Back

Анализатор DNS-записей

DNS (Domain Name System) — записи, которые сопоставляют доменные имена с IP-адресами и настраивают маршрутизацию электронной почты. Этот инструмент разбирает вывод файлов зон из dig или BIND, анализирует записи аутентификации электронной почты (SPF, DMARC, DKIM, BIMI) и предупреждает о распространённых ошибках конфигурации.

Спецификации

Типичные сценарии использования

  • Анализ вывода команд dig или host для устранения неполадок
  • Аудит DNS-конфигурации домена перед миграцией
  • Проверка настроек аутентификации электронной почты (SPF, DMARC, DKIM)
  • Отладка проблем с доставкой электронной почты
  • Документирование DNS-записей домена для соответствия требованиям
  • Проверка записей CAA перед запросом SSL-сертификатов

Возможности

  • Разбор вывода файлов зон BIND/dig
  • Отображение записей A, AAAA, NS, MX, TXT, CNAME, SOA, SRV, CAA, TLSA
  • Человекочитаемое форматирование TTL (5m, 2h, 1d)
  • Автоопределение и анализ записей SPF с объяснением механизмов
  • Анализ политик DMARC и конфигурации отчётности
  • Анализ записей DKIM (тип ключа, селектор, валидность, тестовый режим)
  • Анализ записей BIMI (наличие VMC, валидность)
  • Поддержка DNSSEC (записи DNSKEY, DS, RRSIG с истечением срока)
  • Отображение TLSA/DANE-привязки сертификатов
  • Проверка количества DNS-запросов SPF (максимум 10 по RFC 7208)
  • Предупреждение об ошибках конфигурации аутентификации электронной почты

Примеры

Вывод файла зоны

Попробовать →

Вывод dig, показывающий различные типы записей.

example.com.             300     IN      A       192.0.2.1
example.com.             172800  IN      NS      ns1.example.com.
example.com.             172800  IN      NS      ns2.example.com.
example.com.             300     IN      MX      10 mail.example.com.
example.com.             300     IN      TXT     "v=spf1 include:_spf.google.com ~all"
_dmarc.example.com.      300     IN      TXT     "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

Запись SPF

Попробовать →

Запись SPF, авторизующая Google и Mailgun для отправки почты.

v=spf1 include:_spf.google.com include:mailgun.org ip4:192.168.1.0/24 ~all

Запись DMARC

Попробовать →

Строгая политика DMARC с агрегированной и форенсик-отчётностью.

v=DMARC1; p=reject; rua=mailto:dmarc@example.com; ruf=mailto:forensic@example.com; adkim=s; aspf=s; pct=100

Советы

  • Получить все записи: dig example.com ANY +noall +answer
  • SPF допускает максимум 10 DNS-запросов. Используйте "include" экономно.
  • DMARC p=reject — самый строгий режим, но начинайте с p=none и отчётности rua.
  • Записи CAA ограничивают, какие удостоверяющие центры могут выдавать сертификаты для вашего домена.
  • Записи TLSA включают DANE для проверки сертификатов.

Описание Анализатор DNS-записей

Система доменных имён (DNS) — это служба каталогов интернета, транслирующая человекочитаемые доменные имена в IP-адреса и обеспечивающая другие важные сопоставления. DNS-записи хранятся в файлах зон на авторитетных серверах имён, каждая с именем, типом, классом, TTL (время жизни) и данными, специфичными для типа.

Наиболее фундаментальные типы записей обслуживают разрешение имён. Записи A сопоставляют домен с IPv4-адресом, записи AAAA — с IPv6. Записи CNAME создают псевдонимы, указывающие одно имя на другое. Записи NS делегируют поддомены определённым серверам имён. Записи MX направляют электронную почту на почтовые серверы с приоритетом. Записи SOA содержат метаданные зоны, включая первичный сервер имён и серийный номер.

Записи TXT содержат данные аутентификации электронной почты. Записи SPF (v=spf1 ...) определяют авторизованных отправителей. Записи DMARC (v=DMARC1; ...) указывают получателям, как обрабатывать ошибки SPF/DKIM. Записи DKIM хранят открытые ключи для проверки подписей электронной почты. Неправильная настройка аутентификации электронной почты — ведущая причина проблем с доставкой.

Значение TTL контролирует, как долго резолверы кешируют ответы. Высокие TTL (86400 секунд = 1 день) снижают DNS-трафик, но замедляют распространение изменений. Низкие TTL (300 секунд = 5 минут) обеспечивают быстрые обновления, но увеличивают объём запросов. Перед миграциями заранее снижайте TTL, чтобы старые значения быстро истекали.

DNS на самом деле не «распространяется» в том смысле, который подразумевает этот термин. Когда запись изменяется, резолверы продолжают отдавать кешированное старое значение до истечения его TTL, а затем получают новое значение с авторитетного сервера. Если TTL был 86400 (24 часа), может потребоваться до 24 часов для того, чтобы изменение стало видимым везде. Для ускорения изменений заранее понизьте TTL (например, до 300 секунд за 48 часов до миграции), выполните обновление, а затем снова повысьте TTL.

Запись A сопоставляет домен напрямую с IPv4-адресом, тогда как CNAME создаёт псевдоним, указывающий на другое доменное имя — резолвер следует по цепочке до конечной записи A. CNAME нельзя использовать на вершине зоны (голый домен, такой как example.com), поскольку они конфликтуют с обязательными записями SOA и NS на вершине. Некоторые DNS-провайдеры предлагают проприетарные типы записей ALIAS или ANAME для обхода этого ограничения.

Настройка аутентификации электронной почты включает три DNS-записи. Для SPF добавьте запись TXT с "v=spf1", за которым следуют авторизованные отправители. Для DKIM добавьте запись TXT на поддомене селектора, содержащую открытый ключ, предоставленный сервисом электронной почты. Для DMARC добавьте запись TXT на _dmarc.yourdomain.com, указывающую политику (none, quarantine или reject) и адрес для отчётности. Начинайте с p=none, чтобы мониторить согласованность перед применением. Ошибки SPF обычно вызваны превышением лимита в 10 DNS-запросов, забытой авторизацией отправляющего сервиса, использованием -all (жёсткий отказ) до проверки всех отправителей или наличием нескольких записей SPF на одном домене — разрешена только одна запись v=spf1, а несколько записей вызывают постоянную ошибку.

← Вернуться ко всем инструментам