Uvod
DNS pomeni sistem domenskih imen. To je osnovna tehnologija, ki omogoča delovanje interneta. Njegova najosnovnejša opredelitev se glasi: "DNS je odgovoren za razreševanje IP-naslovov spletnih strani v njihova domenska imena."
V resnici je sistem DNS zmožen veliko več kot to. Funkcije DNS se izvajajo s pomočjo zapisov DNS. Zapisi DNS so besedilne datoteke, ki vsebujejo bistvene informacije, pomembne za delovanje sistema DNS.
Ta članek poudarja pomen zapisov DNS za delovanje in varnost spletnega mesta. V ta namen bomo preverili različne vrste zapisov DNS in razložili, kaj počnejo v zvezi z delovanjem ali varnostjo spletnega mesta.
Na koncu tega članka boste imeli boljši vpogled v sistem domenskih imen.
Kako deluje sistem DNS?
Za razumevanje zapisov DNS in njihove vloge pri delovanju in varnosti spletnega mesta je treba poznati sistem domenskih imen (DNS).
Vse se začne v računalniku. Računalnik, ki išče spletno mesto, se imenuje odjemalec. Odjemalec se z zahtevo obrne na strežnik, znan kot razreševalnik DNS. Razreševalnik DNS je strežnik, ki ga dodeli vaš ponudnik internetnih storitev, lahko pa v nastavitvah operacijskega sistema določite svojega. Njegova naloga je obravnavati vse poizvedbe DNS, ki jih postavi odjemalec.
Platforma "vse v enem" za učinkovito SEO
Za vsakim uspešnim podjetjem stoji močna kampanja SEO. Vendar je ob neštetih orodjih in tehnikah optimizacije težko vedeti, kje začeti. Ne bojte se več, ker imam za vas prav to, kar vam lahko pomaga. Predstavljam platformo Ranktracker vse-v-enem za učinkovito SEO
Končno smo odprli registracijo za Ranktracker popolnoma brezplačno!
Ustvarite brezplačen računAli se prijavite s svojimi poverilnicami
Torej. Odjemalec vpraša rešitelja: "Hej, želim najti to domensko ime (xyz.com). Ali poznate njen naslov IP?" Razreševalnik preveri svoj predpomnilnik, ali ima shranjeno ime domene in njen IP. Če ga nima, se obrne na več strežnikov v hierarhiji DNS in preveri, ali imajo naslov IP.
Slika hierarhije DNS
Vir slike: https://www.menandmice.com/glossary/dns-server-types
Običajno se naslov IP najde razmeroma hitro. Včasih pa mora reševalnik iti vse do vrha hierarhije in poizvedovati po strežnikih, znanih kot korenski imenski strežniki (NS).
Na svetu je 13 korenskih imenskih strežnikov, ki vsebujejo naslove IP vseh spletnih mest v spletu. Če IP-naslov za domeno ne obstaja v strežnikih imen, pomeni, da je poizvedba DNS za to domeno "nerešljiva".
Ko je naslov IP najden, ga rešitelj pošlje nazaj odjemalcu. Odjemalec nato pošlje zahtevo strežniku na danem naslovu IP, strežnik pa odgovori z zahtevano spletno stranjo.
Tako deluje preprosta poizvedba in vse to se zgodi v nekaj sekundah. Kje se pojavijo zapisi DNS? Informacije, shranjene v vseh strežnikih v hierarhiji DNS, so shranjene v obliki zapisov DNS.
Platforma "vse v enem" za učinkovito SEO
Za vsakim uspešnim podjetjem stoji močna kampanja SEO. Vendar je ob neštetih orodjih in tehnikah optimizacije težko vedeti, kje začeti. Ne bojte se več, ker imam za vas prav to, kar vam lahko pomaga. Predstavljam platformo Ranktracker vse-v-enem za učinkovito SEO
Končno smo odprli registracijo za Ranktracker popolnoma brezplačno!
Ustvarite brezplačen računAli se prijavite s svojimi poverilnicami
Zapise DNS lahko upravlja spletni skrbnik s priljubljenimi orodji, kot so cPanel, Cloudflare, GoDaddy itd. Če želite izvedeti, kako lahko s takšnimi orodji upravljate svoje spletno mesto, preberite naš članek o cPanelu. Ustvarjanje podrobne dokumentacije o upravljanju zapisov DNS je lahko zamudno. Generator odstavkov z umetno inteligenco vam lahko pomaga učinkovito ustvariti visokokakovostno informativno vsebino, s katero boste lažje jasno razložili zapletene koncepte.
Zdaj preverimo, kako zapisi DNS pomagajo in prispevajo k funkcionalnosti spletnega mesta.
Različni zapisi DNS in njihov prispevek k funkcionalnosti spletnega mesta
Najprej bomo preverili zapise, ki so pomembni za delovanje spletnega mesta. Teh je v primerjavi z varnostnimi zapisi več.
Vsi zapisi DNS imajo isto predlogo. Od leve proti desni so ime domene, čas trajanja, razred zapisa, ime zapisa in vrednost zapisa. Večina zapisov se razlikuje le po imenu in vrednosti. Spodaj je prikazana slika zapisa A.
Vir slike: dnschecker
Slika prikazuje štiri zapise A za Microsoft.com. Ime domene je "microsoft.com". TTL je 1290 sekund, IN (internet) je razred, A je ime zapisa, številke pa so naslov IPv4, tj. vrednost.
Zdaj, ko vemo, kako je videti tipičen zapis DNS, spoznajmo, kaj počnejo in kako prispevajo k funkcionalnosti spletnega mesta.
1. Zapisi A/AAAA
Zapisi A in AAAA pomenijo naslove IPv4 oziroma IPv6. Njihov edini namen je preslikava naslovov IP na ime domene. To je najosnovnejša funkcija sistema DNS, ki omogoča delovanje interneta.
Kot verjetno veste, je naslov IP številčni (IPv4) ali šestnajstiški (IPv6) prikaz lokacije strežnika.
Vsa vsebina na spletu je shranjena na številnih strežnikih po vsem svetu. Ko iščete domensko ime, reševalnik DNS v predpomnilniku preveri, ali so v njem zapisi A ali AAAA za to domeno.
Če jih ne najde, poizveduje po drugih strežnikih v hierarhiji, ali jih imajo ali ne. Ko so ustrezni zapisi A/AAAA najdeni, jih rešitelj shrani v predpomnilnik, tako da mu jih pozneje ni treba iskati.
Do zdaj ste že ugotovili, kakšno vlogo imajo zapisi A/AAAA pri delovanju spletnega mesta. Brez teh zapisov ne bi bilo mogoče najti spletnega mesta. Zato je konfiguriranje zapisov A/AAAA spletnega mesta ključnega pomena za njegovo delovanje.
2. Zapis CNAME
Zapisi CNAME niso tako pomembni kot zapisi A/AAAA, vendar imajo svojo edinstveno uporabo. Zapisi CNAME eno domeno približajo drugi. Enostavneje povedano, lahko poskrbite, da se vse poizvedbe DNS za eno domeno samodejno pošljejo v drugo domeno.
Če imate na primer domeno cars.com in drugo domeno vehicles.com, lahko s pomočjo zapisa CNAME domeno cars.com preimenujete v vehicles.com.
Ko bo nekdo v naslovno vrstico brskalnika vnesel "cars.com", se bo namesto tega samodejno znašel na "vehicles.com". Razlog za to je, da bo poizvedba DNS za "cars.com" izpolnjena z zapisom CNAME, ki se sklicuje na zapis A/AAAA za "vehicles.com".
To je koristno za spletna mesta, ki imajo več podobnih domen. Z zapisi CNAME bo končni uporabnik vedno preusmerjen na pravo spletno mesto. Če se vaša domena imenuje "xyz.org", lahko ustvarite zapise CNAME za "www.xyz.org", ki kažejo na "xyz.org".
3. Zapis MX
MX pomeni zapise za izmenjavo pošte. Zapisi MX so ključnega pomena za delovanje e-pošte na spletni strani. Njihova vloga je predvsem določiti, kateri poštni strežniki se ukvarjajo z elektronsko pošto domene.
Recimo, da imate spletno trgovino. Očitno imate e-poštni naslov, na katerega lahko stranke stopijo v stik z vami. Morda imate tudi ločen e-poštni naslov za potencialne poslovne partnerje.
Če so zapisi MX pravilno konfigurirani, ne boste imeli težav s prejemanjem e-pošte. Vsako e-poštno sporočilo, usmerjeno na e-poštni naslov vaše domene, bo poslano v ustrezen poštni strežnik, opredeljen v zapisu.
Brez zapisa MX bi bila ta e-poštna sporočila izgubljena. Ne boste jih prejeli, ker ne bodo poslana v noben poštni strežnik. Če e-poštnih sporočil ne prejemate, nanje ne morete odgovoriti. To daje vtis, da ste nekomunikativni, in pri uporabnikih vašega spletnega mesta pušča slab vtis.
4. Zapis TXT
Zapisi TXT so nestandardni zapisi, ki se lahko uporabljajo za različne funkcije. Ponudniki storitev tretjih oseb, kot so iskalniki, poštni strežniki, ponudniki API itd., jih lahko uporabijo za preverjanje spletnega mesta.
Zapis TXT nima določene vrednosti kot drugi zapisi. Njegova vrednost je lahko poljubna. Dokler ne presežete omejitve znakov, lahko vnesete katero koli vrednost.
Za preverjanje spletnega mesta zgoraj navedeni ponudniki storitev tretjih oseb zasebno podajo določeno vrednost, ki jo spletni skrbnik doda v svoj zapis TXT. Če je vrednost enaka vrednosti, ki jo je navedel tretji ponudnik storitev, to pomeni, da gre za pravo spletno mesto in ne za goljufa.
Obstajajo tudi drugi načini uporabe zapisov TXT za varnost, ki jih bomo preverili v razdelku "Varnost".
5. Zapis NS
Daleč najpomembnejša vrsta zapisa je zapis NS. NS je kratica za imenski strežnik. Strežniki imen so na vrhu hierarhije DNS. Vsebujejo vse domenske zapise.
V zapisih NS je podrobno navedeno, kateri strežniki imen vsebujejo zapise domene. Brez zapisa NS resolverji in strežniki DNS nižje v hierarhiji ne bi vedeli, kateri strežnik naj poizvedujejo za informacije o določeni domeni.
Če zapisov NS ni, je vaše spletno mesto praktično nemogoče najti, zato je neuporabno. Zato poskrbite, da bodo vaši zapisi NS v redu.
6. Zapis SRV
SRV pomeni storitev. Ti zapisi določajo, katere internetne storitve, kot so VoIP, e-pošta in sporočanje, uporabljajo katera vrata.
Brez zapisa SRV bo določen promet za določena vrata prekinjen. Običajno to za večino spletnih mest ni težava. Če pa uporabljate internetne storitve, ki uporabljajo VoIP, e-pošto ali takojšnje sporočanje, je treba zapise SRV pravilno nastaviti.
7. Zapis PTR
Zapisi PTR se uporabljajo za povratno iskanje DNS. PTR je kratica za kazalec, ta vrsta zapisa pa prikazuje naslov IP z domenskim imenom. Je torej nasprotje zapisa A/AAAA.
Zapisi PTR so potrebni za delovanje spletnega mesta, saj se uporabljajo za preverjanje. Včasih lahko spletna mesta ponaredijo ime svoje domene in pošljejo zahteve strežniku za drugo domeno. Strežnik lahko z zapisi PTR preveri, ali se naslov IP lažne domene ujema z naslovom IP prave domene.
Če se ne ujemajo, je zahteva zavrnjena.
Zapisi DNS, ki prispevajo k varnosti
Varnost spletnega mesta je zelo pomembna. Več o tem lahko izveste v enem od naših drugih člankov.
V nadaljevanju so navedeni zapisi, ki pomagajo zaščititi spletno mesto in preprečiti različna varnostna tveganja, kot sta prevara in zastrupitev predpomnilnika.
1. Zapisi DNSSEC
DNSSEC pomeni varnost DNS. To je varnostni protokol, ki je namenjen odpravljanju pomanjkljivosti v sistemu DNS. Sistem DNS ni bil zasnovan z mislijo na varnost. Zato ga je bilo zelo enostavno uporabiti kot vektor napada.
Z DNSSEC sta bili uvedeni dve vrsti novih zapisov. Ti zapisi pomagajo pri varovanju vsebine drugih zapisov in preverjanju vira, iz katerega izvirajo.
DNSSEC deluje na podlagi kriptografije z javnim ključem. V osnovi so zapisi DNS podpisani s kriptografskimi ključi, da se zagotovi, da njihovih podatkov ni mogoče ponarediti.
Podobni ključi se uporabljajo za zagotavljanje, da tudi zapisi izvirajo iz pravilnega vira.
To pomaga pri varnosti spletnega mesta, saj se tako lahko zaščitite pred napadi na zastrupljanje predpomnilnika. Zlonamerni akterji lahko spremenijo zapise DNS v predpomnilniku razreševalnika in nemoteno preusmerijo promet z enega spletnega mesta na drugo.
Z DNSSEC lahko zaščitite obiskovalce, ki poskušajo doseči vaše spletno mesto, pred zlonamernim preusmerjanjem in ohranite svoj ugled.
Oglejmo si, kako to izvajajo zapisi DS in DNSKEY.
2. Zapis DNSKEY
Zapis DNSKEY vsebuje javni ključ. Ta javni ključ je par z zasebnim ključem območja. Vsi zapisi DNS območja so podpisani z zasebnim ključem, javni ključ iz zapisa DNSKEY pa se uporabi za preverjanje tega podpisa.
Če podpisa ni mogoče preveriti, pomeni, da so bili podatki v zapisu spremenjeni in da je ta zapis neveljaven.
Vendar pa še vedno ostaja vprašanje: kako lahko preverite, ali ni bil ogrožen sam javni ključ? Tu pridejo na vrsto zapisi DS.
3. Zapis DS
Zapis DS je okrajšava za Signator delegacije. To je zapis, ki prenaša pooblastila na domeno. V hierarhiji DNS obstajajo upravne enote, znane kot območja. Območja imajo lahko starše ali otroke. Starševska območja veljajo za avtoritativna, tj. so zaupanja vredna, njihove informacije pa so zaupanja vredne.
Nadrejena območja lahko svoja pooblastila prenesejo na podrejena območja. To storijo s pomočjo zapisov DS. Zapisi DS vsebujejo hash ključa, shranjenega v zapisu DNSKEY.
Če se hash vrednosti zapisa DNSKEY ujema z hashem v zapisu DS, pomeni, da je ključ veljaven. To preverjanje se izvaja na vseh ravneh, tj. na ravni nadrejene cone, nadrejene cone, nadrejene cone in tako naprej.
4. Zapisi SPF, DKIM in DMARC
Zapisi TXT imajo pri varnosti veliko vlog. Zapisi TXT, povezani z varnostjo, se imenujejo SPF, DKIM in DMARC. Povezani so z varnostjo e-poštnih sporočil, povezanih z vašo domeno. Z njihovo nastavitvijo lahko zaščitite ugled pošiljatelja e-pošte in izboljšate dostavljivost e-pošte svojega spletnega mesta.
Vloge teh zapisov so povezane. Začnimo z zapisi SPF.
5. Zapisi SPF
SPF je kratica za Sender Policy Framework. V zapisih SPF je navedeno, kateri poštni strežniki so pooblaščeni za pošiljanje e-pošte v imenu domene. Preden so bili zapisi SPF uvedeni, je lahko vsakdo poslal e-poštno sporočilo in trdil, da prihaja iz določene domene. To je predstavljalo problem goljufov, ki so takšna e-poštna sporočila uporabljali za ribarjenje, zlonamerne preusmeritve in celo socialni inženiring.
6. Zapisi DKIM
DKIM je kratica za Domain Keys Identified Mail. To je tudi vrsta besedilnega zapisa. Zapisi DKIM pokrivajo ranljivost, ki so jo pustili zapisi SPF. To je možnost ponarejanja e-poštnega naslova.
Zapisi DKIM uporabljajo tudi kriptografijo, da zagotovijo, da e-poštno sporočilo izvira iz pravilnega vira. DKIM ima dva dela: javni ključ, ki je na voljo v zapisih DNS, in glavo DKIM v e-poštnem sporočilu, ki je podpisana z zasebnim ključem. Odjemalci, ki prejemajo e-pošto, morajo preveriti, ali sta ključ glave DKIM in ključ zapisa del istega para ali ne. Če sta, potem je e-poštno sporočilo od pravilnega vira, če nista, je e-poštno sporočilo zavrnjeno.
7. Zapisi DMARC
DKIM in SPF se uporabljata za preverjanje vira e-poštnega sporočila in preprečevanje lažnih sporočil. DMARC se uporablja za obveščanje prejemnika e-pošte, kaj naj stori, ko prejme e-pošto, ki ne opravi prej omenjenih preverjanj.
Platforma "vse v enem" za učinkovito SEO
Za vsakim uspešnim podjetjem stoji močna kampanja SEO. Vendar je ob neštetih orodjih in tehnikah optimizacije težko vedeti, kje začeti. Ne bojte se več, ker imam za vas prav to, kar vam lahko pomaga. Predstavljam platformo Ranktracker vse-v-enem za učinkovito SEO
Končno smo odprli registracijo za Ranktracker popolnoma brezplačno!
Ustvarite brezplačen računAli se prijavite s svojimi poverilnicami
DMARC pomeni Domain-Based Message Authentication Reporting and Conformance (poročanje o avtentikaciji in skladnosti na osnovi domene).
V osnovi zapisi DMARC prejemniku e-pošte sporočajo, naj izvede enega ali več naslednjih ukrepov, če e-pošta ne opravi preverjanja SPF in DKIM.
- e-poštno sporočilo označite kot neželeno pošto.
- Prepustite nezaželeno pošto
- Zavrnitev neželene pošte
Poleg tega poročajo tudi o domeni, katere e-poštna sporočila ne opravijo preverjanja SPF in DKIM. Tako lahko lastniki domen preverijo, ali ima njihova domena kakšne težave, in hitro ukrepajo, da ohranijo ugled pošiljatelja.
Brez zapisov DMARC ponudniki e-poštnih storitev sami presodijo o zavrnitvi ali sprejetju e-poštnih sporočil. To ima lahko čudne posledice za ugled vaše domene (in posledično tudi za ugled vašega spletnega mesta). Zato je bolje imeti nadzor nad tem.
Zaključek
Zdaj vidite, kako pomembni so zapisi DNS za delovanje in varnost spletnega mesta. Brez zapisov DNS je nemogoče najti spletna mesta. DNS je odgovoren tudi za določanje vrat za posamezne storitve na spletnem mestu (kot sta e-pošta in VoIP).
Z varnostnimi zapisi DNS drugim preprečite, da bi zlorabili podobo vašega spletnega mesta za povzročanje škode. Zagotavljate tudi, da se ohrani ugled pošiljatelja e-pošte vašega spletnega mesta, zaradi česar bo več e-poštnih sporočil našlo pot v e-poštne predale potrošnikov.