🔎 DNS-шпаргалка: какие записи за что отвечают и немного истории
Зачем это знать? От правильных DNS зависят доступность сайта, TLS, доставляемость почты и даже скорость первого запроса.
🧭 SOA & NS — «паспорт» зоны
Что это: NS указывает авторитетные сервера зоны.
SOA хранит технические метаданные: владелец, serial, интервалы обновления.
История: NS/SOA появились в RFC 1034/1035 (1987).
Факт: корректный serial нужен для вторичных DNS; формат — любой возрастающий (чаще YYYYMMDDNN).
🧩 A / AAAA — адреса сайта
Что это: имя → IPv4 (A) или IPv6 (AAAA).
История: A — RFC 1035 (1987), AAAA — RFC 3596 (2003).
Факты: Публикуете AAAA — убедитесь, что IPv6 реально работает; иначе часть клиентов «ломается». Несколько A/AAAA на одном имени дают простейший round-robin.
🔗 CNAME — алиас имени
Что это: делает имя «синонимом» другого.
История: RFC 1035 (1987).
Факты: На одном и том же имени нельзя одновременно CNAME и A/AAAA/MX/TXT. CNAME на корне домена по стандарту запрещён; у провайдеров используют ALIAS/ANAME или «CNAME flattening».
✉️ MX — куда доставлять почту
Что это: список хостов с приоритетами.
История: RFC 974 (1986) → актуально в RFC 5321 (SMTP).
Факт: меньший приоритет — важнее. Делайте минимум два MX в разных сетях/регионах.
🛡 SPF (TXT) — кто имеет право отправлять почту
Что это: политика v=spf1 … ~all.
История: актуально в RFC 7208 (2014).
Факты: Жёсткий лимит: ≤10 DNS-лукапов (include/a/mx/ptr/exists/redirect). Не используйте +all; начните с ~all, затем ужесточайте.
✍️ DKIM (TXT) — криптоподпись письма
Что это: публикуется в selector._domainkey.
История: RFC 6376 (2011).
Факты: Рекомендуйте ключи 2048 бит и два селектора (ротация). В записи оставляйте только p= (без переносов строк).
🧭 DMARC (TXT) — политика поверх SPF/DKIM
Что это: v=DMARC1; p=…; rua=mailto:…
История: RFC 7489 (2015).
Факты: Начните с p=quarantine, собирайте отчёты rua, переходите к p=reject. Можно задать sp= для поддоменов, adkim/aspf=s для строгого выравнивания.
🔁 PTR (reverse DNS) — обратная запись IP
Что это: IP → имя (важно для почты).
История: RFC 1035 (1987).
Факты: PTR должен совпадать с баннером SMTP/HELO. Без PTR многие MTA режут доставку.
🔏 CAA — кому можно выпускать сертификаты
Что это: ограничивает центры сертификации.
История: RFC 6844 (2013), уточнения RFC 8659 (2019).
Факты: Минимум: CAA 0 issue "letsencrypt.org" + (по желанию) iodef на security-почту. Помогает исключить ошибочный выпуск «левыми» CA.
🧰 SRV — указатель сервиса
Что это: _service._proto 0 1 порт хост.
История: RFC 2782 (2000).
Где применяют: автонстройка почтовых клиентов (_submission._tcp, _imap._tcp, _pop3._tcp), SIP, XMPP и др.
📬 MTA-STS & TLS-RPT (TXT + .well-known)
Что это: политика обязательного TLS для SMTP и отчёты.
История: RFC 8461/8460 (2018).
Факт: вместе с корректным TLS на 25 порту повышает надёжность почтовой доставки.
🔐 DNSSEC — подпись зоны
Что это: криптоподпись ответов DNS.
История: RFC 4033–4035 (2005).
Факты: Публикуйте DS у регистратора; внутри зоны появятся RRSIG/DNSKEY. Требуется для DANE/TLSA и повышает доверие цепочке.
⚡️ SVCB/HTTPS — современные подсказки для клиента
Что это: объявления возможностей (например, ALPN h3/h2).
История: стандартизовано в RFC 9460 (2023).
Факт: ускоряет первый запрос и помогает включить HTTP/3; если домен за CDN, чаще не требуется — CDN сам управляет.
🔧 TTL по умолчанию
Веб-A/AAAA/CNAME: 300–900s, чтобы быстро менять origin.
MX, SPF/DMARC/CAA: 3600s.
SRV/DKIM: Auto/3600s.
🌐 Ознакомится с тарифами можно на нашем сайте https://hstq.net/
🌐 Если у вас возникли вопросы или необходима помощь в подборе конфигурации, пишите нам - @hstq_hosting
🌐 Наш канал TG - @hstq_hosting | Подписывайся
