• Beste praktijken voor website-infrastructuur en -beveiliging

De rol van DNS-records in websitefunctionaliteit en -beveiliging begrijpen

  • Felix Rose-Collins
  • 10 min read
De rol van DNS-records in websitefunctionaliteit en -beveiliging begrijpen

Intro

DNS staat voor Domain Name System. Het is een kerntechnologie die ervoor zorgt dat het internet functioneert zoals het doet. De meest eenvoudige definitie is: "Het DNS is verantwoordelijk voor het omzetten van IP-adressen van websites naar hun domeinnamen."

In werkelijkheid kan DNS veel meer dan dat. De DNS-functies worden uitgevoerd met behulp van DNS-records. DNS-records zijn tekstbestanden die essentiële informatie bevatten die cruciaal is voor het functioneren van DNS.

Dit artikel belicht het belang van DNS-records voor het functioneren en de beveiliging van websites. Daartoe zullen we verschillende soorten DNS-records bekijken en uitleggen wat ze doen met betrekking tot websitefunctie of -beveiliging.

Aan het einde van dit artikel heb je een beter beeld van het domeinnaamsysteem.

Understanding the Role of DNS Records in Website Functionality and Security

Hoe werkt DNS?

Om DNS-records en hun rol in de werking en beveiliging van websites te begrijpen, is enige kennis van het domeinnaamsysteem (DNS) vereist.

Het begint dus allemaal met je computer. Uw computer, die op zoek is naar een website, wordt de client genoemd. De client richt zich met zijn verzoek tot een server die DNS-oplosser wordt genoemd. De DNS-oplosser is een server die is toegewezen door je internetprovider, of je kunt je eigen server instellen in de instellingen van je besturingssysteem. De functie van de resolver is om alle DNS-verzoeken van de client af te handelen.

Maak kennis met Ranktracker

Het alles-in-één platform voor effectieve SEO

Achter elk succesvol bedrijf staat een sterke SEO-campagne. Maar met talloze optimalisatietools en -technieken om uit te kiezen, kan het moeilijk zijn om te weten waar te beginnen. Nou, vrees niet meer, want ik heb precies het ding om te helpen. Ik presenteer het Ranktracker alles-in-één platform voor effectieve SEO

We hebben eindelijk de registratie voor Ranktracker helemaal gratis geopend!

Maak een gratis account aan

Of log in met uw gegevens

Dus. De client vraagt de resolver, "Hé, ik wil deze domeinnaam (xyz.com) vinden. Weten jullie het IP-adres?" De resolver controleert zijn cache om te zien of hij de domeinnaam en het IP-adres heeft opgeslagen. Als dat niet het geval is, neemt hij contact op met een reeks servers in de DNS-hiërarchie om te zien of zij het IP-adres hebben.

DNS-hiërarchie Afbeelding

DNS Hierarchy Image

Afbeeldingsbron: https://www.menandmice.com/glossary/dns-server-types

Normaal gesproken wordt het IP-adres relatief snel gevonden. Soms moet de resolver echter helemaal naar de top van de hiërarchie gaan en servers bevragen die bekend staan als root name servers (NS).

Er zijn 13 hoofdnaamservers in de wereld en deze bevatten de IP-adressen van alle websites op het web. Als een IP-adres voor een domein niet bestaat op de nameservers, betekent dit dat de DNS-query voor dat domein "onoplosbaar" is.

Hoe dan ook, nadat het IP-adres is gevonden, stuurt de resolver het terug naar de client. De client doet dan een verzoek aan de server op het opgegeven IP-adres en de server antwoordt met de gewenste website.

Zo werkt een eenvoudige query, en dit alles gebeurt binnen enkele seconden. Waar komen DNS-records in beeld? De informatie die is opgeslagen op alle servers in de DNS-hiërarchie wordt opgeslagen in de vorm van DNS-records.

Maak kennis met Ranktracker

Het alles-in-één platform voor effectieve SEO

Achter elk succesvol bedrijf staat een sterke SEO-campagne. Maar met talloze optimalisatietools en -technieken om uit te kiezen, kan het moeilijk zijn om te weten waar te beginnen. Nou, vrees niet meer, want ik heb precies het ding om te helpen. Ik presenteer het Ranktracker alles-in-één platform voor effectieve SEO

We hebben eindelijk de registratie voor Ranktracker helemaal gratis geopend!

Maak een gratis account aan

Of log in met uw gegevens

DNS-records kunnen door een webmaster worden beheerd met populaire tools zoals cPanel, Cloudflare, GoDaddy, enz. Lees ons artikel over cPanel om te leren hoe u uw website met dergelijke tools kunt beheren. Het maken van gedetailleerde documentatie over het beheren van DNS-records kan tijdrovend zijn. Een AI paragraafgenerator kan helpen bij het efficiënt produceren van informatieve inhoud van hoge kwaliteit, waardoor het eenvoudiger wordt om complexe concepten duidelijk uit te leggen.

Laten we nu eens kijken hoe DNS-records helpen en bijdragen aan websitefunctionaliteit.

Verschillende DNS-records en hoe ze bijdragen aan websitefunctionaliteit

We beginnen met het bekijken van records die een rol spelen bij het functioneren van de website. Deze zijn talrijker dan de beveiligingsrecords.

Alle DNS-records hebben hetzelfde sjabloon. Van links naar rechts staan de domeinnaam, time to live, recordklasse, recordnaam en recordwaarde. De meeste records verschillen alleen in naam en waarde. Hieronder zie je een afbeelding van een A-record.

dnschecker Bron: dnschecker

De afbeelding toont vier A-records voor Microsoft.com. De domeinnaam is "microsoft.com". TTL is 1290 seconden, IN (internet) is de klasse, A is de recordnaam en de getallen zijn het IPv4-adres, d.w.z. de waarde.

Nu we weten hoe een typisch DNS-record eruitziet, laten we eens begrijpen wat ze doen en hoe ze bijdragen aan websitefunctionaliteit.

1. A/AAAA-gegevens

De A en AAAA records staan respectievelijk voor IPv4 en IPv6 adressen. Hun enige doel is om IP-adressen te koppelen aan een domeinnaam. Dit is de meest basale functie van het DNS en zorgt ervoor dat het internet werkt.

Zoals je misschien weet, is het IP-adres een numerieke (IPv4) of hexadecimale (IPv6) weergave van de locatie van een server.

Alle inhoud op het web wordt opgeslagen op talloze servers over de hele wereld. Wanneer je naar een domeinnaam zoekt, controleert de DNS-resolver zijn cache op A of AAAA records voor het domein.

Als hij ze niet vindt, raadpleegt hij andere servers in de hiërarchie om te zien of zij ze hebben of niet. Als de relevante A/AAAA-records worden gevonden, slaat de resolver ze op in zijn cache zodat hij er later niet naar hoeft te zoeken.

Nu zou je de rol van A/AAAA-records voor de website-functie moeten hebben begrepen. Zonder deze records zou het onmogelijk zijn om een website te vinden. Het configureren van de A/AAAA-records van een website is dus cruciaal voor de werking ervan.

2. CNAME record

CNAME-records zijn niet zo kritisch als A/AAAA-records, maar ze hebben wel hun unieke toepassingen. Een CNAME-record aliassen een domein naar een ander. In eenvoudigere woorden, je kunt het zo maken dat alle DNS-query's voor een domein automatisch naar een ander domein worden gestuurd.

Als je bijvoorbeeld een domein hebt dat "cars.com" heet en een ander domein dat "vehicles.com" heet, kun je een CNAME-record gebruiken om "cars.com" te aliasen naar "vehicles.com".

Wat er zal gebeuren is dat wanneer iemand "cars.com" in de adresbalk van zijn browser typt, hij in plaats daarvan automatisch op "vehicles.com" terechtkomt. Dit komt doordat de DNS-query voor "cars.com" wordt beantwoord met een CNAME-record dat verwijst naar het A/AAAA-record van "vehicles.com".

Dit is handig voor websites met meerdere vergelijkbare domeinen. Met CNAME-records wordt de eindgebruiker altijd naar de juiste site geleid. Dus als uw domein "xyz.org" heet, kunt u CNAME-records maken voor "www.xyz.org" die verwijzen naar "xyz.org".

3. MX record

MX staat voor mail exchange records. MX-records zijn cruciaal voor de e-mailfuncties van websites. In principe definiëren ze welke mailservers de e-mails van het domein behandelen.

Laten we zeggen dat je een online winkel hebt. Uiteraard heb je een e-mailadres voor klanten om contact met je op te nemen. Misschien heb je ook een apart e-mailadres voor potentiële zakenpartners.

Als uw MX-records goed zijn geconfigureerd, dan zult u geen problemen hebben met het ontvangen van e-mails. Alle e-mails die naar het e-mailadres van uw domein worden gestuurd, worden naar de juiste mailserver gestuurd die in het record is gedefinieerd.

Zonder een MX-record zouden deze e-mails verloren gaan. Je ontvangt ze niet omdat ze niet naar een mailserver worden gestuurd. Als je geen e-mails ontvangt, kun je er ook niet op reageren. Dit geeft de indruk dat je niet communicatief bent en laat een slechte indruk achter bij de gebruikers van je website.

4. TXT-bestand

TXT-records zijn niet-standaardrecords die voor verschillende functies kunnen worden gebruikt. Ze kunnen worden gebruikt voor websiteverificatie door externe serviceproviders zoals zoekmachines, mailservers, API-providers, enz.

Een TXT-record heeft geen vaste waarde zoals andere records. De waarde kan alles zijn wat je maar wilt. Zolang je binnen de tekenlimiet blijft, kun je elke waarde intypen.

Voor websiteverificatie geven de bovengenoemde externe serviceproviders een vaste waarde aan een webmaster om toe te voegen aan zijn TXT-record. Als de waarde hetzelfde is als wat de externe serviceprovider heeft gegeven, dan betekent dit dat ze te maken hebben met de juiste website en niet met een bedrieger.

Er zijn ook andere manieren om TXT-records te gebruiken voor beveiliging, die we zullen bekijken in het gedeelte "Beveiliging".

5. NS record

Verreweg het belangrijkste recordtype is het NS-record. NS staat voor name server. Nameservers staan bovenaan de DNS-hiërarchie. Ze bevatten alle domeinrecords.

NS-records geven aan welke nameservers de records van een domein bevatten. Zonder een NS-record zouden resolvers en DNS-servers lager in de hiërarchie niet weten welke server ze moeten raadplegen om informatie over een bepaald domein te krijgen.

Als uw NS-records dus niet aanwezig zijn, is uw website in principe onvindbaar en dus onbruikbaar. Zorg er daarom voor dat uw NS-records in orde zijn.

6. SRV-record

SRV staat voor service. Deze records definiëren welke internetdiensten, zoals VoIP, e-mails en berichten, welke poorten gebruiken.

Zonder een SRV-record wordt specifiek verkeer voor specifieke poorten gedropt. Normaal gesproken is dit geen probleem voor de meeste websites. Als je echter internetdiensten gebruikt die VoIP, e-mails of instant messaging gebruiken, dan moeten SRV-records correct worden ingesteld.

7. PTR record

PTR records worden gebruikt voor reverse DNS lookups. PTR staat voor pointer en dit recordtype koppelt een IP-adres aan een domeinnaam. Het is dus het tegenovergestelde van een A/AAAA record.

PTR-records zijn noodzakelijk voor het functioneren van websites omdat ze worden gebruikt voor verificatie. Soms kunnen websites hun domeinnaam vervalsen en verzoeken sturen naar een server voor een ander domein. De server kan PTR-records gebruiken om te controleren of het IP-adres van de bedrieger overeenkomt met dat van het echte domein.

Als er een mismatch is, wordt het verzoek geweigerd.

DNS-records die bijdragen aan beveiliging

alt_text

Websitebeveiliging is uiterst belangrijk. Je kunt er meer over leren in een van onze andere artikelen.

Hieronder staan records die helpen je website te beveiligen en verschillende beveiligingsrisico's te voorkomen, zoals spoofing en cache poisoning.

1. DNSSEC-records

DNSSEC staat voor DNS-beveiliging. Dit is een beveiligingsprotocol dat bedoeld is om tekortkomingen in het DNS tegen te gaan. DNS is namelijk niet ontworpen met beveiliging in gedachten. Het was dus heel eenvoudig om het als aanvalsvector te gebruiken.

Met DNSSEC werden twee soorten nieuwe records geïntroduceerd. Deze records helpen bij het beveiligen van de inhoud van andere records en het verifiëren van de bron waarvan ze afkomstig zijn.

DNSSEC werkt op basis van openbare-sleutelcryptografie. In principe worden DNS-records ondertekend met cryptografische sleutels om ervoor te zorgen dat er niet met de gegevens kan worden geknoeid.

Vergelijkbare sleutels worden gebruikt om er zeker van te zijn dat de records ook afkomstig zijn van de juiste bron.

Dit helpt bij de beveiliging van websites door je te helpen verdedigen tegen cache-poisoning aanvallen. Kwaadwillenden kunnen de DNS-records in de cache van een resolver wijzigen en verkeer naadloos omleiden van de ene website naar de andere.

Met DNSSEC kunt u bezoekers die uw website proberen te bereiken, beschermen tegen kwaadwillige omleidingen en uw reputatie beschermen.

Laten we eens kijken hoe DS- en DNSKEY-records dit implementeren.

2. DNSKEY-record

Het DNSKEY-record bevat een openbare sleutel. Deze openbare sleutel is het paar voor de privésleutel van de zone. Alle DNS-records van een zone worden ondertekend met de privésleutel en de openbare sleutel uit het DNSKEY-record wordt gebruikt om die handtekening te verifiëren.

Als de handtekening niet geverifieerd kan worden, betekent dit dat gegevens in de record gewijzigd zijn en dat deze record ongeldig is.

De vraag blijft echter: hoe kun je controleren dat de openbare sleutel zelf niet gecompromitteerd is? Hier komen DS-records om de hoek kijken.

3. DS record

DS Record staat voor Delegation Signer. Dit is een record dat autoriteit aan een domein delegeert. In de DNS-hiërarchie zijn er administratieve afdelingen die zones worden genoemd. Zones kunnen ouders of kinderen hebben. Ouderzones worden als gezaghebbend beschouwd, d.w.z. ze worden vertrouwd en hun informatie wordt vertrouwd.

Ouderzones kunnen hun bevoegdheden delegeren aan hun kindzones. Dat doen ze met behulp van DS-records. DS-records bevatten een hash van de sleutel die is opgeslagen in het DNSKEY-record.

Zolang de hash van de DNSKEY recordwaarde overeenkomt met de hash in de DS record, betekent dit dat de sleutel geldig is. Deze controle wordt op elk niveau uitgevoerd, d.w.z. de ouder van een zone, de ouder van zijn ouder enzovoort.

4. SPF-, DKIM- en DMARC-records

TXT-records spelen een belangrijke rol in de beveiliging. TXT-records die te maken hebben met beveiliging worden SPF, DKIM en DMARC genoemd. Ze hebben betrekking op de beveiliging van e-mails die aan je domein zijn gerelateerd. Door ze in te stellen, kun je de reputatie van je e-mailverzender beschermen en de e-mailbezorging van je website verbeteren.

De rollen van deze records zijn gerelateerd. Laten we beginnen met SPF-records.

5. SPF-adressen

SPF staat voor Sender Policy Framework. SPF records geven aan welke mailservers geautoriseerd zijn om e-mails te versturen namens een domein. Voordat SPF-records bestonden, kon iedereen een e-mail versturen en beweren dat deze van een bepaald domein afkomstig was. Dit leverde het probleem op van bedriegers die zulke e-mails gebruikten voor phishing, kwaadaardige doorverwijzingen en zelfs social engineering.

6. DKIM-records

DKIM staat voor Domain Keys Identified Mail. Dit is ook een soort tekstrecord. DKIM-records dekken één kwetsbaarheid af die SPF-records hebben achtergelaten. Dat is de mogelijkheid om een e-mailadres te vervalsen.

DKIM-records maken ook gebruik van cryptografie om ervoor te zorgen dat een e-mail afkomstig is van de juiste bron. DKIM bestaat uit twee delen: een publieke sleutel die beschikbaar is in de DNS records en een DKIM header in de e-mail die ondertekend is met de private sleutel. Klanten die e-mail ontvangen moeten controleren of de DKIM header sleutel en de record sleutels deel uitmaken van hetzelfde paar of niet. Als dat zo is, dan is de e-mail van de juiste bron, als dat niet zo is, dan wordt de e-mail geweigerd.

7. DMARC records

DKIM en SPF worden gebruikt om de bron van een e-mail te verifiëren en spoofing tegen te gaan. DMARC wordt gebruikt om de e-mailontvanger te vertellen wat hij moet doen als hij e-mails ontvangt die de bovengenoemde controles niet doorstaan.

Maak kennis met Ranktracker

Het alles-in-één platform voor effectieve SEO

Achter elk succesvol bedrijf staat een sterke SEO-campagne. Maar met talloze optimalisatietools en -technieken om uit te kiezen, kan het moeilijk zijn om te weten waar te beginnen. Nou, vrees niet meer, want ik heb precies het ding om te helpen. Ik presenteer het Ranktracker alles-in-één platform voor effectieve SEO

We hebben eindelijk de registratie voor Ranktracker helemaal gratis geopend!

Maak een gratis account aan

Of log in met uw gegevens

DMARC staat voor Domain-Based Message Authentication Reporting and Conformance.

In principe vertellen DMARC-records de e-mailontvanger om een of meer van de volgende acties te ondernemen als een e-mail de SPF- en DKIM-controles niet doorstaat.

  • Markeer de e-mail als spam.
  • Laat de spam-mail door
  • De spammail weigeren

Bovendien rapporteren ze ook over het domein waarvan de e-mails de SPF- en DKIM-controles niet doorstaan. Dit helpt domeineigenaren te controleren of hun domein problemen heeft en snel actie te ondernemen om hun afzenderreputatie te behouden.

Zonder DMARC-records maken e-mailserviceproviders hun eigen afwegingen over het weigeren of accepteren van e-mails. Dit kan rare gevolgen hebben voor de reputatie van je domein (en dus ook voor de reputatie van je website). Het is dus beter om hier controle over te hebben.

Conclusie

Zo, nu zie je hoe DNS-records van vitaal belang zijn voor het functioneren en de veiligheid van websites. Zonder de DNS-records is het onmogelijk om websites te vinden. DNS is ook verantwoordelijk voor het definiëren van poorten voor individuele services op een website (zoals e-mail en VoIP).

Met DNS-beveiligingsrecords voorkomt u dat anderen de gelijkenis van uw website misbruiken om schade aan te richten. U zorgt er ook voor dat de afzenderreputatie van uw website behouden blijft, waardoor meer e-mails in de inbox van consumenten terechtkomen.

Felix Rose-Collins

Felix Rose-Collins

Ranktracker's CEO/CMO & Co-founder

Felix Rose-Collins is the Co-founder and CEO/CMO of Ranktracker. With over 15 years of SEO experience, he has single-handedly scaled the Ranktracker site to over 500,000 monthly visits, with 390,000 of these stemming from organic searches each month.

Begin Ranktracker te gebruiken... Gratis!

Ontdek wat uw website belemmert in de ranking.

Maak een gratis account aan

Of log in met uw gegevens

Different views of Ranktracker app