Как проверить DNSSEC домена

Enterno.io Editorial Team

Автор: Anatoly Oshmanovsky · Обновлено 17 апреля 2026

Коротко:

DNSSEC (Domain Name System Security Extensions) защищает DNS от spoofing. Проверка — убедиться что домен публикует DNSKEY и DS-запись в TLD, и что цепочка подписей валидна. Инструменты: онлайн DNS-чекеры, dig +dnssec, delv, Verisign DNSSEC Analyzer.

Ниже: пошаговая инструкция, рабочие примеры, типичные ошибки, FAQ.

Попробовать бесплатно →

Пошаговая настройка

Онлайн: DNS-чекер Enterno.io → введите домен → раздел DNSSEC покажет DNSKEY + DS + статус валидации
Через dig: dig +dnssec +short example.com DNSKEY — покажет ключи; dig +dnssec example.com DS — DS записи
Полная цепочка: dig +dnssec +trace example.com — трассировка от root
delv (validation-focused): delv @8.8.8.8 example.com — "fully validated" = OK
Внешний аналайзер: Verisign DNSSEC Analyzer — показывает все проблемы цепочки
Browser extension: DNSSEC/TLSA Validator (Firefox, Chrome) — иконка в адресной строке

Рабочие примеры

Сценарий	Конфиг / запись
Домен с правильным DNSSEC	`dig +dnssec example.com → ответ содержит RRSIG + "ad" flag (Authenticated Data)`
Домен без DNSSEC	`dig +dnssec → NO RRSIG в ответе. DS-запись отсутствует в TLD`
Сломанный DNSSEC	`delv выдаёт "no valid signature" или "DNSKEY could not be retrieved"`
Проверка через 1.1.1.1 (валидирующий)	`dig @1.1.1.1 example.com → SERVFAIL = подпись невалидна`

Типичные ошибки

Стандартный resolver (routers, Windows) часто НЕ валидирует — используйте 1.1.1.1, 8.8.8.8, 9.9.9.9
dig +dnssec показывает записи, но не валидирует — нужен delv или +trace
Сломанный DNSSEC = SERVFAIL для 25-40% валидирующих клиентов — домен "недоступен"
DS-запись в TLD публикуется регистратором. Изменение key без обновления DS → все клиенты получают SERVFAIL

A / AAAAIPv4 и IPv6 адреса хоста

MX-записиПочтовые серверы домена

TXT / SPFВерификация и защита от спуфинга

NS / SOAСерверы имён и зона ответственности

Почему нам доверяют

типов DNS-записей

SPF+DKIM

проверка почты

<1с

ответ DNS

региона проверки

Как это работает

Введите домен

Выберите тип записи

Получите DNS-ответ

Что такое DNS-записи?

DNS (Domain Name System) — система, которая преобразует доменные имена в IP-адреса. DNS-записи — это инструкции, определяющие, куда направлять трафик, почту и какподтверждать владение доменом.

Полный анализ

Проверка всех типов записей: A, AAAA, MX, NS, TXT, CNAME, SOA за один запрос.

Мгновенный результат

Запрос к авторитативным серверам напрямую. Результат за доли секунды, без кеширования.

Проверка безопасности

Анализ SPF, DKIM и DMARC записей для оценки защиты почты от спуфинга и фишинга.

Экспорт и история

Сохраняйте результаты проверок. Сравнивайте DNS-записи до и после изменений у регистратора.

Кому это нужно

DevOps

проверка DNS после деплоя

Email-маркетологи

проверка SPF/DKIM/DMARC

SEO-специалисты

аудит DNS-конфигурации

Системные администраторы

контроль зоны DNS

Частые ошибки

❌

Нет SPF-записиБез SPF письма могут попадать в спам. Добавьте v=spf1 TXT-запись.

❌

Один NS-серверПри сбое единственного NS домен станет недоступен. Используйте минимум 2 NS.

❌

Конфликт CNAME и других записейCNAME не может сосуществовать с MX или TXT на том же имени — это нарушение RFC.

❌

Слишком высокий TTLПри TTL 86400 изменения DNS будут видны только через сутки. Перед миграцией снизьте TTL до 300.

❌

Нет обратной записи PTRПочтовые серверы проверяют PTR. Без неё письма могут быть отклонены.

Лучшие практики

✓

Настройте SPF + DKIM + DMARCТройка записей, защищающая вашу почту от спуфинга и повышающая доставляемость.

✓

Используйте 2+ NS-серверовРазнесите NS по разным сетям для отказоустойчивости.

✓

Понижайте TTL перед миграциейЗа 24-48 часов до смены IP установите TTL 300, чтобы переключение прошло быстро.

✓

Проверяйте DNS после измененийПосле обновления записей убедитесь, что изменения применились и нет ошибок.

✓

Добавьте CAA-записьCAA ограничивает, какие центры сертификации могут выпускать SSL для вашего домена.

Получите больше с бесплатным аккаунтом

История DNS-проверок, API-ключи и мониторинг изменений записей.

Зарегистрироваться (FREE)

Больше по теме

Гайды

Глоссарий

Исследования

Альтернативы

Часто задаваемые вопросы

Что такое "ad" flag в dig?

Authenticated Data — ответ resolver'а. Если установлен, значит resolver валидировал подпись и она корректна.

Нужен ли DNSSEC если есть HTTPS?

Да. HTTPS защищает транзит, DNSSEC — разрешение имени. Без DNSSEC атакующий может подменить IP → вы попадёте на его HTTPS-сайт с его cert → нет защиты.

Почему мой домен DNSSEC проверяется на одних resolver'ах но не на других?

Не все resolver'ы валидируют. Unbound, BIND, PowerDNS — да. dnsmasq (домашние роутеры) — часто нет. Проверьте через 1.1.1.1.

Адопция DNSSEC в Рунете

Всего 4.1% доменов .ru. Подробнее — <a href="/s/research-dnssec-adoption-runet-2026">исследование Enterno.io</a>.