Rekordy DNS to instrukcje przechowywane na autorytatywnych serwerach DNS, które mówią, jak odnajdywać i obsługiwać usługi powiązane z domeną.
- Podstawowe pojęcia i cel rekordów DNS
- Adresowanie i trasowanie – rekordy A i AAAA
- Trasowanie i uwierzytelnianie poczty – rekordy MX i pokrewne
- Serwery nazw i rekord autorytetu – rekordy NS i SOA
- Aliasowanie i przekierowania – rekordy CNAME i pokrewne
- Odwrotne DNS i rekordy PTR
- Rekordy usług i zaawansowane funkcje DNS – SRV i CAA
- Rekordy tekstowe DNS i zastosowania specjalne – TXT, SPF, DKIM, DMARC, NAPTR
- Czas życia – TTL, cache i propagacja zmian
- Rozszerzenia bezpieczeństwa – DNSSEC
- Zintegrowane zarządzanie rekordami DNS i praktyka wdrożeń
Określają m.in. adresy IP, serwery pocztowe, zasady uwierzytelniania e‑maili, delegacje serwerów nazw oraz mechanizmy bezpieczeństwa. Każdy typ rekordu pełni odrębną funkcję, a ich właściwa konfiguracja wpływa bezpośrednio na dostępność, wydajność, dostarczalność poczty i bezpieczeństwo.
Podstawowe pojęcia i cel rekordów DNS
DNS tłumaczy zrozumiałe dla ludzi nazwy na numeryczne adresy IP, aby komputery mogły lokalizować zasoby w internecie.
Bez rekordów DNS użytkownicy musieliby wpisywać skomplikowane adresy IP, a dostęp do usług byłby zawodny. Rekord DNS zawiera nazwę, typ, wartość oraz TTL (Time To Live), czyli czas cache’owania danych.
Najważniejsze elementy rekordu DNS są następujące:
- nazwa (host) — np. www, @, subdomena,
- typ rekordu — np. A, AAAA, MX, CNAME, TXT,
- wartość (RDATA) — np. adres IP, cel, klucz publiczny, polityka,
- TTL — czas życia w cache resolverów.
Hierarchiczna struktura DNS wymaga poprawnej konfiguracji od domeny głównej po subdomeny. Każda domena potrzebuje zestawu bazowych rekordów, a pozostałe typy dodaje się zgodnie z potrzebami usług.
Aby szybko zorientować się w rolach poszczególnych rekordów, skorzystaj z poniższego zestawienia:
| Typ rekordu | Co robi | Kiedy używać |
|---|---|---|
| A | Mapuje nazwę hosta do adresu IPv4 | Hosting WWW, API, serwery aplikacji |
| AAAA | Mapuje nazwę hosta do adresu IPv6 | Dostęp po IPv6, nowoczesna łączność |
| MX | Wskazuje serwery pocztowe dla domeny | Odbiór i kierowanie poczty e‑mail |
| CNAME | Tworzy alias nazwy na inną nazwę | Aliasowanie subdomen, integracje SaaS |
| TXT | Przechowuje dowolny tekst | SPF, DKIM, DMARC, weryfikacje własności |
| NS | Wskazuje serwery autorytatywne strefy | Delegacja domeny lub subdomeny |
| SOA | Parametry i autorytet strefy | Wymagany w każdej strefie (dokładnie raz) |
| PTR | Reverse DNS: IP → nazwa hosta | Antyspam, analiza logów, reputacja serwerów |
| SRV | Wykrywanie usług: host, port, priorytet | SIP, XMPP i inne protokoły |
| CAA | Autoryzacja urzędów CA dla certyfikatów | Kontrola wydawania certyfikatów TLS |
Adresowanie i trasowanie – rekordy A i AAAA
Rekord A mapuje nazwę domeny lub subdomeny na adres IPv4. To on pozwala wczytać stronę po nazwie, bez znajomości IP.
Wiele rekordów A dla tej samej nazwy równoważy obciążenie, rozpraszając ruch między serwerami i zwiększając niezawodność.
Rekord AAAA działa analogicznie dla IPv6. Wraz z wyczerpywaniem puli IPv4 jego znaczenie rośnie. AAAA jest niezbędny, gdy usługa działa wyłącznie po IPv6.
W praktyce zaleca się utrzymywanie zarówno A, jak i AAAA, aby zapewnić pełną dostępność niezależnie od protokołu IP.
Trasowanie i uwierzytelnianie poczty – rekordy MX i pokrewne
Rekord MX (Mail Exchange) wskazuje serwery odbierające pocztę dla domeny i posiada priorytety, które zapewniają redundancję.
Bez poprawnie skonfigurowanego MX poczta do adresów w domenie nie będzie doręczana. Jeśli serwer o najwyższym priorytecie nie odpowiada, wykorzystywane są kolejne.
Trzy komplementarne mechanizmy uwierzytelniania i polityki poczty działają razem następująco:
- SPF – wskazuje, które adresy IP i domeny mogą wysyłać pocztę w imieniu domeny;
- DKIM – podpisuje wiadomości kluczem prywatnym i publikuje klucz publiczny w DNS do weryfikacji;
- DMARC – definiuje politykę traktowania wiadomości, które nie przechodzą SPF/DKIM, oraz adresy raportowania.
Przykładowe wpisy rekordów pocztowych w składni strefy DNS:
example.com. IN TXT "v=spf1 ip4:192.0.2.0/24 include:_spf.provider.com -all"
selector1._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSq...IDAQAB"
_dmarc.example.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; adkim=s; aspf=s"
Serwery nazw i rekord autorytetu – rekordy NS i SOA
Rekord NS wskazuje serwery autorytatywne strefy. Dla wysokiej dostępności konfiguruje się kilka serwerów nazw.
Zmiany NS propagują się globalnie z opóźnieniem zależnym od TTL, dlatego planuj je z wyprzedzeniem.
Rekord SOA (Start of Authority) musi występować dokładnie raz w każdej strefie i zawiera numer seryjny oraz parametry replikacji.
Najważniejsze pola SOA mają następujące znaczenie:
- MNAME – główny serwer nazw strefy;
- RNAME – kontakt do administratora (e‑mail z kropką zamiast @);
- Serial – numer wersji strefy, którego inkrementacja sygnalizuje aktualizację;
- Refresh – co ile sekund serwery wtórne sprawdzają zmianę serialu;
- Retry – po ilu sekundach ponawiają próbę kontaktu;
- Expire – po ilu sekundach przestają serwować dane bez kontaktu z primarem;
- Minimum TTL – czas negatywnego cache’owania (NXDOMAIN).
Aliasowanie i przekierowania – rekordy CNAME i pokrewne
Rekord CNAME (Canonical Name) tworzy alias nazwy na nazwę kanoniczną, eliminując duplikację konfiguracji. To częsty sposób kierowania subdomen do usług zewnętrznych (np. Microsoft 365, Blogger).
ANAME/CNAME flattening to mechanizm dostawców DNS umożliwiający aliasowanie w wierzchołku domeny (apex), gdzie zwykły CNAME jest niedozwolony. System generuje wtedy syntetyczne A/AAAA.
Aby uniknąć konfliktów i błędów rozwiązywania nazw, pamiętaj o kluczowych zasadach CNAME:
- CNAME nie może występować w apexie strefy (zastępuj ANAME/flatteningiem, jeśli dostawca obsługuje);
- NS, MX, SOA i inne rekordy nie mogą wskazywać na CNAME, wymagają hosta z A/AAAA;
- CNAME zawsze wskazuje nazwę hosta, nigdy bezpośrednio adres IP.
Wildcard CNAME (np. *.example.com) pozwala obsłużyć nieistniejące jeszcze subdomeny, gdy mają wspólny cel.
Odwrotne DNS i rekordy PTR
Rekord PTR mapuje adres IP na nazwę hosta i jest kluczowy dla reputacji serwerów pocztowych.
Wielu odbiorców e‑mail wymaga poprawnego reverse DNS; jego brak może skutkować odrzucaniem legalnych wiadomości. PTR konfiguruje zwykle operator adresacji IP.
Rekordy usług i zaawansowane funkcje DNS – SRV i CAA
Rekord SRV (Service) publikuje lokalizację usługi: host, port, priorytet i wagę. Dzięki temu klient może odszukać serwer bez twardego kodowania.
Nazwy SRV mają postać _usługa._protokoł.domena (np. _sip._tcp.example.com). Klient pobiera SRV i otrzymuje komplet parametrów połączenia.
Rekord CAA (Certification Authority Authorization) ogranicza, które urzędy certyfikacji mogą wydawać certyfikaty TLS dla domeny. Przed wydaniem certyfikatu CA sprawdza CAA i odmawia, jeśli brak autoryzacji.
Najczęściej używane tagi CAA to:
- issue – pozwolenie na certyfikaty zwykłe;
- issuewild – pozwolenie na certyfikaty typu wildcard;
- iodef – adres do raportowania incydentów (URI).
Rekordy tekstowe DNS i zastosowania specjalne – TXT, SPF, DKIM, DMARC, NAPTR
Rekord TXT przenosi zarówno dane czytelne dla ludzi, jak i parametry mechanizmów pocztowych oraz weryfikacji własności domeny.
SPF, DKIM i DMARC są niemal zawsze publikowane jako TXT, co czyni TXT uniwersalnym nośnikiem rozszerzeń w DNS.
NAPTR (Naming Authority Pointer) mapuje nazwy na URI i współdziała z SRV, tworząc elastyczny łańcuch reguł wyszukiwania usług, szczególnie w telefonii internetowej.
Czas życia – TTL, cache i propagacja zmian
TTL (Time To Live) decyduje, jak długo rekord pozostaje w pamięci podręcznej resolverów i jak szybko widoczne będą zmiany.
Dłuższy TTL zmniejsza obciążenie i przyspiesza odpowiedzi, ale spowalnia propagację nowej konfiguracji.
Praktyczne wskazówki doboru TTL:
- 3600 s (1 godzina) – dobry kompromis dla większości rekordów w środowisku produkcyjnym,
- 300 s (5 minut) – dynamiczne systemy, faza migracji, szybkie przełączenia,
- 86400 s (1 doba) – rekordy stabilne, rzadko zmieniane (np. NS/SOA w dojrzałych strefach),
- 60–120 s – krótkotrwałe okno przed planowaną zmianą, aby przyspieszyć propagację.
Rozszerzenia bezpieczeństwa – DNSSEC
DNSSEC (Domain Name System Security Extensions) dodaje podpisy cyfrowe, które uwierzytelniają dane i chronią przed spoofingiem oraz zatruwaniem cache.
Łańcuch zaufania biegnie od strefy root, przez domeny najwyższego poziomu, aż do Twojej strefy. Przerwanie łańcucha uniemożliwia potwierdzenie autentyczności danych.
DNSSEC korzysta z następujących typów rekordów:
- DNSKEY – klucze publiczne używane do weryfikacji podpisów;
- RRSIG – podpisy przypisane do zestawów rekordów (RRset);
- DS – wskaźnik do kluczy strefy podrzędnej, umieszczany w strefie nadrzędnej;
- NSEC / NSEC3 – dowód nieistnienia rekordu (NSEC3 utrudnia enumerację strefy).
DNSSEC jest szczególnie ważny wszędzie tam, gdzie przetwarzane są wrażliwe dane lub wymagane jest silne uwierzytelnienie warstwy nazw.
Zintegrowane zarządzanie rekordami DNS i praktyka wdrożeń
W typowej konfiguracji minimalny zestaw obejmuje A/AAAA dla hostingu WWW oraz NS wskazujące serwery nazw. Obsługa poczty wymaga MX oraz mechanizmów SPF, DKIM i DMARC.
Dbałość o spójność i poprawność wartości w DNS to warunek dostępności usług, dostarczalności poczty i bezpieczeństwa systemów. Przy większej liczbie subdomen możesz delegować osobne NS albo stosować CNAME do wspólnych celów.
Nowoczesne panele DNS oferują kreatory, walidację konfiguracji, wsparcie DNSSEC i integracje wydajnościowe, co ogranicza ryzyko błędów i przyspiesza wdrożenia.