KernelHost Tools DNS Lookup

DNS Lookup / просмотр DNS-записей

Читает все важные DNS-записи домена за один запрос: A, AAAA, MX, TXT, CNAME, NS, SOA и CAA, включая TTL. Записи SPF, DKIM и DMARC парсятся inline и отображаются с badge валидности. Lookup выполняется из узла KernelHost в Frankfurt FRA01.

Какой домен проверить?

Как работает DNS?

Domain Name System (DNS), это телефонная книга интернета. Когда ваш браузер открывает tools.kernelhost.com, домен сначала транслируется в IP-адрес. DNS, это не один сервер, а иерархическая цепочка: root-серверы (.), TLD-серверы (.com, .de, .at) и наконец authoritative nameserver домена. Resolver проходит эту цепочку и кэширует результат локально.

DNS-запрос состоит из вопроса и ответа: какие записи типа X есть для домена Y? Ответ содержит одну или несколько записей плюс TTL (time to live), указывающий resolver, как долго можно кэшировать запись. Изменения DNS поэтому не видны всему миру мгновенно, они распространяются по иерархии кэшей.

Наш инструмент запускает UDP/TCP-lookup через системный resolver контейнера в Frankfurt FRA01. Никакого трекинга, никакого логирования запрошенного домена и никаких сторонних API. Ответ обычно возвращается за миллисекунды, потому что узел во Франкфурте подключён напрямую к DE-CIX.

Какие типы записей существуют?

У каждого типа DNS-записи своя задача. Наш инструмент показывает восемь самых распространённых типов, которые реально нужны для эксплуатации домена.

  • A: Маппит домен на адрес IPv4. У домена может быть несколько A-записей (round-robin DNS, балансировка нагрузки).
  • AAAA: Маппит домен на адрес IPv6. Обязательно для современных web-настроек, Google ранжирует IPv6-связность позитивно.
  • MX: Mail exchanger. Какой сервер принимает почту для этого домена. Содержит приоритет (меньшее число предпочтительнее) для failover.
  • TXT: Свободный текст. На практике почти исключительно используется для SPF, DKIM, DMARC, верификации домена (Google, Microsoft) и _acme-challenge (Let's Encrypt).
  • CNAME: Алиас на другой домен. www.kernelhost.com может быть CNAME, указывающим на kernelhost.com. На самом apex-домене CNAME не разрешён.
  • NS: Какие nameservers являются authoritative для этого домена. NS-записи задаются при регистрации домена и определяют, где ведутся все остальные записи.
  • SOA: Start Of Authority. Определяет первичный nameserver, email администратора и значения refresh/retry/expire/minimum TTL для zone-transfers.
  • CAA: Certificate Authority Authorization. Какие CAs могут выпускать TLS-сертификаты для этого домена. Защита от несанкционированного выпуска сертификатов.

MX vs SPF vs DKIM vs DMARC: настройка email объяснена

Полная настройка email состоит из четырёх компонентов DNS. Если одного не хватает, ваша почта либо не приходит, либо попадает в спам.

  • MX (приём): Сообщает миру, какой сервер принимает входящую почту для вашего домена. Без MX никто не сможет вам написать. MX обычно указывает на hostname вроде mx.kernelhost.com, который затем разрешается через A/AAAA.
  • SPF (аутентификация отправителя): TXT-запись с v=spf1, указывающая, какие IP могут легитимно отправлять почту от вашего домена. -all в конце обязательно (иначе любой может подделывать ваш домен).
  • DKIM (криптографическая подпись): Каждое исходящее письмо подписывается приватным ключом, публичный ключ лежит в DNS на selector._domainkey.your-domain.com как TXT с v=DKIM1. Получатели проверяют подпись и обнаруживают подмену.
  • DMARC (политика + отчётность): TXT под _dmarc.your-domain.com с v=DMARC1; p=reject; rua=mailto:dmarc@... DMARC объединяет SPF и DKIM, говорит получателю, что делать с провалившимися письмами, и предоставляет отчёты.

Наш инструмент парсит SPF, DKIM и DMARC inline и показывает зелёный, жёлтый или красный badge, чтобы вы сразу видели, чистая ли настройка или, например, отсутствует -all, ключ DKIM слишком короткий, либо DMARC только в monitoring mode.

TTL и DNS-кэширование

TTL (time to live) сообщает resolver в секундах, как долго он может кэшировать DNS-запись. При TTL=3600 resolver повторно опрашивает authoritative-сервер только через час. Это экономит трафик, но делает изменения DNS не сразу видимыми.

Правильный TTL зависит от того, чего вы хотите. Стабильный production: высокий TTL (1 час до 1 дня). Предстоящий переезд сервера: за дни до переезда снизить TTL до 60-300 секунд, потом переехать, потом снова поднять.

  • Короткий TTL (60-300 с): Быстрые изменения, но больше нагрузки на authoritative-сервер и немного выше задержка lookup.
  • Длинный TTL (3600-86400 с): Меньше нагрузки, более быстрые ответы из кэша, но изменения распространяются часами или днями.
  • При миграциях: Снизить TTL до 60-300 секунд минимум за 24 часа до переезда, чтобы все кэши resolver истекли прямо перед cutover.

Что такое DNSSEC и нужен ли он мне?

DNSSEC (DNS Security Extensions) криптографически подписывает DNS-записи, чтобы resolver мог проверить, не был ли ответ подделан по пути. Без DNSSEC вредоносный resolver провайдера или public WiFi может отдавать вам поддельные IP (DNS spoofing).

DNSSEC использует два ключа: ZSK (zone signing key) подписывает записи, KSK (key signing key) подписывает ZSK. Хеш KSK публикуется как DS-запись у регистратора, замыкая цепочку доверия до root.

Нужен ли он? Для банков, госуслуг, mail-провайдеров и всех, кто использует записи SMIMEA, TLSA или OPENPGPKEY (DANE), да. Для обычного интернет-магазина DNSSEC, это nice-to-have, который ничего не стоит, если провайдер его поддерживает. KernelHost DNS поддерживает DNSSEC из коробки.

Типичные кейсы отладки

Зачем вам реально нужен этот инструмент в повседневной работе:

  • Почта не доходит: Проверьте MX-записи, потом SPF, DKIM, DMARC. Если хоть один из четырёх компонентов сломан, почта попадает в спам или отвергается получателем.
  • Домен указывает на не тот IP: Проверьте A- и AAAA-записи. Часто при переезде сервера обновляют только A-записи и забывают старые AAAA-записи.
  • Поддомен не отвечает: Проверьте CNAME или прямую A-запись на поддомене. Частая ошибка: поддомен создан в панели хостинга, но DNS всё ещё указывает в никуда.
  • Проверка распространения DNS: После изменения сделайте несколько lookup с интервалом. Когда TTL истечёт, все resolver должны видеть новые записи.
  • Lets Encrypt отказывается выпустить сертификат: Проверьте CAA-записи. Если там указана только другая CA, а Lets Encrypt отсутствует, Lets Encrypt отказывается выпускать сертификат.

DNS в KernelHost

KernelHost-веб-хостинг включает полный managed DNS: все записи ведутся через нашу панель управления, DNSSEC активен по умолчанию, географически избыточные anycast nameservers во Франкфурте и Вене обеспечивают быстрые ответы по всему миру.

Тем, кому нужен только DNS-хостинг без webspace, подойдут наши пакеты domain service. Регистрация, перенос и управление DNS включены в каждый тариф KernelHost. Для более сложных настроек (split horizon, geo DNS, высокая точность TTL) есть VPS плюс собственный authoritative-сервер, а этот инструмент вы можете использовать в любой момент для диагностики.

Часто задаваемые вопросы

Какие типы записей запрашиваются?

A, AAAA, MX, TXT, CNAME, NS, SOA и CAA. Это восемь самых распространённых типов, которые реально нужны для обычной эксплуатации домена. Специальные записи вроде SRV, PTR, DS, DNSKEY или TLSA доступны в Check-Host под режимом DNS с dig.

Находятся ли DKIM-селекторы автоматически?

Нет. DKIM-записи лежат на <selector>._domainkey.<domain>, а селектор произвольный (google, k1, default и т. д.). Без знания селектора DKIM-записи нельзя перечислить. Если вы знаете селектор, введите, например, google._domainkey.kernelhost.com напрямую, и инструмент покажет TXT-запись с парсером.

Проверяется ли DMARC автоматически?

Да. DMARC всегда лежит на _dmarc.<domain> и запрашивается автоматически параллельно с основным доменом. Вы увидите запись в TXT-блоке с DMARC-badge и пояснением политики (none / quarantine / reject), pct, aspf, adkim и rua.

Что значит 'MX записей нет'?

Этот домен не принимает почту. Если вы пишете на info@этот-домен.com, письма bounce-нутся обратно. MX, это обязательное условие для приёма почты, без MX вы не можете получать почту для домена, даже если есть A-запись.

Какие значения TTL имеют смысл?

В production 3600 секунд (1 час) до 86400 секунд (1 день). Перед изменениями понизить до 60-300 секунд минимум за 24 часа, чтобы кэши были короткими и изменение быстро стало видно по миру. После изменения снова поднять.

Сохраняются ли вводы?

Нет. Никакого логирования запрошенных доменов, никаких tracking-cookie и никакого стороннего API. Lookup работает локально в контейнере через dns_get_record(). Мы не видим истории запросов и не можем восстановить её из логов.

Почему не показываются DNSSEC-записи?

Инструмент показывает восемь стандартных типов записей. Специфичные для DNSSEC записи (DS, DNSKEY, RRSIG, NSEC) доступны в Check-Host под режимом DNS (dig +dnssec). Здесь фокус на записях, которые обычно ведёт сам владелец домена, а не на validation chain.

Можно ли использовать инструмент для поддоменов?

Да. Просто введите поддомен (например, www.kernelhost.com или mail.kernelhost.com). На поддоменах часто активны CNAME-записи, A/AAAA затем разрешаются через CNAME, и resolver комбинирует всё в одном ответе.

Все продукты KernelHost

Нужно больше, чем просто инструменты? Посмотрите наш ассортимент коммерческого хостинга.

KVM-Rootserver от 4,99 €/мес Dedicated-Server от 69,99 €/мес Minecraft-Server от 4,00 €/мес Webhosting от 3,99 €/мес Private VPN-Server Выделенный IP DDoS-защита 3,2 Tbps Arbor