Back

DNS Kayıt Analizörü

DNS (Alan Adı Sistemi) kayıtları, alan adlarını IP adreslerine eşler ve e-posta yönlendirmesini yapılandırır. Bu araç, dig veya BIND'den gelen bölge dosyası çıktısını ayrıştırır, e-posta kimlik doğrulama kayıtlarını (SPF, DMARC, DKIM, BIMI) analiz eder ve yaygın yanlış yapılandırmalar hakkında uyarır.

Spesifikasyonlar

Yaygin Kullanim Alanlari

  • Sorun giderme için dig veya host komut çıktısını analiz etme
  • Geçiş öncesinde alan adı DNS yapılandırmasını denetleme
  • E-posta kimlik doğrulama kurulumunu doğrulama (SPF, DMARC, DKIM)
  • E-posta teslim edilebilirlik sorunlarını hata ayıklama
  • Uyumluluk için alan adı DNS kayıtlarını belgeleme
  • SSL sertifikaları talep etmeden önce CAA kayıtlarını kontrol etme

Ozellikler

  • BIND/dig bölge dosyası çıktısını ayrıştırma
  • A, AAAA, NS, MX, TXT, CNAME, SOA, SRV, CAA, TLSA kayıtlarını görüntüleme
  • Okunabilir TTL biçimlendirmesi (5dk, 2sa, 1g)
  • SPF kayıtlarını mekanizma açıklamalarıyla otomatik algılama ve analiz etme
  • DMARC politikalarını ve raporlama yapılandırmasını analiz etme
  • DKIM kayıt analizi (anahtar türü, seçici, geçerlilik, test modu)
  • BIMI kayıt analizi (VMC varlığı, geçerlilik)
  • DNSSEC desteği (DNSKEY, DS, RRSIG kayıtları ve sona erme)
  • TLSA/DANE sertifika sabitleme görüntüleme
  • SPF DNS sorgu sayısını doğrulama (RFC 7208'e göre maksimum 10)
  • E-posta kimlik doğrulama yanlış yapılandırmaları hakkında uyarma

Ornekler

Bölge Dosyası Çıktısı

Deneyin →

Çeşitli kayıt türlerini gösteren dig çıktısı.

example.com.             300     IN      A       192.0.2.1
example.com.             172800  IN      NS      ns1.example.com.
example.com.             172800  IN      NS      ns2.example.com.
example.com.             300     IN      MX      10 mail.example.com.
example.com.             300     IN      TXT     "v=spf1 include:_spf.google.com ~all"
_dmarc.example.com.      300     IN      TXT     "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

SPF Kaydı

Deneyin →

Google ve Mailgun'un e-posta göndermesine yetki veren bir SPF kaydı.

v=spf1 include:_spf.google.com include:mailgun.org ip4:192.168.1.0/24 ~all

DMARC Kaydı

Deneyin →

Toplu ve adli raporlama ile katı bir DMARC politikası.

v=DMARC1; p=reject; rua=mailto:dmarc@example.com; ruf=mailto:forensic@example.com; adkim=s; aspf=s; pct=100

Ipuclari

  • Tüm kayıtları şu komutla alın: dig example.com ANY +noall +answer
  • SPF maksimum 10 DNS sorgusuna izin verir. "include" ifadesini dikkatli kullanın.
  • DMARC p=reject en güçlüsüdür, ancak p=none ve rua raporlaması ile başlayın.
  • CAA kayıtları, alan adınız için hangi CA'ların sertifika verebileceğini kısıtlar.
  • TLSA kayıtları, sertifika doğrulaması için DANE'yi etkinleştirir.

Anlama DNS Kayıt Analizörü

Alan Adı Sistemi (DNS), internetin dizin hizmetidir; okunabilir alan adlarını IP adreslerine çevirir ve diğer kritik eşlemeleri sağlar. DNS kayıtları, her biri bir ad, tür, sınıf, TTL (yaşam süresi) ve türe özgü veri içeren yetkili ad sunucularındaki bölge dosyalarında saklanır.

En temel kayıt türleri ad çözümlemesini işler. A kayıtları bir alanı IPv4 adresine, AAAA kayıtları IPv6'ya eşler. CNAME kayıtları bir adı diğerine yönlendiren takma adlar oluşturur. NS kayıtları alt alanları belirli ad sunucularına devreder. MX kayıtları e-postayı bir öncelik değeri ile posta sunucularına yönlendirir. SOA kayıtları birincil ad sunucusu ve seri numarası dahil bölge meta verilerini içerir.

TXT kayıtları e-posta kimlik doğrulama verilerini taşır. SPF kayıtları (v=spf1 ...) yetkili e-posta gönderenlerini belirtir. DMARC kayıtları (v=DMARC1; ...) alıcılara SPF/DKIM başarısızlıklarını nasıl ele alacaklarını söyler. DKIM kayıtları e-posta imza doğrulaması için açık anahtarları saklar. Yanlış yapılandırılmış e-posta kimlik doğrulaması, teslim edilebilirlik sorunlarının başlıca nedenidir.

TTL değeri, çözücülerin yanıtları ne kadar süre önbelleğe aldığını kontrol eder. Yüksek TTL'ler (86400 saniye = 1 gün) DNS trafiğini azaltır ancak değişikliklerin yayılmasını yavaşlatır. Düşük TTL'ler (300 saniye = 5 dakika) hızlı güncellemeler sağlar ancak sorgu hacmini artırır. Geçişlerden önce, eski değerlerin hızlıca sona ermesi için TTL'leri önceden düşürün.

DNS aslında terimin ima ettiği şekilde "yayılmaz". Bir kayıt değiştiğinde, çözücüler TTL'si sona erene kadar önbelleğe alınmış eski değeri sunmaya devam eder, ardından yetkili sunucudan yeni değeri getirir. TTL 86400 (24 saat) ise, değişikliğin her yerde görünür olması 24 saate kadar sürebilir. Değişiklikleri hızlandırmak için TTL'yi önceden düşürün (örneğin, geçişten 48 saat önce 300 saniyeye), güncellemeyi yapın, ardından TTL'yi tekrar yükseltin.

A kaydı bir alanı doğrudan bir IPv4 adresine eşlerken, CNAME başka bir alan adına işaret eden bir takma ad oluşturur — çözücü son A kaydına kadar zinciri takip eder. CNAME'ler bölge tepesinde (example.com gibi çıplak alan) kullanılamaz çünkü tepedeki gerekli SOA ve NS kayıtlarıyla çakışır. Bazı DNS sağlayıcıları bu sınırlamayı aşmak için tescilli ALIAS veya ANAME kayıt türleri sunar.

E-posta kimlik doğrulaması kurmak üç DNS kaydı gerektirir. SPF için, "v=spf1" ile başlayan ve yetkili gönderenlerle devam eden bir TXT kaydı ekleyin. DKIM için, e-posta hizmeti tarafından sağlanan açık anahtarı içeren bir seçici alt alanında TXT kaydı ekleyin. DMARC için, _dmarc.alaniniz.com adresinde politikayı (none, quarantine veya reject) ve bir raporlama adresini belirten bir TXT kaydı ekleyin. p=none ile başlamak, uygulamaya geçmeden önce uyumu izlemeye olanak tanır. SPF başarısızlıkları genellikle 10 DNS sorgu sınırının aşılması, bir gönderme hizmetinin yetkilendirilmesinin unutulması, tüm gönderenler doğrulanmadan -all (kesin başarısızlık) kullanılması veya aynı alanda birden fazla SPF kaydı olması nedeniyle oluşur — yalnızca bir v=spf1 kaydına izin verilir ve birden fazla kayıt kalıcı bir hataya neden olur.

← Tum araclara don