Back

Analizzatore Record DNS

DNS (Domain Name System) mappa i nomi di dominio agli indirizzi IP e configura l'instradamento email. Questo strumento analizza l'output dei file di zona da dig o BIND, analizza i record di autenticazione email (SPF, DMARC, DKIM, BIMI) e avvisa sulle configurazioni errate comuni.

Specifiche

Casi d'uso comuni

  • Analisi dell'output di dig o host per la risoluzione dei problemi
  • Audit della configurazione DNS del dominio prima della migrazione
  • Verifica della configurazione dell'autenticazione email (SPF, DMARC, DKIM)
  • Debug dei problemi di consegnabilita email
  • Documentazione dei record DNS del dominio per la conformita
  • Verifica dei record CAA prima di richiedere certificati SSL

Funzionalità

  • Analisi dell'output di file di zona BIND/dig
  • Visualizzazione di record A, AAAA, NS, MX, TXT, CNAME, SOA, SRV, CAA, TLSA
  • Formattazione TTL leggibile (5m, 2h, 1d)
  • Rilevamento e analisi automatici dei record SPF con spiegazione dei meccanismi
  • Analisi delle policy DMARC e della configurazione dei report
  • Analisi dei record DKIM (tipo di chiave, selettore, validita, modalita test)
  • Analisi dei record BIMI (presenza VMC, validita)
  • Supporto DNSSEC (record DNSKEY, DS, RRSIG con scadenza)
  • Visualizzazione del pinning certificati TLSA/DANE
  • Validazione del conteggio lookup DNS SPF (massimo 10 per RFC 7208)
  • Avvisi su configurazioni errate dell'autenticazione email

Esempi

Output file di zona

Provalo →

Output da dig che mostra vari tipi di record.

example.com.             300     IN      A       192.0.2.1
example.com.             172800  IN      NS      ns1.example.com.
example.com.             172800  IN      NS      ns2.example.com.
example.com.             300     IN      MX      10 mail.example.com.
example.com.             300     IN      TXT     "v=spf1 include:_spf.google.com ~all"
_dmarc.example.com.      300     IN      TXT     "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

Record SPF

Provalo →

Un record SPF che autorizza Google e Mailgun a inviare email.

v=spf1 include:_spf.google.com include:mailgun.org ip4:192.168.1.0/24 ~all

Record DMARC

Provalo →

Una policy DMARC restrittiva con reporting aggregato e forense.

v=DMARC1; p=reject; rua=mailto:dmarc@example.com; ruf=mailto:forensic@example.com; adkim=s; aspf=s; pct=100

Suggerimenti

  • Ottieni tutti i record con: dig example.com ANY +noall +answer
  • SPF consente un massimo di 10 lookup DNS. Usa "include" con parsimonia.
  • DMARC p=reject e il piu forte, ma inizia con p=none e reporting rua.
  • I record CAA limitano quali CA possono emettere certificati per il tuo dominio.
  • I record TLSA abilitano DANE per la verifica dei certificati.

Approfondimenti Analizzatore Record DNS

Il Domain Name System (DNS) e il servizio di directory di internet, che traduce nomi di dominio leggibili in indirizzi IP e fornisce altre mappature critiche. I record DNS sono archiviati nei file di zona sui nameserver autoritativi, ciascuno con un nome, tipo, classe, TTL (time to live) e dati specifici per il tipo.

I tipi di record piu fondamentali gestiscono la risoluzione dei nomi. I record A mappano un dominio a un indirizzo IPv4, i record AAAA mappano a IPv6. I record CNAME creano alias che puntano un nome a un altro. I record NS delegano i sottodomini a nameserver specifici. I record MX dirigono le email ai server di posta con un valore di priorita. I record SOA contengono i metadati della zona incluso il nameserver primario e il numero di serie.

I record TXT trasportano dati di autenticazione email. I record SPF (v=spf1 ...) specificano i mittenti email autorizzati. I record DMARC (v=DMARC1; ...) indicano ai destinatari come gestire i fallimenti SPF/DKIM. I record DKIM archiviano le chiavi pubbliche per la verifica delle firme email. Un'autenticazione email mal configurata e una delle principali cause di problemi di consegnabilita.

Il valore TTL controlla per quanto tempo i resolver memorizzano le risposte nella cache. TTL alti (86400 secondi = 1 giorno) riducono il traffico DNS ma rendono le modifiche lente da propagare. TTL bassi (300 secondi = 5 minuti) consentono aggiornamenti rapidi ma aumentano il volume delle query. Prima delle migrazioni, abbassa i TTL in anticipo in modo che i vecchi valori scadano rapidamente.

Il DNS non "si propaga" nel modo in cui il termine implica. Quando un record cambia, i resolver continuano a servire il vecchio valore memorizzato nella cache fino alla scadenza del suo TTL, poi recuperano il nuovo valore dal server autoritativo. Se il TTL era 86400 (24 ore), possono essere necessarie fino a 24 ore perche la modifica sia visibile ovunque. Per accelerare le modifiche, abbassa il TTL con largo anticipo (ad esempio, a 300 secondi 48 ore prima della migrazione), effettua l'aggiornamento, poi rialza il TTL.

Un record A mappa un dominio direttamente a un indirizzo IPv4, mentre un CNAME crea un alias che punta a un altro nome di dominio: il resolver segue la catena fino al record A finale. I CNAME non possono essere usati all'apice della zona (dominio nudo come example.com) perche entrano in conflitto con i record SOA e NS richiesti all'apice. Alcuni provider DNS offrono tipi di record proprietari ALIAS o ANAME per aggirare questa limitazione.

La configurazione dell'autenticazione email prevede tre record DNS. Per SPF, aggiungi un record TXT con "v=spf1" seguito dai mittenti autorizzati. Per DKIM, aggiungi un record TXT a un sottodominio selettore contenente la chiave pubblica fornita dal servizio email. Per DMARC, aggiungi un record TXT a _dmarc.tuodominio.com specificando la policy (none, quarantine o reject) e un indirizzo di reporting. Iniziare con p=none consente di monitorare l'allineamento prima dell'applicazione. I fallimenti SPF sono comunemente causati dal superamento del limite di 10 lookup DNS, dalla dimenticanza di autorizzare un servizio di invio, dall'uso di -all (hard fail) prima che tutti i mittenti siano verificati, o dall'avere piu record SPF sullo stesso dominio: e consentito un solo record v=spf1, e record multipli causano un errore permanente.

← Torna a tutti gli strumenti