli konu şudur:

MX, mail, SMTP, IMAP ve POP servisleri klasik Cloudflare web proxy modeliyle korunmaz. Bu servisler genellikle DNS only çalışır. Bu nedenle mail sunucusunun DDoS dayanıklılığı için ayrıca servis sağlayıcı seviyesinde anti-DDoS, firewall, rate limit, mail gateway veya scrubbing altyapısı değerlendirilmelidir.

Cloudflare DNS Eklentisi ile Yönetim

Plesk tarafında Cloudflare veya DNS yönetim eklentisi kullanılıyorsa, bazı kayıtlar panel üzerinden daha kolay yönetilebilir. Bu yöntemde müşteri veya destek ekibi, DNS kayıtlarının belirli bir kısmını Plesk arayüzünden takip edebilir.

Eklenti kullanımında dikkat edilmesi gerekenler:

  • Cloudflare API erişimi güvenli şekilde yönetilmelidir.
  • API token yetkileri minimum gerekli kapsamda verilmelidir.
  • DNS değişiklikleri kayıt altına alınmalıdır.
  • Kritik kayıtlar değiştirilmeden önce mevcut durum yedeği alınmalıdır.
  • MX, SPF, DKIM ve DMARC kayıtları kontrol edilmeden silinmemelidir.
  • Çoklu müşteri ortamlarında domain yetkileri ayrıştırılmalıdır.

Eklenti kullanımı operasyonel kolaylık sağlar; ancak hatalı API yetkileri veya bilinçsiz DNS değişiklikleri hizmet kesintisine yol açabilir. Bu nedenle kurumsal ortamlarda değişikliklerin destek süreci üzerinden kontrollü yapılması önerilir.

Cloudflare Eklentisi Olmadan DNS Yönetimi

Eklenti kullanılmayan yapılarda DNS kayıtları doğrudan Cloudflare panelinden yönetilir. Bu yöntem daha kontrollü ve merkezi bir operasyon sağlar.

Genel işlem adımları:

  1. Müşteri alan adı bilgisi alınır.
  2. Alan adı Cloudflare hesabına eklenir.
  3. Mevcut DNS kayıtları taranır.
  4. Plesk web ve mail servislerine ait kayıtlar doğrulanır.
  5. Cloudflare tarafından verilen nameserver bilgileri müşteriye iletilir.
  6. Müşteri registrar panelinden nameserver değişikliğini yapar.
  7. DNS yayılımı takip edilir.
  8. Web sitesi, mail alımı, mail gönderimi ve doğrulama kayıtları test edilir.
  9. Son durum müşteriye raporlanır.

Bu modelde Cloudflare DNS, müşterinin alan adı kayıtları için merkezi yönetim noktası haline gelir.

DNS Değişikliği Öncesi Kontrol Listesi

DNS değişikliği yapılmadan önce aşağıdaki bilgiler netleştirilmelidir:

  • Alan adı hangi registrar üzerinde kayıtlı?
  • Mevcut nameserver bilgileri nedir?
  • Web sitesi hangi IP adresinde çalışıyor?
  • Plesk panel adresi nedir?
  • Mail servisi Plesk üzerinde mi, farklı bir sağlayıcıda mı?
  • MX kaydı hangi sunucuyu göstermeli?
  • SPF kaydı mevcut mu?
  • DKIM aktif mi?
  • DMARC politikası kullanılacak mı?
  • Alt alan adları var mı?
  • Üçüncü taraf servis doğrulama kayıtları var mı?
  • CDN, WAF veya DDoS proxy aktif edilecek mi, yoksa yalnızca DNS mi kullanılacak?

Bu bilgiler tamamlanmadan yapılan DNS değişiklikleri web sitesi veya e-posta kesintisine neden olabilir.

DDoS Koruması İçin Ne Yapmak Gerekir?

Cloudflare DNS kullanımı, DDoS hazırlığı için iyi bir başlangıçtır; ancak tek başına yeterli değildir.

Web sitesi için Cloudflare üzerinden DDoS koruması hedefleniyorsa aşağıdaki adımlar planlanmalıdır:

1. Web Trafiği Cloudflare Proxy Üzerinden Geçirilmeli

A, AAAA veya CNAME web kayıtları DNS only yerine Proxied yapılmalıdır. Bu durumda ziyaretçi trafiği önce Cloudflare ağına gelir, ardından origin sunucuya yönlendirilir.

2. Origin IP Gizlenmeli

Web sunucusunun gerçek IP adresi internete açık kalırsa saldırgan doğrudan origin sunucuya saldırabilir. Bu nedenle origin IP mümkünse değiştirilir ve yalnızca Cloudflare IP aralıklarından gelen trafiğe izin verilir.

3. Firewall Kuralı Eklenmeli

Origin sunucuda veya önündeki firewall’da, HTTP/HTTPS trafiği için yalnızca Cloudflare kaynak IP adreslerine izin verilmelidir. Diğer kaynaklardan gelen doğrudan web istekleri engellenmelidir.

4. SSL/TLS Uyumluluğu Test Edilmeli

Cloudflare proxy devreye alınmadan önce SSL modu, sertifika geçerliliği, yönlendirme kuralları ve HTTPS davranışı test edilmelidir.

5. Gerçek Ziyaretçi IP Loglaması Yapılandırılmalı

Cloudflare proxy sonrası web sunucusu loglarında Cloudflare IP’leri görünebilir. Gerçek ziyaretçi IP bilgisini almak için uygun header yapılandırması yapılmalıdır.

6. Cache ve Uygulama Uyumluluğu Kontrol Edilmeli

Dinamik uygulamalarda cache davranışı, admin panel erişimleri, ödeme sayfaları, API uçları ve oturum yönetimi test edilmelidir.

7. WAF ve Güvenlik Kuralları Planlanmalı

Cloudflare WAF, rate limiting, bot yönetimi ve güvenlik seviyesi ayarları müşteri ihtiyacına göre ayrıca değerlendirilmelidir.

8. Mail Servisleri Ayrı Değerlendirilmeli

SMTP, IMAP, POP ve MX servisleri klasik Cloudflare web proxy kapsamına girmez. Mail sunucusuna yönelik DDoS riskleri için ayrı anti-DDoS, firewall, mail gateway veya upstream koruma çözümleri gerekir.

NOC ve Destek Ekibi İçin Operasyon Akışı

Yeni DNS Tanımlama Talebi

  1. Müşteriden alan adı ve hizmet bilgileri alınır.
  2. Web ve mail servislerinin hangi sunucularda çalıştığı doğrulanır.
  3. Mevcut DNS kayıtları dışarı aktarılır veya ekran görüntüsü alınır.
  4. Cloudflare üzerinde alan adı eklenir.
  5. Gerekli A, CNAME, MX, TXT kayıtları oluşturulur.
  6. Nameserver bilgileri müşteriye iletilir.
  7. DNS yayılımı kontrol edilir.
  8. Web ve mail testleri yapılır.
  9. Talep kapatılmadan önce müşteriye sonuç bilgisi verilir.

DNS Kayıt Değişikliği Talebi

  1. Talebin yetkili kişi tarafından açıldığı kontrol edilir.
  2. Değişiklik yapılacak kayıt belirlenir.
  3. Mevcut kayıt değeri not alınır.
  4. Yeni değer uygulanır.
  5. TTL ve proxy durumu kontrol edilir.
  6. DNS çözümleme testi yapılır.
  7. Gerekirse web/mail servis testi yapılır.
  8. İşlem kayıt altına alınır.

Mail Çalışmıyor Talebi

  1. MX kaydı kontrol edilir.
  2. Mail A kaydı kontrol edilir.
  3. SPF, DKIM ve DMARC kayıtları incelenir.
  4. Mail sunucusuna ağ erişimi test edilir.
  5. Plesk mail servisi durumu kontrol edilir.
  6. Kuyruk, log ve hata mesajları incelenir.
  7. DNS kaynaklı hata varsa kayıt düzeltilir.
  8. DNS dışı hata varsa ilgili sistem ekibine yönlendirilir.

Web Sitesi Açılmıyor Talebi

  1. Domain DNS çözümlemesi kontrol edilir.
  2. A veya CNAME kaydı doğru IP’ye gidiyor mu bakılır.
  3. Cloudflare proxy durumu kontrol edilir.
  4. Origin web sunucusu erişimi test edilir.
  5. SSL sertifikası ve HTTPS yönlendirmesi kontrol edilir.
  6. Plesk domain durumu kontrol edilir.
  7. Web servis logları incelenir.
  8. Sorun DNS kaynaklıysa kayıt düzeltilir; uygulama veya sunucu kaynaklıysa ilgili ekibe yönlendirilir.

Örnek DNS Kayıt Yapısı

Aşağıdaki örnek, Plesk üzerinde web ve mail hosting alan tipik bir müşteri için kullanılabilir:

Name Type Content Proxy Durumu Açıklama
@ A Web sunucu IP DNS only Ana web sitesi
www CNAME @ DNS only www yönlendirme
mail A Mail sunucu IP DNS only Mail sunucusu
@ MX mail.domain.com DNS only Gelen mail yönlendirme
@ TXT SPF değeri DNS only Mail gönderim doğrulama
default._domainkey TXT DKIM public key DNS only DKIM doğrulama
_dmarc TXT DMARC politikası DNS only DMARC kontrolü

Web sitesi için Cloudflare proxy/CDN/WAF/DDoS modeli devreye alınacaksa, yalnızca uygun web kayıtları müşteri onayı ve teknik test sonrası Proxied yapılmalıdır. Mail kayıtları DNS only kalmalıdır.

Güvenlik ve ISO 27001 Açısından Değerlendirme

Cloudflare DNS yönetimi, bilgi güvenliği yönetim sistemi açısından tedarikçi yönetimi, değişiklik yönetimi, erişim kontrolü, loglama, iş sürekliliği ve operasyon güvenliği başlıkları altında değerlendirilmelidir.

Bu kapsamda dikkat edilmesi gereken kontroller:

  • Cloudflare hesap erişimlerinin yetkili personel ile sınırlandırılması
  • Mümkünse MFA kullanılması
  • API token yetkilerinin minimum kapsamda verilmesi
  • DNS değişikliklerinin kayıt altına alınması
  • Kritik kayıtların değiştirilmeden önce yedeklenmesi
  • Müşteri onayı olmadan proxy/WAF/CDN/DDoS davranışının değiştirilmemesi
  • Mail kayıtlarının yanlışlıkla proxied yapılmaması
  • Tedarikçi hizmetinin periyodik olarak değerlendirilmesi
  • Olay durumunda DNS ve erişim kayıtlarının incelenmesi
  • Hizmet kapsamının müşteriye açık ve doğru anlatılması

Cloudflare bu yapıda DNS bulut servis sağlayıcısı olarak değerlendirilirken, T-Cloud müşteriye yönetilen DNS operasyonu ve teknik destek hizmeti sağlar.

Ancak DNS hizmeti ile DDoS koruması birbirine karıştırılmamalıdır. Cloudflare’ın güvenlik, proxy, WAF ve DDoS özelliklerinden yararlanmak için web trafiğinin Cloudflare üzerinden geçirilmesi, origin IP’nin korunması ve firewall tarafında ek güvenlik önlemlerinin alınması gerekir.

T-Cloud olarak müşterilerimize Cloudflare DNS yönetimi, Plesk web/mail hosting DNS yapılandırması ve ihtiyaç halinde DDoS hazırlık mimarisi konusunda teknik destek sağlıyoruz.

 

Tagged: