Yazılım Geliştirme

Web uygulamaları, mobil, e-ticaret ve özel yazılım projeleri.

ReactNode.jsMobil

SEO & Optimizasyon

Organik trafik artışı, teknik SEO, içerik stratejisi ve analitik.

Teknik SEOİçerikAnalitik

API & Entegrasyon

REST API, webhook altyapıları, ödeme ve kargo entegrasyonları.

REST APIWebhookOAuth
Tüm hizmetleri görüntüle Ücretsiz danışmanlık alın

Web Hosting

cPanel yönetim paneli, SSD depolama, ücretsiz SSL sertifikası

Teklif Alın

VPS Sunucu

NVMe SSD, tam root erişim, DDoS koruması dahil

Teklif Alın
Popüler

Dedicated Sunucu

Tamamen size özel fiziksel sunucu, sınırsız trafik

Teklif Alın

Domain & SSL

Domain tescil, transfer ve Wildcard SSL sertifikaları

Teklif Alın

Neden KEYDAL?

  • 99.9% uptime garantisi
  • İstanbul veri merkezi
  • 7/24 Türkçe destek
  • Ücretsiz taşıma hizmeti
Fiyat teklifi alın

Projelerimiz

kSvSecurity, kAI, kMusic ve daha fazlası.

Hakkımızda

KEYDAL'ı tanıyın. Vizyonumuz, ekibimiz ve yolculuğumuz.

İletişim

Projenizi anlatın, size özel teklif sunalım.
Sözleşmeler
Gizlilik Politikası Kullanım Şartları SLA Sözleşmesi KVKK Aydınlatma Metni Çerez Politikası
01 Ana Sayfa
Yazılım Geliştirme SEO & Optimizasyon API & Entegrasyon
Web Hosting VPS Sunucu Dedicated Sunucu Domain & SSL
04 KEYDAL Projects 05 Araçlar 06 Blog
Hakkımızda İletişim Sözleşmeler
Teklif Alın
Blog / domain

Domain Arama Rehberi 2026: WHOIS, RDAP, DNS ve Domain Bulma

pillar 27 dk okuma 2 Mayıs 2026
KEYDAL Kurucusu · Full-stack geliştirici

Domain arama, internet üzerinde herhangi bir ciddi proje başlatmadan önce yapılan ilk teknik araştırmadır. Bir alan adının müsait olup olmadığını kontrol etmek bilinen kısmıdır; ancak gerçek bir domain search süreci yalnızca müsaitlik kontrolü değildir — alan adının geçmişi, daha önce kim tarafından kaydedildiği, hangi DNS sunucularını kullandığı, hangi nameserver'larda barındığı, registrar kilidinin durumu, marka çatışmaları, premium fiyatlandırma, TLD politikaları, GDPR sonrası gizlilik durumu ve yenileme tarihinin ne kadar yakın olduğu gibi onlarca farklı sinyali aynı anda taramaktır.

Bu rehber yalnızca "hangi siteden domain sorgulanır" sorusuna cevap vermez. WHOIS, RDAP, DNS ve registrar API'leri üzerinden uçtan uca nasıl araştırma yapılacağını, hangi komutların ne işe yaradığını, terminal üzerinden bulk sorgulamayı, gizlilik koruma katmanlarının teknik etkisini, alan adı seçim stratejisini ve domain registration check süreçlerini gerçek örneklerle anlatır. Türkiye'deki.tr /.com.tr ekosistemi ve global gTLD piyasası ayrı ayrı ele alınır.

İlgili rehberler: Domain Nedir, WHOIS Sorgulama ve Alan Adı Tescili · Domain Sorgulama Araçları: WHOIS, RDAP ve DNS · DNS Nedir, Ayarları Nasıl Değiştirilir · Let's Encrypt ile Ücretsiz SSL · HTTPS ve TLS 1.3 Rehberi

Domain Arama Nedir, Domain Check Nedir?

Domain arama (domain search) en basit tanımıyla bir alan adının kayıtlı olup olmadığını, kayıtlıysa kime ait olduğunu, kayıtlı değilse hangi koşullarla satın alınabileceğini araştırma sürecidir. Domain check terimi çoğunlukla yalnızca müsaitlik kontrolünü ifade eder — registrar'ın anlık olarak "bu alan adı satın alınabilir mi" sorusuna verdiği cevaptır. Domain query ise daha teknik bir terim olup, registry'ye gönderilen yapısal sorgu (EPP veya RDAP üzerinden) anlamına gelir.

Pratikte üç farklı senaryo birbirinden ayrılır: (1) yeni bir marka için kullanılabilir alan adı bulmak, (2) mevcut bir alan adının kim tarafından kaydedildiğini ve teknik altyapısını incelemek, (3) bir alan adının yenileme/transfer durumunu izlemek. Her üçü de aynı protokollere dayanır ama kullanılan araçlar ve sorgu sıklığı çok farklıdır.

Müsaitlik Kontrolü ile Sahiplik Sorgusu Farkı

Bir alan adının "müsait" görünmesi, onun gerçekten kayıtsız olduğu anlamına her zaman gelmez. Bazı registrar'lar premium veya rezerve listesindeki alan adlarını farklı API endpoint'inden döner; bu yüzden bir tek domain finder aracına güvenmek yanıltıcıdır. Sahiplik sorgusu (WHOIS / RDAP) ise her zaman registry seviyesinden veri çeker — bu, en güvenilir kaynaktır.

WHOIS Protokolü: Tarihçesi, Çalışma Mantığı

WHOIS, 1980'lerin başında ARPANET üzerindeki ağ yöneticilerini birbirine tanıtmak için tasarlanan bir protokoldür. Resmi olarak RFC 3912 ile standartlaştırılmıştır. Çalışma mantığı son derece sade: TCP/43 portu üzerinden açılan bağlantıya tek satırlık bir sorgu yazılır, sunucu da düz metin formatında yanıt döner. Şifreleme yoktur, kimlik doğrulama yoktur, yapısal veri formatı yoktur.

WHOIS'in doğasındaki bu sadelik aynı zamanda en büyük zayıflığıdır. Alan adı kayıtlarının formatı her registrar'a göre değişir: kimi sunucu satır başına anahtar:değer şeklinde döner, kimi serbest metin yazar, kimi yalnızca özet bilgi verir. Bu tutarsızlık whois check araçlarının arkasında karmaşık parser zincirleri çalıştırmasını zorunlu kılar.

WHOIS Sorgu Akışı

Bir whois example komutu çalıştırıldığında istemcinin yaptığı şey aslında üç adımlıdır. Önce whois.iana.org sorgulanır ve TLD'nin authoritative WHOIS sunucusu öğrenilir. Ardından bu authoritative sunucuya (ör. whois.verisign-grs.com.com için) yeni bir bağlantı açılır. Eğer dönen yanıtta bir Registrar WHOIS Server alanı varsa istemci üçüncü bir sorgu daha yapar ve registrar seviyesindeki ayrıntılı kayda ulaşır.

whois komutu Debian/Ubuntu'da apt install whois ile, RHEL/Rocky'de dnf install whois ile, macOS'ta Homebrew ile brew install whois şeklinde kurulur. Windows için yerleşik bir araç yoktur; PowerShell üzerinden Sysinternals'ın WhoIs.exe binary'si veya WSL2 altında Linux paketinin kullanılması önerilir.

RDAP: WHOIS'in Yapısal Halefi

RDAP (Registration Data Access Protocol), WHOIS'in modern halefidir ve RFC 7480-7484 serisi ile standartlaştırılmıştır. Beş kritik avantajı vardır:

  • HTTPS üzerinde çalışır — şifreli bağlantı sayesinde WHOIS'in düz metin sızıntı sorunu ortadan kalkar.
  • JSON formatında yapısal yanıt — parser yazmaya veya regex hile çözmeye gerek kalmaz; her alan tutarlı bir şekilde belirtilmiş anahtarlarla döner.
  • Standart hata kodları — 200/404/429 gibi HTTP status code'lar üzerinden "alan adı kayıtlı değil" veya "rate limit" gibi durumlar net biçimde ifade edilir.
  • Internationalized domain ve unicode desteği — IDN'lerde WHOIS'in karakter kodlama sorunları yaşanmaz.
  • Erişim kontrolü ve federasyon — yetkili sorgulayıcılar OAuth/JWT ile ek alanları görebilir; örneğin tam contact data sadece kimliği doğrulanmış kullanıcılara döner.

ICANN, 2023 itibarıyla tüm gTLD registrar'larına RDAP zorunluluğu getirmiştir; 2025 sonrası gTLD WHOIS sunucularının kademeli olarak kapatılması beklenmektedir. Bu yüzden modern bir domain search aracı kuruyorsanız, ana protokol olarak RDAP'i, fallback olarak WHOIS'i kullanmanız mantıklıdır.

Komut Satırından RDAP Sorgusu

RDAP yanıtının yapısı, vCard formatına dayalı kontak bloklarından, etkinlik (events) listesinden, bağlantı (links) zincirinden ve durum (status) etiketlerinden oluşur. Bu yapı sayesinde bir domain info dashboard'unu sıfırdan yazmak çok daha basittir.

WHOIS Çıktısındaki Önemli Alanlar

Bir whois site sorgusunun ham çıktısında gözüken alanlar başlangıçta korkutucu olabilir. Aşağıdaki tablo en çok karşılaşılan ve gerçek karar verme için anlamlı olan alanları sıralar.

  • Domain Name — sorgulanan alan adının normalize edilmiş hali (büyük harf, IDN'lerde Punycode).
  • Registry Domain ID — registry tarafından atanan benzersiz tanımlayıcı (gTLD'ler için).
  • Registrar — alan adının kaydedildiği akredite registrar şirketi.
  • Creation Date — alan adının ilk kez kaydedildiği tarih (UTC).
  • Updated Date — son değişiklik tarihi (DNS, contact, status değişimi).
  • Registry Expiry Date — yenileme yapılmazsa düşeceği son gün (UTC).
  • Domain Status — EPP status code'ları (clientTransferProhibited, serverHold, pendingDelete vb.).
  • Name Server — alan adının DNS sorularını cevaplayan authoritative nameserver listesi.
  • DNSSEC — DNSSEC imzalı mı (signedDelegation) yoksa imzasız mı (unsigned).
  • Registrant / Admin / Tech Contact — kayıt sahibi, idari ve teknik iletişim bloğu (GDPR sonrası gTLD'lerde büyük oranda redacted).

Bu alanlardan en kritik üçü status, name server ve expiry tarihidir. Status alanı bir domain'in transfer edilebilir olup olmadığını, registry kilidinin çalıştığını veya delete kuyruğunda olup olmadığını söyler. Nameserver listesi DNS denetimi için zorunludur. Expiry tarihi ise yenileme stratejisinin omurgasıdır — özellikle önemli alan adları için 30/60/90 gün öncesinden alarm kurmak gereklidir.

Domain Status Kodları (EPP) Cep Sözlüğü

EPP (Extensible Provisioning Protocol) durum kodları, domain'in registry seviyesindeki kilitlerini ve yaşam döngüsündeki aşamasını ifade eder. Tam liste ICANN EPP Status Codes sayfasındadır.

  • clientTransferProhibited — registrar, başka registrar'a transferi engelliyor (registrar lock). Transfer sırasında kaldırılması gerekir.
  • clientUpdateProhibited — registrar tarafında DNS / contact değişikliği bloklu.
  • clientDeleteProhibited — yanlışlıkla silinmesini engellemek için. Yüksek değerli domain'ler için tavsiye edilir.
  • serverTransferProhibited — registry seviyesinde transfer kilidi (registrar değiştiremez).
  • pendingDelete — RGP süresi (Redemption Grace Period) bitti, alan adı 5 gün içinde havuza dönecek.
  • redemptionPeriod — sona ermiş ama henüz silinmemiş; yüksek ücretle restore edilebilir (~80-150 USD).
  • autoRenewPeriod — registry tarafında otomatik yenilendi, registrar 45 gün içinde tahsilat yapmazsa silinir.
  • inactive — alan adının atanmış nameserver'ı yok, çözümlenemez.
  • ok — herhangi bir kısıt yok, transfer ve değişikliğe açık.

Yüksek değerli marka domain'leri için clientUpdateProhibited + clientTransferProhibited + clientDeleteProhibited üçlüsünün aktif olması, domain hijack saldırılarına karşı en pratik koruma katmanıdır. Bunlar registrar panelinden her zaman aktive edilemeyebilir; çoğu ciddi registrar bu lock'lar için ek bir 2FA/manuel onay süreci işletir.

GDPR Sonrası WHOIS: Redaction Çağı

AB'nin GDPR'ı 2018'de yürürlüğe girdiğinden bu yana, gTLD WHOIS kayıtlarındaki kişisel veri büyük ölçüde maskelenmiş haldedir. ICANN'in Temporary Specification ve sonrasındaki Registration Data Policy çerçevesinde, registrant adı/email/telefon alanları artık REDACTED FOR PRIVACY şeklinde döner. İletişim için registrar'ın sağladığı anonim webform veya mail relay kullanılır.

Bu, marka koruma ve fraud araştırmaları için ciddi bir engeldir; aynı zamanda meşru reklamveren / yatırımcı için de kayıt sahibine ulaşmayı zorlaştırır. Çözüm yolları: (1) registrar'ın anonim mail relay'ini kullanmak, (2) hukuki süreçle (UDRP / mahkeme) registry'den veri talep etmek, (3) RDAP üzerinden tier-2 erişim için ICANN akreditasyonu almak.

.tr alan adlarında durum biraz farklı: tüzel kişiliklerin (şirket, dernek, vakıf) bilgileri büyük oranda görünür kalır, ancak gerçek kişilerin (.com.tr içinde de olabilir) kişisel verileri benzer biçimde maskelenir. .tr WHOIS davranışı detaylı rehberimizde anlatılmıştır.

DNS Sorgusu ile WHOIS Sorgusu Aynı Şey Değildir

whois dns ifadesi sıkça karıştırılır. WHOIS, alan adının kayıt bilgilerini (kim sahip, ne zaman kaydedildi, hangi registrar, nameserver'lar neler) verir. DNS ise alan adının çözümleme verisini (A, AAAA, MX, TXT, CNAME, NS, SOA kayıtları) verir. Bir alan adının nameserver'ları WHOIS'te listelenir; ancak bu nameserver'lardaki gerçek kayıtları görmek için ayrıca DNS sorgusu yapmak gerekir.

Ciddi bir website info araştırması mutlaka her iki katmanı da kapsamalıdır. Örneğin bir alan adının WHOIS'te DNSSEC=signed göründüğü halde DNS sorgusunda DS record'unun bulunmaması bir konfigürasyon kaymasıdır. Detaylı DNS senaryoları için DNS Nedir, Ayarları Değiştirme rehberimize göz atabilirsiniz.

Bulk Domain Search: Toplu Sorgulama

Bir marka için 50-200 farklı kombinasyonu (ana isim + TLD varyasyonu, kısa formlar, alternatif yazımlar) tek tek aramak akıl dışıdır. Bulk domain search bu noktada devreye girer. Web tabanlı registrar arayüzleri 5-10 alan adına kadar destek verirken, gerçek bulk işlemleri komut satırı üzerinde yapılır.

Yukarıdaki script naif bir başlangıçtır — gerçek production senaryolarda paralel sorgu (xargs -P 4), exponential backoff, ve her TLD için doğru WHOIS sunucusunun seçilmesi gerekir. Çoğu registry'nin hash başına saatlik 60-200 sorgu limiti vardır; sınırı aşan IP'ler 5-15 dakika engellenir.

RDAP ile Paralel Bulk Sorgulama

RDAP HTTP üzerinde çalıştığı için curl + parallel ya da xargs -P ile çok daha kolay paralelleştirilebilir. JSON yanıt sayesinde jq ile state machine kurmak da kolaydır.

TLD Kategorileri ve Domain Name Search Engine Mantığı

Bir domain name search engine (modern domain finder araçları) yalnızca girdiyle birebir eşleşen alan adına bakmaz; aynı zamanda akıllı öneri motoru çalıştırır. Bu motorların çalışma prensibini anlamak, satın alma kararı verirken kritik.

  • gTLD (Generic Top-Level Domain) —.com,.net,.org,.info,.biz. Geniş kullanım, evrensel marka alanı için en güvenli tercih..com hâlâ en yüksek hatırlanırlık oranına sahip.
  • nTLD (New gTLD) — 2013 sonrası ICANN tarafından yaygınlaştırılan yeni uzantılar:.app,.dev,.ai,.io,.tech,.design,.cloud,.shop,.agency. Tematik markalar için yararlı; ancak bazıları premium fiyatlandırmalı.
  • ccTLD (Country Code TLD) —.tr,.com.tr,.uk,.de,.fr,.nl,.jp. Ülke bazlı SEO sinyali güçlü; domain name search uk gibi sorgular için yerel bir ccTLD almak yerel arama sıralamasında doğrudan etkilidir.
  • sTLD (Sponsored TLD) —.gov,.edu,.museum,.aero. Belirli bir kuruma ait kapalı uzantılar; kayıt için akreditasyon zorunlu.
  • IDN ccTLD —.中国,.рф,.مصر gibi yerel alfabelerle yazılan ülke uzantıları. IDN-aware araçlarla araştırılmalı.

Modern domain finder motorları girdiyi alır, şu işlemleri uygular: stem extraction (suffix sıyrılır), eşanlamlı genişletme (lexicon ve neural embedding üzerinden), öncelikli TLD listesi, premium domain havuzu kontrolü, expiring/deleted listesi taraması ve son olarak ML tabanlı estetik puanlama (uzunluk, telaffuz edilebilirlik, kelime bütünlüğü). Bunlar işin pazarlama yüzü; arka planda hâlâ aynı registry/registrar API'leri kullanılır.

Premium, Expiring ve Deleted Domain Havuzları

Domain dünyası yalnızca "yeni kayıt yaptır" mantığıyla işlemez. Üç ek kategoriyi anlamak, ciddi bir domain query sürecinin parçasıdır.

  • Premium domains — registry tarafından özel fiyatlandırılan kısa, jenerik veya yüksek değerli alan adları. Yıllık 100 USD ile birkaç bin USD arası değişebilir; bazıları registrar'a göre farklı fiyatlanır.
  • Expiring auctions — yenilenmemiş alan adlarının silinmeden önce açık artırmaya çıkarılması. Domain backorder hizmetleri (DropCatch, SnapNames, NameJet) bu noktada kritik.
  • Deleted / re-registered — tam silinme kuyruğundan çıkıp havuza dönen alan adları. Bunlar genellikle düşük SEO otoritesi veya yüksek istenmeyen geçmiş içerdiği için dikkatli incelenmelidir.
  • Aftermarket — Sedo, Afternic, Dan, Squadhelp gibi pazaryerlerinde mevcut sahibinden satın alma. Yatırım amaçlı tutulan domain'lerin büyük kısmı buralarda listelidir.

Aftermarket'ten domain alırken muhakkak WHOIS geçmişini kontrol edin: domain'in spam listelerine girip girmediğini, daha önce bir phishing kampanyasında kullanılıp kullanılmadığını araştırın. Google Safe Browsing diagnostic ve URLhaus bu kontrol için temel kaynaklardır.

Domain Registration Check: Bir Alan Adı Gerçekten Sizin mi?

Domain registration check sadece "kayıt yapılmış mı" sorusuna değil, "kayıt size doğru şekilde işlendi mi" sorusuna da cevap arar. Üç temel doğrulama:

  • Registrant adı/kuruluşu WHOIS/RDAP üzerinde sizin yasal kuruluşunuzu mu gösteriyor? (GDPR maskelemesi olsa bile registrar panelinden görünür.)
  • Admin contact email sizin kontrol ettiğiniz bir adres mi? Çoğu transfer süreci bu maile gönderilen onay üzerinden ilerler — yanlış mail = transfer riski.
  • Auth code (EPP code) registrar paneline giriş yapıldığında alınabiliyor mu? Bu kod transfer için zorunlu — alınamıyorsa registrar üzerinde tam kontrolünüz yok demektir.

Kurumsal projelerde domain her zaman şirket hesabıyla kaydedilmeli, çalışanın kişisel maili ile değil. Çalışanın ayrılmasıyla domain'i geri almak için mahkeme süreci işletmek zorunda kalan onlarca firma vakası vardır. Best practice: kurumsal bir domains@şirket.com dağıtım listesi kurun, registrar contact alanlarını oraya bağlayın.

Türkiye Pazarı:.tr ve.com.tr Ekosistemi

.tr uzantısı 2022 sonrası nic.tr'den TRABIS'e (BTK altında) geçtiğinde Türkiye'nin domain piyasası yeniden şekillendi. Eskiden.tr alt seviye uzantıları (com.tr, org.tr, net.tr, edu.tr, gov.tr, av.tr, dr.tr, bel.tr, kep.tr, biz.tr, info.tr, name.tr, tv.tr, gen.tr, web.tr, tel.tr) belge zorunluluğu ile veriliyordu. Şimdi tüm akredite kayıt operatörleri TRABIS portalına bağlanır.

Pratik karar matrisi: kurumsal site için .com.tr belge ile alınır (vergi levhası, marka tescili, TC kimlik veya KVKK belgesi). Belgesiz alınabilen .web.tr, .gen.tr, .info.tr kişisel projeler için uygun. Doğrudan.tr uzantısı mevcut.com.tr/edu.tr/.org.tr sahiplerine öncelikli verilir; sonrasında genel kullanıma açılır.

WHOIS sorgusu için whois.nic.tr (TRABIS) authoritative sunucudur. RDAP desteği henüz tüm uzantılarda tam değildir, bu yüzden.tr için klasik WHOIS sorgusu hâlâ daha güvenilir veri verir.

.tr WHOIS Çıktısının Okunması

.com.tr için fiyat aralığı: belge sürecini yönetip yıllık yenileme dahil ~120-280 TL/yıl arasındadır (sağlayıcıya göre değişir, 2026 verisi). Doğrudan.tr uzantısı premium kategoride; öncelik döneminde ~150-400 TL, açık kayıt sonrasında ise belirli isimler için yüksek premium fiyatlanabilir.

Domain Adı Seçim Stratejisi

Teknik araçlar bir tarafa, bir markanın domain seçimi puslu bir alandır. Aşağıdaki kriterleri birarada değerlendirin:

  • Uzunluk: 6-14 karakter ideal. Daha kısa olanlar premium fiyatlı; daha uzunlar yazım hatasına davetiye.
  • Telaffuz edilebilirlik: Sözlü iletişimde tek seferde anlaşılır olmalı. "Y harfi mi, J harfi mi" sorusunu doğuracak isimlerden kaçının.
  • Tire / rakam yok: my-shop-1.com tipi kombinasyonlar SEO ve hatırlanırlık için zayıftır.
  • Marka çakışması: Hedef pazarda tescilli markalarla çatışmadığını doğrulayın. TMview ve WIPO Global Brand Database ücretsiz kaynaklardır.
  • Sosyal medya tutarlılığı: Aynı ismin Twitter/X, Instagram, LinkedIn, GitHub gibi platformlarda mevcut olduğunu kontrol edin (Namechk, KnowEm gibi araçlarla).
  • Geçmiş kontrol: WHOIS history (Wayback Machine + DomainTools) ile alan adının daha önce hangi içeriği barındırdığını araştırın.
  • Çoklu dil duyarlılığı: İsmin diğer dillerde kötü anlama gelmediğini doğrulayın.

Anchor metin SEO açısından bir alan adı belirli kelimeleri tam karşılamasa bile zayıf bir exact match domain seçmektense güçlü bir marka adı seçmek uzun vadede daha verimlidir. SEO çalışma prensiplerini ve dijital pazarlama kanalları rehberimizi de okumanızı tavsiye ederiz.

Domain Search API'leri: Programatik Sorgu

Bir SaaS, e-ticaret veya pazarlama otomasyonu kurarken WHOIS/RDAP sorgularını programatik olarak yapmak gerekir. İşte yaygın API tipleri:

  • Public RDAP gateway (rdap.org, rdap-bootstrap) — ücretsiz, rate limitli (~saatlik 60-100 sorgu/IP), authentication yok.
  • Registrar API'leri (Namecheap API, Name.com API, Hover, OpenSRS) — kayıt + müsaitlik + DNS yönetimi tek API üzerinden. API key gerekli.
  • Registry-level API (EPP üzerinden) — yalnız akredite registrar'lar erişebilir; SSL client cert ile authenticate olur.
  • WHOIS aggregator API (WhoisXML API, JsonWhoisAPI) — gTLD + ccTLD birleşik veri, zengin parsing, geçmiş veri. Aylık 50-500 USD bandında.
  • DNS API (Cloudflare API, Route 53 API, AWS Route 53 Resolver) — yalnız DNS tarafında sorgu/değişiklik için.

Production'da rate-limit, retry, exponential backoff, ve özellikle 429 yanıtlarını Retry-After header'ına saygı duyarak işlemek şarttır. Bunu kendi başınıza yazmak yerine açık kaynak kütüphanelerden faydalanın.

Domain Hijacking ve Korunma Yöntemleri

Domain hijacking, bir alan adının yetkisiz kişilerce ele geçirilmesidir — finansal, itibar ve operasyon kaybı bakımından felaket sonuçlar doğurur. En yaygın saldırı vektörleri:

  • Registrar account takeover — zayıf/sızdırılmış parola ile registrar paneline erişim.
  • Email compromise — domain admin email'i ele geçirilip transfer onayı alınır.
  • Social engineering — registrar destek ekibinin kandırılması ile transfer veya nameserver değişikliği.
  • DNS hijacking — registrar'a dokunulmadan DNS sağlayıcısının ele geçirilmesi (örnek: 2019 Sea Turtle kampanyası).
  • Subdomain takeover — terkedilmiş CNAME hedefinin başkası tarafından claim edilmesi (Heroku, GitHub Pages, S3 bucket'ları için yaygın).
  • Expired domain capture — yenilenmemiş bir domain'in havuza düştükten sonra kötü niyetli aktör tarafından kapılması.

Korunma katmanları: registrar hesabında zorunlu 2FA (donanım anahtarı tercih edilir), domain seviyesinde EPP lock'ları, registrar lock + registry lock kombinasyonu, DNSSEC imzalama, DNS sağlayıcısında multi-factor onay, kritik DNS değişikliklerinin alarm tetiklemesi, expired tracker (calendar + monitoring), ve subdomain inventory düzenli denetimi.

DNSSEC, CAA ve Domain Güvenliği

DNSSEC (DNS Security Extensions), DNS yanıtlarının kriptografik olarak imzalanmasını sağlar. Çözümleyici, registry'den root anchor'a kadar bir güven zinciri kurar; man-in-the-middle bir saldırgan zehirli yanıt enjekte etse bile imza doğrulanmadığı için reddedilir. Tüm büyük TLD'ler (.com,.net,.org,.io,.tr) DNSSEC destekler.

CAA (Certification Authority Authorization) kayıtları, hangi CA'nın domain için sertifika verebileceğini belirtir. Bir saldırgan başka bir CA'dan sahte sertifika almaya çalışsa CAA kontrolü onu engeller. Best practice: kullandığınız CA'yı (Let's Encrypt, DigiCert, Sectigo) explicit listeleyin.

SSL/TLS tarafında uçtan uca koruma için HTTPS ve TLS 1.3 rehberi, sertifika alımı için Let's Encrypt rehberi, kapsamlı saldırı yüzeyi için OWASP Top 10 2026 başlıklarına da göz atmanızı tavsiye ederiz.

Web Tabanlı Domain Search Araçları

Komut satırı her zaman elinizin altında olmayabilir. Web üzerinde en sık kullanılan, vendor-bağımsız ve güvenilir araçlar şunlardır:

  • ICANN Lookup (lookup.icann.org) — gTLD'ler için en otoriter, RDAP destekli kaynak. Reklamsız.
  • Who.is — WHOIS + RDAP + DNS + IP + nameserver tek arayüzde, geçmiş veri özeti.
  • DomainTools — premium tarafta WHOIS history ve passive DNS özellikle marka koruma takımları için kritik.
  • MXToolbox — WHOIS odağı zayıf ama DNS health, blacklist, mail server analizi için zengin.
  • DNSViz — DNSSEC chain'in görselleştirilmesinde benzersiz; konfigürasyon hatalarını anında gösterir.
  • HackerTarget WHOIS — basit, API'lı, headless senaryolar için uygun.
  • VirusTotal — domain'in zararlı etiket alıp almadığını görmek için ek katman.

markaadi'in kendi WHOIS sorgu aracı ve DNS sorgu aracı da hızlı kontroller için Türkçe arayüz sunar; ek olarak SSL Kontrol aracı zincir doğrulama için kullanışlıdır.

İngiltere ve Bölgesel Pazarlar: Domain Name Search UK Örneği

Lokalize bir domain name search uk sorgusunda dikkat edilecek noktalar Türkiye pazarındakinden farklıdır. .uk ve .co.uk uzantıları Nominet (registry) tarafından yönetilir. Nominet'in resmi WHOIS arayüzü ve whois.nic.uk WHOIS sunucusu kullanılır..uk uzantısı 2014'te açıldıktan sonra mevcut.co.uk sahiplerine öncelik tanındı; benzer mekanizma.tr için de geçerlidir.

Bölgesel pazarlarda dikkat: bazı ccTLD'ler yerel ikamet veya yerel iletişim adresi (local presence) zorunluluğu getirir..ca için Kanada bağlantısı,.au için ABN gereklidir. Yatırım amaçlı global portföy oluşturuyorsanız bu kısıtların farkında olmadan registrar tercih etmeyin.

Whois Site Kontrolü: Phishing ve Marka Koruma

Marka koruma takımlarının günlük rutini, markanızın şüpheli typo varyasyonlarını izlemektir. Örneğin amaz0n.com, arnazon.com, amazon-secure-login.com gibi varyasyonlar phishing kampanyalarında sıkça görülür.

Bu listeyi RDAP/WHOIS ile bulk taradığınızda hangi varyasyonların kayıtlı olduğunu, sahibinin kim olduğunu, nameserver'larının nereye yöneldiğini bir tabloda derleyebilirsiniz. Şüpheli olanlar için UDRP (Uniform Domain-Name Dispute-Resolution Policy) ile WIPO üzerinden hak iddia edebilirsiniz.

Wayback Machine ve Domain Geçmişi

Bir alan adı satın almadan önce Wayback Machine üzerinde geçmişini incelemek standart prosedürdür. Yıllar içinde nasıl değiştiği, hangi içeriklerin yayınlandığı, spam veya yetişkin içerikli bir geçmişi olup olmadığı SEO açısından kritik.

İdeal: temiz geçmişli, sürekli aynı kişi/marka tarafından kullanılmış, içeriği yıllar içinde tutarlı kalmış bir domain. Şüpheli işaretler: ani sahip değişiklikleri, parking sayfaları, çok sayıda farklı dil/içerik, redirect zincirleri, malware uyarıları.

Domain Transfer ve EPP Kodu

Domain transferinde dört adım vardır: (1) kaynak registrar'da transfer kilidi açılır, (2) auth kodu (EPP code) alınır, (3) hedef registrar'da transfer başlatılır, (4) email onayı verilir ve registry transferi işler. Toplam süre 5-7 gün, çoğu durumda istenirse hedef registrar tarafından hızlandırılabilir (FOA — Form of Authorization).

Transferden 60 gün önce ve sonra ICANN politikası gereği yeni bir transfer başlatılamaz. Yeni kayıt veya transferi takiben 60 günlük lock dönemini planlayın. Detaylar için domain tescili rehberi ve ICANN Transfer Policy dokümanları.

Domain Yenileme ve Yaşam Döngüsü

Bir alan adının yaşam döngüsündeki kritik tarihler — özellikle domain registration check rutini için — şu şekildedir:

  • Active: Yenileme yapıldı, tüm sistemler çalışıyor.
  • Expiration date: Yenileme yapılmazsa aktif kullanım sona erer.
  • Auto-renew grace period (0-45 gün): Registrar otomatik yenileme dener; başarılıysa tekrar aktif. Çoğu registrar bu sırada DNS resolution'ı kapatır.
  • Redemption Grace Period (RGP, 30 gün): Yüksek kurtarma ücretiyle (~80-150 USD) restore edilebilir.
  • Pending Delete (5 gün): Geri dönüş yok; alan adı havuza düşmek üzere.
  • Released to public pool: Yeniden kayıt için açık. Backorder hizmetleri ve drop-catch botları burada devreye girer.

Kurumsal politika önerisi: minimum 30/60/90 gün öncesinden çoklu kanal alarm, registrar otomatik yenileme + iki farklı ödeme yöntemi (kart düşerse yedek), domains@ dağıtım listesi alarmları, ve SSL sertifikalarınızı domain expiry'sinden 60 gün önceye senkronize edin.

DNS Tabanlı Domain Information: A Bigger Picture

Bir website info araştırmasında WHOIS/RDAP'in dışındaki sinyaller de çok değerlidir:

  • SOA record — primary nameserver, admin email (yedek erişim ipucu), serial number (DNS güncelleme sıklığı).
  • NS records — kaç nameserver kullanılıyor, hangi DNS sağlayıcısı (Cloudflare, AWS Route 53, Google Cloud DNS, NS1, kendi BIND).
  • MX records — mail altyapısı (Google Workspace, Microsoft 365, Zoho, kendi sunucu).
  • TXT/SPF/DKIM/DMARC — mail güvenlik politikaları.
  • CAA — sertifika yetkilisi politikası.
  • HTTP headers — Server, X-Powered-By, Via header'ları teknolojiyi sızdırabilir.
  • SSL sertifika — Let's Encrypt mi yoksa enterprise CA mı, geçerlilik süresi, SAN listesi (cross-domain ipucu).
  • Reverse DNS / PTR — IP'nin hangi alan adına bağlı olduğunu söyler.

Bu tek komut zinciri, bir alan adı hakkında 60 saniyede kapsamlı bir domain info raporu üretir. Sonucu CSV/JSON formatına çevirip pazarlama, satın alma veya güvenlik ekibine teslim edebilirsiniz.

Bot ve Otomasyon Karşıtı Önlemler

WHOIS ve RDAP servisleri kötüye kullanıma açıktır: spam toplayıcılar, marka kötülemeci botlar, fraud takipçileri sürekli sorgu yapar. Registry ve registrar'lar bunu üç katmanda sınırlar:

  • IP başına rate limit — saatlik 60-200 sorgu üstü 5-15 dakika ban.
  • Captcha gateway — web arayüzünde hCaptcha/reCAPTCHA.
  • API key zorunluluğu — RDAP'in tier-2 erişimi için akredite sorgulayıcılık.
  • Sözleşme katmanı — bulk veri için ICANN ya da registry ile ayrı kontrat (Verisign Domain Health,.nic.tr için TRABIS lisansı).

Kendi domain finder aracınızı kurarken bu sınırlara saygı duyun: agresif bir bot kara listeye girer ve tüm sunucu IP'niz haftalarca sorgu yapamaz. API rate limiting rehberimizdeki token bucket / sliding window kalıpları kendi tarafınızda da koruyucudur.

Bir Domain Finder Mini-Servisi Tasarlama

İçeride bir domain finder ihtiyacınız varsa (örneğin pazarlama ekibi için marka önerileri üretmek), bunu üç katmanlı yapın:

  • Suggestion engine — kelime listesi + suffix ekleme (lab, hub, ly, io) + brandable name generator (Markov chain veya küçük dil modeli).
  • Availability checker — RDAP'i tercih, WHOIS'i fallback olarak kullan; sonuçları Redis'te 6-12 saat cache'le.
  • Quality scorer — uzunluk, telaffuz, marka çakışması (TMview API), social handle availability, premium fiyat tahmini.

Üretim seviyesinde Redis cache, API key rotasyonu, queue tabanlı bulk işlem ve granüler rate limit zorunlu. Redis temelleri ve Express middleware pattern rehberlerimiz bu aşamada işinize yarar.

Sık Yapılan Hatalar ve Tuzaklar

  • Tek registrar'a güvenmek — fiyat farkı %30-50'ye kadar çıkabilir; 2-3 sağlayıcıdan paralel fiyat ve müsaitlik kontrolü yapın.
  • Premium uyarısını atlamak — bazı registrar arayüzleri premium domain'leri normal fiyatla gösterir, ödeme adımında patlar; checkout'a kadar uyanık olun.
  • Auto-renew kapalı bırakmak — kart geçersizleşse bile registrar 1-2 deneme yapar; auto-renew kapalıysa hiç deneme olmaz.
  • WHOIS history araştırmamak — daha önce spam veya phishing'de kullanılmış domain alıyor olabilirsiniz.
  • DNS değişikliği unutmak — yeni alan adı kaydı sonrası 24-72 saat propagation süresini hesaba katmamak.
  • Marka tescilini ihmal — domain'i aldınız diye marka koruması yok; ayrıca TÜRKPATENT/EUIPO başvurusu gerekir.
  • Eski email adresine kayıt — şirket çalışanı ayrılınca veya freelance proje biterse email kaybedilir, alan adı kontrolü kaybolur.

Domain Yatırımı (Domaining): Kısa Bir Bakış

Bazı kullanıcılar domain'i yalnızca ileride satmak amacıyla biriktirir (domaining). Bu alanın kendi araç seti vardır: Estibot ve GoDaddy GoValue ile değer tahmini, Namebio ile satış geçmişi araştırması, DropCatch / SnapNames / NameJet ile expired auction takibi, ve Squadhelp / Brandbucket gibi pazaryerlerinde liste tutma.

Bu rehber yatırım stratejisi rehberi değildir; ancak şunu eklemek gerekir: domain yatırımı vergisel ve hukuki açıdan ciddi bir varlık türüdür. KVKK, vergi mevzuatı (gayrimaddi varlık değer artışı) ve marka çatışmaları gibi konuları görmezden gelmek pahalıya patlar.

Sözcük Listesi: Hızlı Referans

  • Registry — bir TLD'yi yöneten kuruluş (Verisign.com, PIR.org, ICANN'in TRABIS.tr).
  • Registrar — son kullanıcıya domain satan akredite şirket (Namecheap, Hostinger, Namedotcom).
  • Registrant — domain'i kayıt ettiren son kullanıcı / kuruluş.
  • Reseller — registrar'ın altında satış yapan üçüncü taraf.
  • EPP — registrar ile registry arasındaki standart protokol (Extensible Provisioning Protocol).
  • DNS — alan adlarını IP'ye çeviren dağıtık sistem.
  • Nameserver (NS) — bir domain'in DNS sorularını cevaplayan sunucu.
  • Glue record — registry seviyesinde belirtilen NS IP'si (NS, kendi domain'i altındaysa zorunlu).
  • WHOIS — eski, düz metin kayıt sorgu protokolü.
  • RDAP — yeni, JSON tabanlı, HTTPS üzerinden çalışan kayıt sorgu protokolü.
  • UDRP — alan adı uyuşmazlık çözüm prosedürü.
  • Backorder — yenilenmemiş domain'i otomatik kapma servisi.
  • Drop-catch — domain havuza düşer düşmez ms hassasiyetinde kapma.
  • Premium / standard / promo — fiyatlandırma kategorileri.

Türkiye'deki Yerel Sağlayıcılar

Bir whois sc veya who is sc sorgusu, çoğunlukla yerel sağlayıcıların.com.tr ve.tr odaklı sayfalarına işaret eder (sc = sorgu/site check kısaltması). Türkiye'deki yerel sağlayıcılar arasında İsimTescil, Natro, Turhost, GuzelHosting, Radore Reseller'ları, Doruk, ihs Telekom gibi isimler vardır. Her biri farklı SLA, panel kalitesi ve fiyat seviyesinde çalışır.

Yerel registrar tercih ederken bakacağınız kriterler: TRABIS lisansı (resmi akreditasyon), 2FA destekli panel, EPP code self-service, ICANN dispute desteği, fatura zamanında kesimi, müşteri hizmeti yanıt süresi, ve ek ücretsiz hizmetler (DNS panel, ücretsiz SSL aracılığı, mail forwarding). Global oyuncular (Namecheap, Hostinger, Cloudflare Registrar, Porkbun) gTLD tarafında genellikle daha keskin fiyat verir.

Maliyet Yapısı (Yaklaşık, Sağlayıcıya Göre Değişir, 2026)

  • .com yıllık: 8-15 USD standart, ~21 USD wholesale (Verisign).
  • .net yıllık: 10-15 USD.
  • .org yıllık: 10-15 USD.
  • .io yıllık: 35-50 USD.
  • .ai yıllık: 55-110 USD (.ai ccTLD wholesale yüksek).
  • .app,.dev yıllık: 15-25 USD (Google'ın Charleston Road Registry'si).
  • .co yıllık: 25-35 USD.
  • .com.tr yıllık: 120-280 TL.
  • Doğrudan.tr: standart 200-500 TL bandı, premium isimler için 1000+ TL.
  • Privacy protection: çoğu büyük registrar ücretsiz; bazılarında yıllık 5-10 USD.
  • RGP restore: 80-150 USD (gTLD),.tr için sağlayıcıya bağlı.

Birden fazla yıl peşin ödendiğinde indirim genellikle %5-15 bandında. Çok yıllı ön ödeme aynı zamanda yenileme riskini de düşürür — kart geçersizleşse bile bir yıl daha hayatta kalırsınız.

Domain Search SEO Etkileri

Domain seçimi SEO açısından doğrudan büyük etki yaratmaz, ancak dolaylı olarak çok katmanlı etkilidir. Teknik SEO Kontrol Listesi 2026, Core Web Vitals 2026 ve site optimizasyonu rehberlerimiz bütünleşik bir bakış sunar.

  • ccTLD kullanımı yerel arama hedeflemesini netleştirir (.tr Türkiye için,.uk İngiltere için).
  • Domain age tek başına ranking faktörü değildir; ancak eski domain'lerin backlink portföyü genelde daha geniş olur.
  • Penalty geçmişi önemlidir; manuel veya algorithmic penalty almış domain'ler aylar boyunca toparlanmayabilir.
  • HTTPS şart; modern domain alımı sonrası ilk gün Let's Encrypt SSL kurulumu yapın.
  • www vs non-www canonicalization — tek varyantı tercih edip 301 ile diğerini yönlendirin.

Vaka Analizi: Bir Marka için 60 Dakikalık Domain Discovery

Pratik bir senaryo: Yeni bir B2B SaaS markası için 60 dakika içinde uçtan uca domain discovery. İşte adım adım iş akışı.

  • 0-10 dk: Hedef sektör, kullanıcı kişiliği ve ton üzerinden 30-50 isim havuzu üret. Brandbucket, Squadhelp ve manuel beyin fırtınası karışık.
  • 10-25 dk: Üst 15 ismi RDAP/WHOIS ile 10 farklı TLD'ye karşı bulk taradım. Müsait + makul fiyatlı kombinasyonları işaretle.
  • 25-40 dk: Müsait kalan domain'lerin Wayback Machine üzerinden geçmişini kontrol et. Spam geçmişi varsa düş.
  • 40-50 dk: Marka çakışması taraması: TMview + WIPO + USPTO TESS. Tescilli marka çatışması varsa düş.
  • 50-55 dk: Sosyal handle kontrolü (Twitter/X, Instagram, LinkedIn, GitHub). Tutarlı kullanılabilir olanları seç.
  • 55-60 dk: Üst 3 adayı paydaşlarla paylaş, 24 saat geri dönüş süresi belirle.

Bu sürecin sonunda 1-3 net aday domain elinizde olur. Karar verdikten sonra registrar paneline gir, lock'ları aktive et, 2FA kur, alarmları ayarla. Kurumsal sahiplikle (gerçek kişi e-postası değil) kaydet. SSL otomatik yenileme ekle. Aynı gün CAA + DMARC + SPF politikalarını yaz.

Karşılaşılan Edge-Case'ler

  • Punycode IDN — Türkçe karakterli alan adları (örn: çiçekçi.com) ASCII karşılığı xn--cieki-pta1da.com ile kaydedilir. WHOIS sorgularında her iki form da çalışır ama ekran çıktısı Punycode olabilir.
  • Trademark Clearinghouse (TMCH) Sunrise — yeni gTLD lansmanlarında tescilli marka sahiplerine erken kayıt önceliği. Sunrise dönemi sonrası açılan domain'ler için daha yüksek dispute riski.
  • EPP grace billing — bazı registrar'lar yenileme + iade kombinasyonu (AGP — Add Grace Period) ile kötüye kullanım yapan tarafları engellemek için 5 gün içinde iade talebine sınır koyar.
  • Hyphenated brand attack — markanızın ortasına tire eklenmiş varyasyon (paypal-secure.com) defansif olarak kayıt etmeniz gereken alanlardandır.
  • Subdomain takeover — terkedilmiş Heroku/GitHub Pages CNAME hedefleri, kötü niyetli üçüncü taraflarca claim edilebilir; düzenli envanter yapılmalı.

İzleme: Domain Monitoring Servisleri

Bir domain alındıktan sonra iş bitmez — sürekli izlenmesi gerekir. İzleme hedefleri: yenileme tarihi, status değişimi (lock'ların kaldırılması!), nameserver değişimi, SSL süresi, DNS kaymaları, blacklist'e düşme.

Daha kapsamlı izleme için Datadog Synthetic, UptimeRobot, StatusCake gibi servisler hem HTTP hem WHOIS hem SSL kontrollü tek panelde sunar. Self-hosted istiyorsanız Uptime Kuma + bir cron job iş görür.

Kontrol Listesi: Yeni Domain Almadan Önce

  • Müsaitlik kontrolü en az 2 farklı kaynaktan yapıldı (registrar + RDAP).
  • Premium fiyat tuzağı yok (checkout'a kadar fiyat sabit gözüktü).
  • WHOIS history Wayback üzerinden tarandı, kötü geçmiş yok.
  • Marka çatışması TMview + WIPO ile araştırıldı.
  • Sosyal handle uygunluğu Namechk ile kontrol edildi.
  • Birden fazla TLD'yi defansif olarak alma stratejisi netleşti (.com +.net veya.com + ccTLD).
  • Registrar 2FA aktif, kurumsal email ile kayıt yapıldı.
  • Auto-renew + yedek ödeme yöntemi kuruldu.
  • EPP lock'lar (transfer, update, delete) aktive edildi.
  • DNS / SSL / mail kayıtları kayıt günü içinde yapılandırıldı.
  • Monitoring (uptime + WHOIS + SSL) ayarlandı.
  • 60-gün lock dönemi planlamaya dahil edildi (acil transfer mümkün değil).

Bu listenin %100'ü geçilmedikçe "domain alındı" kabul etmeyin. Eksik bir kalemden dolayı kaybedilen kurumsal domain'leri geri kazanmak hem pahalı hem yavaştır.

Kaynaklar ve İleri Okuma

İlgili markaadi Yazıları

Domain araştırması, marka koruma ve DNS mimarisi için profesyonel destek

WHOIS/RDAP sorgu otomasyonu, marka koruma izlemesi, DNS mimarisi ve SSL/DNSSEC kurulumu konusunda destek almak için iletişime geçin

Yazan:

KEYDAL kurucusu ve baş geliştirici. 2026'dan bu yana hosting, yazılım geliştirme ve SEO alanlarında kurumsal müşterilere hizmet veriyor.

İlgili Yazılar

Bu yazıyı okuyanlar bunları da okudu

domain 27 dk

Ücretsiz Domain ve Hosting Veren Siteler 2026: Gerçek Maliyet, Limitler ve Riskler

Ücretsiz domain ve hosting veren siteleri vendor-neutral incelendi: hangi TLD'ler bedava, hangi limitler, gizli maliyetler, reklam politikası, performans/güvenlik tradeoff'ları ve ucuz alternatiflerle 2026 karşılaştırması.
domain 27 dk

Domain IP Sorgulama: Site IP Adresi Bulma, DNS, Reverse Lookup ve WHOIS Rehberi

Bir domainin IP adresini bulmak için DNS sorgulama (dig, nslookup, host), reverse lookup, WHOIS, RDAP, traceroute ve port tarama yöntemlerini gerçek komutlarla anlatan kapsamlı 2026 rehberi.
domain 27 dk

Domain Transfer Rehberi 2026: Alan Adı Taşıma Adımları, Süre ve Ücret

Domain transferi nasıl yapılır? EPP/auth code, registrar lock, 60 gün kuralı, .com.tr ve .tr için TRABIS prosedürü, transfer süresi, ücretler ve hata mesajlarıyla en kapsamlı 2026 alan adı transfer rehberi.
WhatsApp