Back

Penganalisis DNS Records

DNS (Domain Name System) records memetakan nama domain ke alamat IP dan mengkonfigurasi routing email. Alat ini mengurai output file zona dari dig atau BIND, menganalisis record autentikasi email (SPF, DMARC, DKIM, BIMI), dan memperingatkan tentang miskonfigurasi umum.

Spesifikasi

Kasus Penggunaan Umum

  • Menganalisis output perintah dig atau host untuk pemecahan masalah
  • Mengaudit konfigurasi DNS domain sebelum migrasi
  • Memverifikasi pengaturan autentikasi email (SPF, DMARC, DKIM)
  • Debug masalah pengiriman email
  • Mendokumentasikan DNS records domain untuk kepatuhan
  • Memeriksa record CAA sebelum meminta sertifikat SSL

Fitur

  • Mengurai output file zona BIND/dig
  • Menampilkan record A, AAAA, NS, MX, TXT, CNAME, SOA, SRV, CAA, TLSA
  • Formatting TTL yang mudah dibaca (5m, 2h, 1d)
  • Deteksi otomatis dan analisis record SPF dengan penjelasan mekanisme
  • Menganalisis kebijakan DMARC dan konfigurasi pelaporan
  • Analisis record DKIM (tipe kunci, selector, validitas, mode pengujian)
  • Analisis record BIMI (kehadiran VMC, validitas)
  • Dukungan DNSSEC (record DNSKEY, DS, RRSIG dengan kedaluwarsa)
  • Tampilan pinning sertifikat TLSA/DANE
  • Validasi jumlah pencarian DNS SPF (maks 10 per RFC 7208)
  • Memperingatkan tentang miskonfigurasi autentikasi email

Contoh

Output File Zona

Coba →

Output dari dig yang menampilkan berbagai tipe record.

example.com.             300     IN      A       192.0.2.1
example.com.             172800  IN      NS      ns1.example.com.
example.com.             172800  IN      NS      ns2.example.com.
example.com.             300     IN      MX      10 mail.example.com.
example.com.             300     IN      TXT     "v=spf1 include:_spf.google.com ~all"
_dmarc.example.com.      300     IN      TXT     "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

Record SPF

Coba →

Record SPF yang mengotorisasi Google dan Mailgun untuk mengirim email.

v=spf1 include:_spf.google.com include:mailgun.org ip4:192.168.1.0/24 ~all

Record DMARC

Coba →

Kebijakan DMARC ketat dengan pelaporan agregat dan forensik.

v=DMARC1; p=reject; rua=mailto:dmarc@example.com; ruf=mailto:forensic@example.com; adkim=s; aspf=s; pct=100

Tips

  • Dapatkan semua record dengan: dig example.com ANY +noall +answer
  • SPF mengizinkan maks 10 pencarian DNS. Gunakan "include" secara hemat.
  • DMARC p=reject adalah yang terkuat, tetapi mulailah dengan p=none dan pelaporan rua.
  • Record CAA membatasi CA mana yang dapat menerbitkan sertifikat untuk domain Anda.
  • Record TLSA mengaktifkan DANE untuk verifikasi sertifikat.

Pemahaman Penganalisis DNS Records

Domain Name System (DNS) adalah layanan direktori internet, menerjemahkan nama domain yang dapat dibaca manusia menjadi alamat IP dan menyediakan pemetaan kritis lainnya. DNS records disimpan dalam file zona pada nameserver otoritatif, masing-masing dengan nama, tipe, kelas, TTL (time to live), dan data khusus tipe.

Tipe record paling mendasar menangani resolusi nama. Record A memetakan domain ke alamat IPv4, record AAAA memetakan ke IPv6. Record CNAME membuat alias yang menunjuk satu nama ke nama lain. Record NS mendelegasikan subdomain ke nameserver tertentu. Record MX mengarahkan email ke server mail dengan nilai prioritas. Record SOA berisi metadata zona termasuk nameserver primer dan nomor serial.

Record TXT membawa data autentikasi email. Record SPF (v=spf1 ...) menentukan pengirim email yang diotorisasi. Record DMARC (v=DMARC1; ...) memberi tahu penerima cara menangani kegagalan SPF/DKIM. Record DKIM menyimpan kunci publik untuk verifikasi tanda tangan email. Autentikasi email yang salah dikonfigurasi adalah penyebab utama masalah pengiriman.

Nilai TTL mengontrol berapa lama resolver meng-cache respons. TTL tinggi (86400 detik = 1 hari) mengurangi lalu lintas DNS tetapi membuat perubahan lambat menyebar. TTL rendah (300 detik = 5 menit) memungkinkan pembaruan cepat tetapi meningkatkan volume kueri. Sebelum migrasi, turunkan TTL di awal agar nilai lama kedaluwarsa dengan cepat.

DNS sebenarnya tidak "menyebar" seperti yang tersirat oleh istilah tersebut. Ketika record berubah, resolver terus menyajikan nilai lama yang di-cache sampai TTL-nya kedaluwarsa, lalu mengambil nilai baru dari server otoritatif. Jika TTL adalah 86400 (24 jam), diperlukan hingga 24 jam agar perubahan terlihat di mana-mana. Untuk mempercepat perubahan, turunkan TTL jauh sebelumnya (misalnya, ke 300 detik 48 jam sebelum migrasi), lakukan pembaruan, lalu naikkan TTL kembali setelahnya.

Record A memetakan domain langsung ke alamat IPv4, sementara CNAME membuat alias yang menunjuk ke nama domain lain — resolver mengikuti rantai ke record A akhir. CNAME tidak dapat digunakan di apex zona (domain telanjang seperti example.com) karena bertentangan dengan record SOA dan NS yang diperlukan di apex. Beberapa penyedia DNS menawarkan tipe record ALIAS atau ANAME proprietary untuk mengatasi keterbatasan ini.

Mengatur autentikasi email melibatkan tiga DNS records. Untuk SPF, tambahkan record TXT dengan "v=spf1" diikuti oleh pengirim yang diotorisasi. Untuk DKIM, tambahkan record TXT pada subdomain selector yang berisi kunci publik yang disediakan oleh layanan email. Untuk DMARC, tambahkan record TXT di _dmarc.domain-anda.com yang menentukan kebijakan (none, quarantine, atau reject) dan alamat pelaporan. Memulai dengan p=none memungkinkan pemantauan keselarasan sebelum menerapkan. Kegagalan SPF umumnya disebabkan oleh melebihi batas 10 pencarian DNS, lupa mengotorisasi layanan pengiriman, menggunakan -all (hard fail) sebelum semua pengirim diverifikasi, atau memiliki beberapa record SPF pada domain yang sama — hanya satu record v=spf1 yang diizinkan, dan beberapa record menyebabkan error permanen.

← Kembali ke semua alat