DNS (Domain Name System) — это система, которая преобразует доменные имена в IP геолокацию. Когда вы вводите example.com в браузере, DNS-серверы находят соответствующий IP-адрес и направляют к нему запрос. Различные типы DNS Lookup отвечают за разные функции.
Как работает DNS
Процесс DNS-разрешения (от ввода домена до получения IP):
- Браузер проверяет локальный кэш DNS
- ОС проверяет свой кэш и файл hosts
- Рекурсивный резолвер (обычно провайдера или 8.8.8.8) ищет ответ
- Корневой DNS указывает на серверы зоны .com
- TLD-сервер (.com) указывает на NS-серверы домена
- Авторитетный NS возвращает запись для домена
Весь процесс занимает миллисекунды благодаря кэшированию на каждом уровне. Время кэширования определяется значением TTL (Time To Live) в записи.
A (Address Record)
Основная DNS запись — связывает доменное имя с IPv4-адресом сервера:
example.com. 300 IN A 93.184.216.34- Можно создать несколько A записей для одного домена (Round-robin балансировка)
- TTL 300 (5 минут) — часто используется для быстрого переключения
- TTL 86400 (24 часа) — для стабильных серверов
Когда использовать: для основного домена и поддоменов, которые должны указывать на конкретный IP-адрес.
AAAA (IPv6 Address Record)
Аналог A записи для IPv6-адресов:
example.com. 300 IN AAAA 2606:2800:220:1:248:1893:25c8:1946С ростом IPv6 важно иметь AAAA записи наряду с A. Современные браузеры предпочитают IPv6, если доступен (Happy Eyeballs алгоритм).
CNAME (Canonical Name)
Псевдоним одного домена для другого. CNAME запись указывает, что домен является алиасом:
www.example.com. 3600 IN CNAME example.com.
blog.example.com. 3600 IN CNAME mysite.github.io.Ограничения:
- CNAME нельзя создать на корневом домене (apex) — используйте A запись
- CNAME не может сосуществовать с другими записями для того же имени
- Добавляет дополнительный DNS-запрос (resolve цепочка)
Совет: некоторые DNS-провайдеры поддерживают ALIAS/ANAME записи — они работают как CNAME, но разрешаются на стороне NS и возвращают клиенту A запись.
MX (Mail Exchanger)
Определяет почтовые серверы для домена и их приоритеты:
example.com. 3600 IN MX 10 mail1.example.com.
example.com. 3600 IN MX 20 mail2.example.com.
example.com. 3600 IN MX 30 mail3.example.com.- Приоритет — чем ниже число, тем выше приоритет
- Почта идёт на сервер с наименьшим числом; остальные — резервные
- MX должен указывать на A-запись, не на CNAME
Примеры для популярных сервисов
# Google Workspace
@ MX 1 ASPMX.L.GOOGLE.COM.
@ MX 5 ALT1.ASPMX.L.GOOGLE.COM.
@ MX 5 ALT2.ASPMX.L.GOOGLE.COM.
@ MX 10 ALT3.ASPMX.L.GOOGLE.COM.
@ MX 10 ALT4.ASPMX.L.GOOGLE.COM.
# Yandex 360
@ MX 10 mx.yandex.net.TXT (Text Record)
Хранит произвольный текст. Широко используется для верификации домена и настроек почты:
SPF (Sender Policy Framework)
Указывает, какие серверы имеют право отправлять почту от имени домена:
example.com. 3600 IN TXT "v=spf1 include:_spf.google.com include:sendgrid.net ~all"include:— разрешить серверы из SPF указанного доменаip4:1.2.3.4— разрешить конкретный IP-all— строго запретить все остальные (hard fail)~all— мягко запретить (soft fail, попадёт в спам)
DKIM (DomainKeys Identified Mail)
Публичный ключ для проверки цифровой подписи писем:
google._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=MIIBIjAN..."DMARC
Политика обработки писем, не прошедших SPF/DKIM проверку:
_dmarc.example.com. TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com; pct=100"p=none— мониторинг сайтов (не влияет на доставку)p=quarantine— отправлять в спамp=reject— отклонять письмо
Верификация домена
Сервисы (Google, Yandex, Facebook) часто просят добавить TXT-запись для подтверждения владения:
example.com. TXT "google-site-verification=abc123..."NS (Name Server)
Указывает авторитетные DNS-серверы для домена:
example.com. 86400 IN NS ns1.registrar.com.
example.com. 86400 IN NS ns2.registrar.com.- Минимум 2 NS записи для отказоустойчивости
- NS записи управляются у регистратора домена
- При смене NS-серверов обновление может занять до 48 часов
SOA (Start of Authority)
Содержит служебную информацию о DNS-зоне:
example.com. SOA ns1.example.com. admin.example.com. (
2025031001 ; Serial (YYYYMMDDNN)
3600 ; Refresh (1 час)
900 ; Retry (15 минут)
1209600 ; Expire (2 недели)
86400 ; Minimum TTL (1 день)
)- Serial — версия зоны, увеличивается при каждом изменении
- Refresh — как часто вторичные NS проверяют обновления
- Retry — через сколько повторить, если Refresh не удался
- Expire — через сколько вторичный NS перестаёт обслуживать зону
- Minimum TTL — TTL для NXDOMAIN ответов (домен не существует)
SRV (Service Record)
Указывает расположение сервиса с приоритетом, весом и проверку портов:
_sip._tcp.example.com. SRV 10 60 5060 sip1.example.com.
_sip._tcp.example.com. SRV 20 40 5060 sip2.example.com.Используется для SIP, XMPP, LDAP и других протоколов, которые поддерживают обнаружение сервисов через DNS.
CAA (Certificate Authority Authorization)
Указывает, какие центры сертификации могут выдавать проверку SSL для домена:
example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 issuewild "letsencrypt.org"
example.com. CAA 0 iodef "mailto:security@example.com"CAA запись помогают предотвратить несанкционированный выпуск сертификатов.
PTR (Pointer Record)
Обратная DNS запись — преобразует IP-адрес в доменное имя (reverse DNS). Настраивается у хостинг-провайдера:
34.216.184.93.in-addr.arpa. PTR example.com.Важно для почты: почтовые серверы проверяют PTR-запись IP отправителя. Если PTR отсутствует или не совпадает с доменом, письмо может попасть в спам.
Выбор TTL
| Ситуация | TTL | Почему |
|---|---|---|
| Стабильный сервер | 3600–86400 | Меньше нагрузка на DNS, быстрее для пользователей |
| Планируется миграция | 300 | Быстрое переключение |
| CDN / GeoDNS | 60–300 | Частое обновление для балансировки |
| Почтовые MX | 3600 | Баланс надёжности и обновляемости |