KernelHost Tools DNS Lookup

DNSルックアップ / DNSレコード調査

1回のクエリでドメインの主要なDNSレコードをすべて読み取ります: A、AAAA、MX、TXT、CNAME、NS、SOA、CAA(TTL含む)。SPF、DKIM、DMARCのエントリはインラインで解析され、有効性バッジ付きで表示されます。ルックアップはFrankfurt FRA01のKernelHostノードから実行されます。

どのドメインを調べる?

DNSはどう動く?

Domain Name System(DNS)はインターネットの電話帳です。ブラウザがtools.kernelhost.comを開くと、まずドメインがIPアドレスに翻訳されます。DNSは単一のサーバーではなく階層チェーンです: ルートサーバー(.)、TLDサーバー(.com、.de、.at)、最終的にそのドメインのauthoritativeネームサーバー。リゾルバーがこのチェーンを辿り、結果をローカルにキャッシュします。

DNSクエリは質問と回答からなります: ドメインYに対してタイプXのレコードはあるか? 回答は1つ以上のレコードに加えてTTL(time to live)を含み、リゾルバーがどれだけの間キャッシュできるかを示します。したがってDNSの変更は世界中で即座に見えるわけではなく、キャッシュ階層に沿って伝播します。

本ツールはFrankfurt FRA01のコンテナのシステムリゾルバー経由でUDP/TCPルックアップを実行します。トラッキング、問い合わせドメインのロギング、サードパーティAPIはありません。FrankfurtノードはDE-CIXに直結しているため、応答は通常数ミリ秒で返ります。

どんなレコードタイプがある?

DNSレコードタイプにはそれぞれ役割があります。本ツールはドメイン運用に実際に必要な最も一般的な8タイプを表示します。

  • A: ドメインをIPv4アドレスにマップします。1つのドメインに複数のAレコード(ラウンドロビンDNS、ロードバランシング)を持てます。
  • AAAA: ドメインをIPv6アドレスにマップします。現代のWeb構成には必須で、GoogleはIPv6接続性をプラスに評価します。
  • MX: メールエクスチェンジャー。このドメイン宛のメールを受信するサーバーを示します。フェイルオーバー用に優先度(数値が小さいほど優先)を持ちます。
  • TXT: 自由形式テキスト。実務ではほぼSPF、DKIM、DMARC、ドメイン検証(Google、Microsoft)、_acme-challenge(Let's Encrypt)に使われます。
  • CNAME: 別ドメインへのエイリアス。www.kernelhost.comをkernelhost.comへのCNAMEにできます。apexドメイン自体ではCNAMEは許可されません。
  • NS: このドメインに対してauthoritativeなネームサーバーです。NSレコードはドメイン登録時に設定され、他のレコードがどこで管理されるかを定めます。
  • SOA: Start Of Authority。プライマリネームサーバー、管理者メール、ゾーン転送のrefresh/retry/expire/minimum TTLを定義します。
  • CAA: Certificate Authority Authorization。このドメインのTLS証明書を発行できるCAを指定します。許可されない発行に対する保護です。

MX 対 SPF 対 DKIM 対 DMARC: メール構成の解説

完全なメール構成は4つのDNSコンポーネントからなります。1つでも欠けるとメールは届かないかスパムフォルダ行きです。

  • MX(受信): あなたのドメイン宛のメールを受信するサーバーを世界に伝えます。MXがなければ誰もあなたに書けません。MXは通常mx.kernelhost.comのようなホスト名を指し、A/AAAAで解決されます。
  • SPF(送信認証): v=spf1のTXTレコードで、あなたのドメインを正当に名乗って送信できるIPを指定します。末尾の-allは必須です(さもないと誰でもなりすませます)。
  • DKIM(暗号署名): 送信メールはすべて秘密鍵で署名され、公開鍵はDNSのselector._domainkey.your-domain.comにv=DKIM1のTXTで置かれます。受信側は署名を検証して改ざんを検出します。
  • DMARC(ポリシー + レポーティング): _dmarc.your-domain.com のTXTでv=DMARC1; p=reject; rua=mailto:dmarc@... を指定。DMARCはSPFとDKIMを組み合わせ、失敗時の処理を受信側に伝え、レポートも提供します。

本ツールはSPF、DKIM、DMARCをインラインで解析し、緑/黄/赤のバッジで構成が綺麗かを即座に表示します。例えば-all欠落、DKIM鍵が短い、DMARCがモニタリングモードのみ、などです。

TTLとDNSキャッシュ

TTL(time to live)はリゾルバーがDNSレコードをキャッシュできる秒数です。TTL=3600なら1時間後にしかauthoritativeサーバーへ再問い合わせしません。帯域を節約しますが、DNS変更は即座には見えません。

適切なTTLは目的次第です。安定本番運用なら高いTTL(1時間から1日)。サーバー移行を控えているなら数日前にTTLを60から300秒へ下げ、移行後に戻します。

  • 短いTTL(60から300秒): 変更が早く反映されますが、authoritativeサーバーの負荷が増え、ルックアップ遅延がやや高くなります。
  • 長いTTL(3600から86400秒): 負荷が下がりキャッシュ応答が速くなりますが、変更が世界中に見えるまで数時間から数日かかります。
  • 移行時: 移行の少なくとも24時間前にTTLを60から300秒へ下げ、すべてのリゾルバーキャッシュがカットオーバー直前に切れるようにします。

DNSSECとは、必要か?

DNSSEC(DNS Security Extensions)はDNSレコードを暗号署名し、リゾルバーが応答が途中で改ざんされていないかを検証できるようにします。DNSSECがないと、悪意のあるISPや公衆Wi-Fiリゾルバーが偽のIPを返す可能性があります(DNS spoofing)。

DNSSECは2つの鍵を使います: ZSK(zone signing key)がレコードを署名し、KSK(key signing key)がZSKを署名します。KSKハッシュはレジストラでDSレコードとして公開され、信頼の連鎖をルートまで閉じます。

必要かどうか? 銀行、公共サービス、メールプロバイダー、SMIMEA、TLSA、OPENPGPKEYレコード(DANE)を使う人にはイエスです。普通のWebshopならDNSSECはあると嬉しい程度で、プロバイダーが対応していれば追加コストはありません。KernelHost DNSはDNSSECに最初から対応しています。

よくあるデバッグ場面

日常運用で本ツールが本当に役立つ場面:

  • メールが届かない: MXレコード、次にSPF、DKIM、DMARCをチェック。4つのいずれかが壊れているとスパムに行くか受信側で拒否されます。
  • ドメインが誤ったIPを指している: AとAAAAレコードをチェック。サーバー移行の際にAレコードだけ更新して古いAAAAレコードが残ることがよくあります。
  • サブドメインが応答しない: サブドメインのCNAMEまたは直接Aレコードをチェック。よくあるバグ: ホスティングパネルでサブドメインを作成したが、DNSはまだ何も指していない。
  • DNS伝播の確認: 変更後、時間を置いて複数回ルックアップを実行します。TTL切れ後はすべてのリゾルバーが新しいレコードを見るはずです。
  • Lets Encryptが証明書を発行しない: CAAレコードをチェック。別のCAだけがリストされていてLets Encryptが入っていない場合、Lets Encryptは発行を拒否します。

KernelHostのDNS

KernelHost Webhostingにはマネージドな完全DNSが含まれます: すべてのレコードはコントロールパネルで管理し、DNSSECはデフォルトで有効、FrankfurtとWienに地理冗長なanycastネームサーバーを配置し、世界中で速い応答を提供します。

Webspace不要でDNSホスティングだけが必要なら、ドメインサービスプランで対応できます。ドメイン登録、移管、DNS管理はすべてのKernelHostホスティングプランに含まれます。複雑な構成(split horizon、GeoDNS、高TTL精度)にはVPS + 自前のauthoritativeサーバーが選択肢で、本ツールはいつでも診断に使えます。

よくある質問

どのレコードタイプが問い合わされる?

A、AAAA、MX、TXT、CNAME、NS、SOA、CAAです。これは通常のドメイン運用で実際に必要な8タイプです。SRV、PTR、DS、DNSKEY、TLSAなどの特殊レコードはCheck-HostツールのDNSモード(dig)で参照できます。

DKIMセレクターは自動で見つかる?

いいえ。DKIMレコードは<selector>._domainkey.<domain>に配置され、セレクターは任意です(google、k1、defaultなど)。セレクターを知らないとDKIMエントリは列挙できません。セレクターが分かっているなら、たとえばgoogle._domainkey.kernelhost.comをドメインとして直接入力すれば、本ツールはパーサー付きでTXTを表示します。

DMARCは自動でチェックされる?

はい。DMARCは常に_dmarc.<domain>に置かれ、メインドメインと並行して自動で問い合わせられます。TXTブロックでDMARCバッジ付きのエントリと、ポリシー(none / quarantine / reject)、pct、aspf、adkim、ruaの解説が表示されます。

結果に '無 MX レコード' とあるのはどういう意味?

そのドメインはメールを受信しません。info@this-domain.com宛にメールを送ってもバウンスします。MXはメール受信の必須要件で、Aレコードがあってもメールは受信できません。

適切なTTL値は?

本番では3600秒(1時間)から86400秒(1日)。変更前は少なくとも24時間前にTTLを60から300秒に下げ、キャッシュを短くして変更を世界中で速く反映させます。変更後に戻します。

入力は保存される?

いいえ。問い合わせドメインのロギング、トラッキングCookie、サードパーティAPIはありません。ルックアップはコンテナ内のdns_get_record()でローカルに実行されます。問い合わせ履歴は当社からは見えず、ログから再構成もできません。

なぜDNSSECレコードが表示されない?

本ツールは8つの標準レコードタイプを表示します。DNSSEC固有のレコード(DS、DNSKEY、RRSIG、NSEC)はCheck-HostツールのDNSモード(dig +dnssec)で取得できます。ここでは検証チェーンではなく、ドメイン所有者が通常自分で管理するレコードに焦点を当てています。

サブドメインでも使える?

使えます。サブドメインを直接入力してください(例 www.kernelhost.com、mail.kernelhost.com)。サブドメインではCNAMEがよく使われ、A/AAAAはCNAME経由で解決されてリゾルバーが1つの応答にまとめます。

KernelHost 全製品

ツール以上のものが必要ですか?商用ホスティングのラインナップをご覧ください。

KVM-Rootserver から 4,99 €/月 Dedicated-Server から 69,99 €/月 Minecraft-Server から 4,00 €/月 Webhosting から 3,99 €/月 Private VPN-Server 専用 IP DDoS 保護 3.2 Tbps Arbor