DNS – Domain Name System jest to system rozwiązywania nazw mnemonicznych (www.nodea.pl) na adresy zrozumiałe dla komputera (188.116.34.251), działa w warstwie aplikacji modelu OSI.
Jak działa system DNS?
1. Użytkownik wpisuje w przeglądarce nazwę domeny.
2. W przypadku systemów operacyjnych Windows zanim zapytanie trafi do pierwszego serwera DNS działa protokół NetBIOS i LLMNR (więcej informacji w sieci).
3. Zapytanie z aplikacji (przeglądarki w tym przypadku) trafia do lokalnego serwera DNS, ten następnie przesyła dalej zapytanie o adres do jednego z 13 tzw. serwerów root.
4. Serwer root wysyła dalej zapytanie do jednego z serwerów TLD (top level domain – domen najwyższego poziomu).
5. Serwer TLD przechowuje informacje gdzie znajduje się domena (np. www.nodea.pl) i kieruje tam zapytanie dalej.
6. Zapytanie trafia do autorytatywnego serwera DNS i jeśli domena się tam znajduje odpowiedź trafia odwrotną drogą do przeglądarki i komunikacja zostaje nawiązana.
Proces rozwiązywania nazw DNS jest długi i nieco bardziej skomplikowany niż w powyższym przykładzie. Jest to tylko zobrazowanie jak jest on ważny w dla użytkowników i administratorów stron i serwerów internetowych.
Rekordy DNS
Wyróżniamy kilka głównych rekordów DNS:
SOA – Start of Authority, jest rekordem zasobów, informujących, że dany serwer jest serwerem informacji źródłowych o danej strefie.
A – przypisuje do domeny adres IPv4 (32-bitowy)
AAAA – przypisuje do domeny adres IPv6 (128-bitowy)
MX - określa nazwę serwera pocztowego, obsługującego daną domenę, składa się z priorytetu i nazwy serwera pocztowego.
NS – rekordy tego typu definiują serwery DNS obsługujące daną domenę.
Dla nodea.pl są to:
ns1.nodea.net.pl (37.28.154.212)
ns2.nodea.net.pl (212.83.139.56)
SRV – są to tzw. rekordy usług, przydatne jeśli korzystamy z aplikacji i chcemy je przypisać do naszej domeny (TeamSpeak, telefonia VoIP, itp.)
TXT – dzięki niemu możemy dodać dowolny rekord do strefy DNS.
SPF – Sender Policy Framework, jest to typ rekordu TXT, zabezpiecza pocztę przed przyjmowaniem wiadomości z nieznanych źródeł, serwery sprawdzają go w celu identyfikacji czy wiadomość pochodzi z autoryzowanego serwera dla domeny.
Budowa rekordu SPF:
Przykład dla naszego hostingu:
"v=spf1 a mx include:spf.nodea.net.pl ~all"
v | wersja, musi to być spf1 |
ip4 | może być jeden lub więcej, wskazuje adres serwera obsługującego pocztę |
ip6 | to samo co ip4, ale w formacie adresu IPv6 (128-bitów) |
a | wskazuje serwer obsługujący pocztę, ale w formie nazwy domeny |
mx | jeśli nie wskażesz domeny za pomocą tego rekordu, domyślnie będzie rekord mx domeny, w której jest używany rekord mx |
all | musi być użyty jako ostatni, stosuje się go z kwalifikatorami, zalecamy użycie ~ |
Kwalifikatory do użycia przed parametrem all
+ | jest to domyślny kwalifikator, jeśli nie ma ustawionego żadnego, serwer o zgodnym IP i domenie może wysyłać wiadomości |
- | informuje, że wiadomość powinna zostać odrzucona, serwer o zgodnym adresie IP i domenie nie może wysyłać wiadomości |
? | wynik neutralny, brak zinterpretowanego zbioru zasad, serwer przeważnie akceptuje wiadomości |
~ | przeważnie wiadomości są akceptowane, ale oznaczane jako podejrzane |
DKIM – zabezpiecza przed Phishingiem, czyli podszywaniem się pod Ciebie. Działa to w ten sposób, że mechanizm umieszcza w nagłówku klucz prywatny i po wysłaniu wiadomości zwrotnej odpytuje Twój serwer o klucz publiczny. Jeśli dane się zgadzają wiadomość będzie zaakceptowana.
DMARC – jest wsparciem dla rekordów SPF i DKIM, informuje serwery adresata o tym jak mają się zachować w przypadku otrzymania wiadomości która jest podobna do wiadomości z Twojej domeny, ale nie przeszła uwierzytelniania.