22.04.2024

Ресурсная запись

Информация о вашем домене хранится в ресурсной записи (resource record RR), и информация об этой записи доступна для других DNS серверов. Ресурсная запись содержит множество записей, которые отражают различные этапы развития интернет.
Наиболее часто используются записи A, CNAME, MX, TXT и SPF (включая DKIM, DMARC), без которых невозможно нормальное функционирование домена.

Запись A - IP адрес в формате IPv4

Имя записи - Internet.am
Тип записи - A
Значение - 167.86.91.28

Запись AAAA - IP адрес в формате IPv6

Имя записи - Internet.am
Тип записи - АAAA
Значение - 2a01:bbc0:154:48:28:0:0:60

Запись CNAME - canonical name, привязывает к имени вашего сайта поддомены вашего домена.

Имя записи - https://internet.am/ , mail.internet.am
Тип записи - CNAME, CNAME
Значение - internet.am, webmail.host.abcdomian.com

В первой стоке все ясно, набрав https://internet.am/вы попадете на internet.am. Во второй строке все наоборот - все ресурсные записи webmail.host.abcdomian.com будут распространяться на mail.internet.am. Запись для CNAME (https://internet.am/) (www.internet.am ) не может присутствовать в записи А или АААА, иначе возникнет конфликт.

Запись MX - mail exchange, указывает имя почтового сервера, через который будет осуществляться прием и получение электронной почты с использованием вашего домена

Имя записи - Internet.am, Internet.am
Тип записи - MX, MX
Приоритет - 10, 20
Значение - ns45.host.am, ns46.host.am

Чем меньше значение поля «приоритет», тем приоритетнее почтовый сервер, через который обеспечивается обмен почтой. При равном приоритете почтовый сервер выбирается случайно. Два поля заполнять необязательно, но на случай отключения ns45.host.am почта будет отсылаться через ns46.host.am.

Запись PTR - DNS pointer record

28.91.86.167.in-addr.arpa name=internet.am

Здесь IP адрес пишется наоборот, слева направоin-addr.arpa – специальная доменная зона, созданная для определения имени сервера.

Используется для защита от спама. Некоторые фильтры защиты от спама электронной почты используют обратный DNS для проверки доменных имен адресов электронной почты и определения вероятности использования связанных IP-адресов законными серверами электронной почты.

Устранение неполадок с доставкой электронной почты. Поскольку фильтры защиты от спама выполняют эти проверки, проблемы с доставкой электронной почты могут возникнуть из-за неправильной настройки или отсутствия записи PTR. Если в домене нет записи PTR или если запись PTR содержит неправильный домен, службы электронной почты могут блокировать все электронные письма из этого домена.

Ведение журнала. Системные журналы обычно записывают только IP-адреса; обратный поиск DNS может преобразовать их в доменные имена для журналов, которые более удобочитаемы для человека.

Запись NS указывает ответственный (авторитативный) сервер для данного хоста. Кроме ответственного севера имен есть вторичные сервера имен и кэширующие сервера имен.
Формат записи
internet.am IN NS ns3.host.am
internet.am IN NS ns45.host.am
• Internet.am - это имя домена.
• IN - обозначает класс записи, когда было много разных сетей, было необходимо указывать, что это сеть Internet.
• NS - указывает на тип записи (NS запись).
• Ns3.host.am и ns45.host.am - это имена DNS-серверов, которые являются ответствены для зоны internet.am.
Эта запись говорит о том, что для домена example.com DNS-серверы, управляющие ответственной информацией для этого домена, находятся по адресам ns3.host.am и ns45.host.am.

Запись SOA – start of authority

Домен TTL Тип MNAME Hostname (RNAME) SN Refresh Expire

Retry Minimum TTL

internet.am 21600 SOA ns45.host.am hosting.internet.am 2024012800 3600 1800 1209600 86400
Ответ от сервера 8.8.8.8

TTL – количество секунд, в течение которых информация будет кэшироваться другими DNS- серверами;

MNAME — указывает на DNS-серверы, которые отвечают за хранение остальных ресурсных записей домена;

Hostname (RNAME) — контактный адрес лица, которое отвечает за администрирование файла зоны;

Serial number — серийный номер файла зоны. Он увеличивается каждый раз, когда в файл зоны вносятся изменения. Увеличение серийного номера показывает вторичным серверам, что им необходимо обновить информацию;

Refresh — количество секунд, через которое вторичный DNS-сервер запрашивает данные у первичного DNS-сервера, чтобы узнать не изменился ли Serial number. Если изменился, то данные на вторичном сервере обновляются;

Retry — количество секунд, через которое сервер сделает повторную попытку обновления данных, если первая была неудачная;

Expire — время (в секундах), в течение которого вторичный DNS-сервер может использовать ранее полученные данные о зоне до того, как они потеряют силу. Если по истечении этого времени данные не будут обновлены, то зона на вторичном DNS-сервере перестанет обслуживать запросы об этой зоне;

Minimum TTL — сколько времени другие серверы могут хранить данные зоны в кэше.

Запись TXT - text string

Здесь прописывается любая информация, относящаяся к домену в формате txt: права на домен, описание мер по обеспечению безопасности почты, информацию об SSL сертификате, запись SFP, DKIM, DMARC (см. Ниже) Ограничений на размер записи нет, важно не предоставлять конфликтующую информацию.

Запись SPF Sender Policy Framework, содержит список серверов, которые могут отправлять почту от имени этого домена. Этот список позволяет получающему серверу проверить отправителя. Если в ресурсной записи домена SFP есть этот отправитель, то все ОК. Если же письмо получено от другого сервера, оно либо не принимается, либо отмечается как подозрительное и отправляется в ящик спам.

Имя записи - Internet.am
Тип записи - TXT
Значение - v=spf1 include: ns45.host.am ip4: 213.136.92.223 A mx ~all

V=sfp1 – других версий пока нет

Include: показывает домен и адрес, с которого допускается посылка почты

А – разрешить прием почты с серверов, отмеченных в поле записи А домена

~all – применять легкую политику приема почты, сервера, которые не прописаны в SFP отправителя доставляются, но помечаются как спам. Можно ужесточить политику, вместо ~ поставить -, в этом случае почта отправителя не будет принята, если в ресурсной записи отправителя этот отправитель не указан.

Запись DKIM – Domain Keys Identified Mail – следующая ступень защиты данных при передаче информации между почтовыми серверами. Здесь используется метод ассиметричного шифрования. Для его работы необходимо сгенерировать два ключа – private и public, последний нужно поместить в запись TXT. Связь между ключами следующая: зашифрованная информация с помощью вашего private ключа может быть расшифрована с только помощью вашего public ключа. Отметим, что узнать ваш private ключ с помощью public ключа практически невозможно современными вычислительными комплексами, если длина ключа 2048 бит и выше. Ваш сервер, посылая письмо, в служебных записях заголовка письма (DKIM signature) посылает зашифрованную строку. Получающий сервер обращается к вашему серверу, считывает public ключ, расшифровывает служебную запись, удостоверяется, что письмо пришло именно от вашего сервера. Если у вас не установлен DKIM, многие сервера будут отклонять получение письма от вашего сервера. Формат записи:

Имя записи - selector._domainkey.internet.am
Тип TTL - TXT 3600 ;
Значение записи - v=DKIM1;p= asdqwerQWER123SDFdddg…

Версия DKIM пока одна, TTL – время в секундах, в течение которого запись остается действительной в течение сеанса приема почты, р – это ваш public ключ.Запись DMARC - Domain- based Message Authentication, Reporting & Conformance – эта политика действует по отношению полученных сервером писем, которые окзалось невозможно идентифицировать с помощью DKIM и SPF.

Имя записи - v=DMARC1;
Тип - TXT
Значение записи - p=reject;rua=mailto:abuse@internet.am;
ruf=mailto:forensic@internet.am;fo=s

V - версия 1

P - действие, если есть полное совпадение, принять письмо в папку «входящие», если «quarantine» - поместить в папку «спам», если «reject» - письмо не принимается.

rua – указывается адрес, по которому получающий сервер должен прислать статистику о подозрительных письмах с вашего домена, и которые не прошли проверку DKIM и SPF

ruf – указывается адрес, по которому присылается конкретные письма, не прошедшие проверку DKIM и SPF с информацией о заголовке, теме, вложении. Применяется крайне осторожно, из-за возможных проблем с конфиденциальностью.

fo – указывает, в каких случаях посылается статистика об обнаруженных несоответствиях, аргументы:

0 - не пройдены проверки во DKIM SPF- значение по умолчанию

1 – отчет посылается, если не прошла одна из проверок DKIM или SPF

d – отчет посылается при ошибке проверки DKIM

s – отчет посылается при ошибке проверки SPF

Есть необязательные атрибуты p и sp, определяющие политику рассылки писем через поддомены данного домена.

Отметим, что анализировать отчеты полученные результаты проверок DMARC необязательно осуществлять своими силами, в Интернете есть службы, которые могут провести анализ и сообщить вам обработанные результаты.