Back

Analizator rekordów DNS

DNS (Domain Name System) mapuje nazwy domen na adresy IP i konfiguruje routing poczty elektronicznej. To narzędzie parsuje wyjście plików stref z dig lub BIND, analizuje rekordy uwierzytelniania e-mail (SPF, DMARC, DKIM, BIMI) i ostrzega o typowych błędach konfiguracji.

Specyfikacje

Typowe zastosowania

  • Analiza wyjścia poleceń dig lub host do rozwiązywania problemów
  • Audyt konfiguracji DNS domeny przed migracją
  • Weryfikacja konfiguracji uwierzytelniania e-mail (SPF, DMARC, DKIM)
  • Debugowanie problemów z dostarczalnością e-mail
  • Dokumentowanie rekordów DNS domeny na potrzeby zgodności
  • Sprawdzanie rekordów CAA przed żądaniem certyfikatów SSL

Funkcje

  • Parsowanie wyjścia plików stref BIND/dig
  • Wyświetlanie rekordów A, AAAA, NS, MX, TXT, CNAME, SOA, SRV, CAA, TLSA
  • Formatowanie TTL czytelne dla człowieka (5m, 2h, 1d)
  • Automatyczne wykrywanie i analiza rekordów SPF z wyjaśnieniem mechanizmów
  • Analiza polityk DMARC i konfiguracji raportowania
  • Analiza rekordów DKIM (typ klucza, selektor, ważność, tryb testowy)
  • Analiza rekordów BIMI (obecność VMC, ważność)
  • Obsługa DNSSEC (rekordy DNSKEY, DS, RRSIG z datą wygaśnięcia)
  • Wyświetlanie przypinania certyfikatów TLSA/DANE
  • Walidacja liczby wyszukiwań DNS w SPF (maks. 10 zgodnie z RFC 7208)
  • Ostrzeganie o błędach konfiguracji uwierzytelniania e-mail

Przyklady

Wyjście pliku strefy

Wypróbuj →

Wyjście z dig pokazujące różne typy rekordów.

example.com.             300     IN      A       192.0.2.1
example.com.             172800  IN      NS      ns1.example.com.
example.com.             172800  IN      NS      ns2.example.com.
example.com.             300     IN      MX      10 mail.example.com.
example.com.             300     IN      TXT     "v=spf1 include:_spf.google.com ~all"
_dmarc.example.com.      300     IN      TXT     "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

Rekord SPF

Wypróbuj →

Rekord SPF autoryzujący Google i Mailgun do wysyłania e-mail.

v=spf1 include:_spf.google.com include:mailgun.org ip4:192.168.1.0/24 ~all

Rekord DMARC

Wypróbuj →

Ścisła polityka DMARC z raportowaniem zbiorczym i szczegółowym.

v=DMARC1; p=reject; rua=mailto:dmarc@example.com; ruf=mailto:forensic@example.com; adkim=s; aspf=s; pct=100

Wskazowki

  • Pobierz wszystkie rekordy za pomocą: dig example.com ANY +noall +answer
  • SPF pozwala na maks. 10 wyszukiwań DNS. Używaj "include" oszczędnie.
  • DMARC p=reject jest najsilniejszy, ale zacznij od p=none i raportowania rua.
  • Rekordy CAA ograniczają, które CA mogą wydawać certyfikaty dla Twojej domeny.
  • Rekordy TLSA umożliwiają DANE do weryfikacji certyfikatów.

Zrozumienie Analizator rekordów DNS

Domain Name System (DNS) to usługa katalogowa internetu, tłumacząca czytelne dla człowieka nazwy domen na adresy IP i zapewniająca inne kluczowe mapowania. Rekordy DNS są przechowywane w plikach stref na autorytatywnych serwerach nazw, każdy z nazwą, typem, klasą, TTL (time to live) i danymi specyficznymi dla typu.

Najbardziej podstawowe typy rekordów obsługują rozwiązywanie nazw. Rekordy A mapują domenę na adres IPv4, rekordy AAAA mapują na IPv6. Rekordy CNAME tworzą aliasy wskazujące jedną nazwę na inną. Rekordy NS delegują subdomeny do określonych serwerów nazw. Rekordy MX kierują pocztę elektroniczną do serwerów pocztowych z wartością priorytetu. Rekordy SOA zawierają metadane strefy, w tym główny serwer nazw i numer seryjny.

Rekordy TXT przechowują dane uwierzytelniania e-mail. Rekordy SPF (v=spf1 ...) określają autoryzowanych nadawców e-mail. Rekordy DMARC (v=DMARC1; ...) informują odbiorców, jak obsługiwać niepowodzenia SPF/DKIM. Rekordy DKIM przechowują klucze publiczne do weryfikacji podpisów e-mail. Błędna konfiguracja uwierzytelniania e-mail jest główną przyczyną problemów z dostarczalnością.

Wartość TTL kontroluje, jak długo resolwery buforują odpowiedzi. Wysokie TTL (86400 sekund = 1 dzień) zmniejszają ruch DNS, ale spowalniają propagację zmian. Niskie TTL (300 sekund = 5 minut) umożliwiają szybkie aktualizacje, ale zwiększają liczbę zapytań. Przed migracjami obniż TTL z wyprzedzeniem, aby stare wartości szybko wygasły.

DNS w rzeczywistości nie "propaguje się" w sposób, jaki sugeruje ten termin. Gdy rekord się zmieni, resolwery kontynuują serwowanie zbuforowanej starej wartości, aż wygaśnie jej TTL, a następnie pobierają nową wartość z autorytatywnego serwera. Jeśli TTL wynosiło 86400 (24 godziny), zmiana może być widoczna wszędzie dopiero po 24 godzinach. Aby przyspieszyć zmiany, obniż TTL z odpowiednim wyprzedzeniem (np. do 300 sekund 48 godzin przed migracją), dokonaj aktualizacji, a następnie ponownie podnieś TTL.

Rekord A mapuje domenę bezpośrednio na adres IPv4, podczas gdy CNAME tworzy alias wskazujący na inną nazwę domeny — resolwer podąża za łańcuchem do końcowego rekordu A. CNAME nie może być używane w wierzchołku strefy (gołej domenie jak example.com), ponieważ koliduje z wymaganymi rekordami SOA i NS w wierzchołku. Niektórzy dostawcy DNS oferują własne typy rekordów ALIAS lub ANAME, aby obejść to ograniczenie.

Konfiguracja uwierzytelniania e-mail wymaga trzech rekordów DNS. Dla SPF dodaj rekord TXT z "v=spf1" i autoryzowanymi nadawcami. Dla DKIM dodaj rekord TXT pod subdomeną selektora zawierający klucz publiczny dostarczony przez usługę pocztową. Dla DMARC dodaj rekord TXT pod _dmarc.twojadomena.com określający politykę (none, quarantine lub reject) i adres raportowania. Rozpoczęcie od p=none pozwala monitorować zgodność przed wymuszaniem. Niepowodzenia SPF są najczęściej spowodowane przekroczeniem limitu 10 wyszukiwań DNS, zapomnieniem o autoryzacji usługi wysyłającej, użyciem -all (twardy błąd) przed zweryfikowaniem wszystkich nadawców lub posiadaniem wielu rekordów SPF w tej samej domenie — dozwolony jest tylko jeden rekord v=spf1, a wiele rekordów powoduje trwały błąd.

← Powrot do wszystkich narzedzi