DNS 查询 / 检查 DNS 记录

DNS 如何工作？

域名系统（DNS）是互联网的电话簿。当浏览器访问 tools.kernelhost.com 时，先把域名翻译成 IP 地址。DNS 不是单一服务器，而是层级链：根服务器（.）、TLD 服务器（.com、.de、.at），以及最终该域名的权威域名服务器。解析器沿这条链查询并把结果在本地缓存。

一次 DNS 查询包含问题与回答：域名 Y 有哪些类型为 X 的记录？回答包含一条或多条记录，附带 TTL（生存时间），告诉解析器可缓存多久。因此 DNS 改动并非全球瞬时可见，而是沿缓存层级传播。

本工具通过 Frankfurt FRA01 容器的系统解析器发起 UDP/TCP 查询。无追踪、不记录被查域名、不调用第三方 API。由于 Frankfurt 节点直连 DE-CIX，回应通常在几毫秒内返回。

都有哪些记录类型？

每种 DNS 记录类型都有特定职责。本工具展示运维域名时实际需要的八种最常见类型。

• A： 把域名映射到 IPv4 地址。一个域名可有多个 A 记录（轮询 DNS、负载均衡）。
• AAAA： 把域名映射到 IPv6 地址。现代 Web 部署的必备项；Google 对 IPv6 连通性给予正面排名信号。
• MX： 邮件交换器。哪个服务器接收发往该域名的邮件。带优先级（数字越小越优先）以支持故障转移。
• TXT： 自由文本。实际中几乎专用于 SPF、DKIM、DMARC、域名验证（Google、Microsoft）和 _acme-challenge（Let's Encrypt）。
• CNAME： 指向另一个域名的别名。www.kernelhost.com 可以是指向 kernelhost.com 的 CNAME。顶级域本身不允许 CNAME。
• NS： 哪些域名服务器对该域名权威。NS 记录在域名注册时设置，决定其他记录在哪里维护。
• SOA： Start Of Authority。定义主域名服务器、管理员邮箱以及区传送的 refresh/retry/expire/minimum TTL 值。
• CAA： Certificate Authority Authorization。哪些 CA 可为该域名签发 TLS 证书，防止未授权签发。

MX vs SPF vs DKIM vs DMARC：邮件配置详解

完整的邮件配置由四个 DNS 组件构成。缺一会导致邮件要么无法到达，要么直接被丢进垃圾邮件箱。

• MX（接收）： 告诉外界哪个服务器接收发往你域名的邮件。没有 MX 别人就没法给你写信。MX 通常指向 mx.kernelhost.com 这种主机名，再通过 A/AAAA 解析。
• SPF（发件人认证）： 带 v=spf1 的 TXT 记录，指明哪些 IP 可以代表你的域名合法发件。结尾的 -all 必不可少（否则任何人都能伪造你的域名）。
• DKIM（密码学签名）： 每封外发邮件用私钥签名，公钥放在 DNS 中 selector._domainkey.your-domain.com 的 TXT v=DKIM1 里。接收方校验签名以发现篡改。
• DMARC（策略 + 报告）： _dmarc.your-domain.com 下的 TXT 含 v=DMARC1; p=reject; rua=mailto:dmarc@... DMARC 把 SPF 和 DKIM 组合，告诉接收方对失败邮件如何处理，并提供报告。

本工具内联解析 SPF、DKIM、DMARC，用绿/黄/红徽章直观告诉你设置是否干净，例如缺 -all、DKIM 密钥过短，或 DMARC 仅在监控模式。

TTL 与 DNS 缓存

TTL（Time To Live）以秒为单位，告诉解析器一条 DNS 记录可缓存多久。TTL=3600 时解析器一小时后才再向权威服务器询问。这能节省带宽，但 DNS 改动不会瞬时可见。

合适的 TTL 取决于你的目标。稳定生产：高 TTL（1 小时到 1 天）。即将服务器搬迁：提前数日把 TTL 调到 60 至 300 秒，搬迁后再调回。

• 短 TTL（60 至 300 秒）： 改动更快生效，但权威服务器负载更大，查询延迟略高。
• 长 TTL（3600 至 86400 秒）： 负载更小、缓存响应更快，但改动需要数小时甚至数天才能在全球可见。
• 迁移时： 迁移前至少 24 小时把 TTL 调到 60 至 300 秒，这样所有解析器缓存都会在切换前过期。

什么是 DNSSEC，我需要它吗？

DNSSEC（DNS Security Extensions）对 DNS 记录做密码学签名，使解析器可以判断回应在路上是否被篡改。没有 DNSSEC 时，恶意 ISP 或公共 Wi-Fi 解析器可能返回伪造 IP（DNS spoofing）。

DNSSEC 使用两把密钥：ZSK（Zone Signing Key）签名记录，KSK（Key Signing Key）签名 ZSK。KSK 哈希作为 DS 记录在注册商处发布，把信任链一直闭合到根。

需要它吗？银行、政务、邮件提供商以及任何使用 SMIMEA、TLSA 或 OPENPGPKEY 记录（DANE）的场景都需要。普通商城来说 DNSSEC 是锦上添花，提供商支持时也不需要花钱。KernelHost DNS 默认开箱支持 DNSSEC。

常见调试场景

日常工作中真正需要这个工具的时刻：

• 邮件收不到： 依次检查 MX，再 SPF、DKIM、DMARC。四项中有一项坏了，邮件就会进垃圾箱或被接收方拒收。
• 域名指向了错误 IP： 检查 A 与 AAAA 记录。服务器迁移时常常只更新了 A 记录，忘了旧的 AAAA 记录。
• 子域无响应： 检查子域上的 CNAME 或直接 A 记录。常见错误：子域已在主机面板创建，但 DNS 仍指向虚空。
• 检查 DNS 传播： 改动后按时间间隔做多次查询。TTL 过期后所有解析器都应看到新记录。
• Lets Encrypt 拒发证书： 检查 CAA 记录。如果只列了别的 CA 而 Lets Encrypt 缺失，Lets Encrypt 就会拒签。

KernelHost 的 DNS

KernelHost Webhosting 包含完整托管 DNS：所有记录通过我们的控制面板管理，DNSSEC 默认启用，分布在 Frankfurt 与 Wien 的地理冗余 anycast 域名服务器在全球提供快速响应。

如果只需要 DNS 托管而不要 Webspace，我们的域名服务套餐可满足需求。域名注册、转入和 DNS 管理在每一档 KernelHost 主机套餐中都包含。对于更复杂的部署（split horizon、GeoDNS、高 TTL 精度），可使用 VPS 加自建权威服务器，本工具随时可用于诊断。

常见问题