I record DNS (Domain Name System) sono voci nel database globale di Internet che traducono i nomi di dominio in indirizzi IP e definiscono come viene gestito il traffico per un determinato dominio. Grazie a loro, il tuo browser sa a quale server connettersi quando inserisci l'indirizzo di un sito. In questo articolo spieghiamo cosa sono i record DNS, quali sono i loro tipi e a cosa servono.
Verifica i record DNS del tuo dominio
Puoi verificare rapidamente i record DNS di qualsiasi dominio usando il nostro strumento: DNS Lookup.
Cos'è il DNS?
Il DNS (Domain Name System) è un sistema di denominazione distribuito che funziona come una rubrica telefonica di Internet. Quando inserisci l'indirizzo di un sito nel browser, il server DNS traduce quel nome nell'indirizzo IP del server a cui il tuo dispositivo deve connettersi. Senza DNS dovresti memorizzare gli indirizzi IP di ogni sito visitato.
~1 mld
domini nel mondo
< 100 ms
tempo tipico di una query DNS
13
principali server DNS radice
UDP 53
porta DNS standard
Come funziona una query DNS?
Ogni volta che si inserisce un indirizzo nel browser viene avviata una serie di query prima che il dispositivo si connetta al server.
Browser
Controlla la cache DNS locale. Se l'indirizzo è memorizzato — risposta immediata.
Resolver ISP
Se non c'è cache, la query va al server DNS del tuo provider internet.
Server radice
Il resolver chiede al server DNS radice la posizione del server TLD (.com, .it ecc.).
Server TLD
Il server TLD rimanda al server dei nomi responsabile del dominio in questione.
Server dei nomi di dominio
Restituisce il record DNS specifico con l'indirizzo IP — la risposta arriva al browser.
Tipi di record DNS
Ogni tipo di record DNS svolge una funzione diversa. Di seguito troverai i più popolari.
example.com → 93.184.216.34
Punta il dominio a un indirizzo IPv4. Il record DNS più importante — senza di esso il sito non funziona.
example.com → 2606:2800:220:1::93
Come un record A, ma per gli indirizzi IPv6. Quattro A dall'indirizzo a 128 bit (4×32 bit).
www.example.com → example.com
Alias che punta a un altro dominio. Spesso usato per il sottodominio www. Non può coesistere con altri record per lo stesso nome.
10 mail.example.com
Punta al server di posta che gestisce le email del dominio. Il numero è la priorità — più basso significa server più importante.
v=spf1 include:_spf.google.com ~all
Qualsiasi testo assegnato al dominio. Usato per la verifica del dominio, SPF, DKIM e DMARC.
ns1.example-dns.com
Punta ai server dei nomi responsabili della zona DNS del dominio. Di solito ce ne sono almeno due per la ridondanza.
34.216.184.93.in-addr.arpa → example.com
L'opposto di un record A — traduce un indirizzo IP in un nome di dominio. Usato nel DNS inverso e nella verifica dei server di posta.
Record obbligatorio per ogni zona DNS. Contiene informazioni sul server primario, l'indirizzo email dell'amministratore e i parametri di aggiornamento della zona.
_sip._tcp.example.com 10 20 5060 sip.example.com
Punta al server e alla porta di un servizio specifico (ad es. VoIP, XMPP). Contiene priorità, peso e numero di porta.
0 issue "letsencrypt.org"
Specifica quali autorità di certificazione (CA) possono emettere certificati SSL per il dominio. Aumenta la sicurezza HTTPS.
Cos'è il TTL?
Il TTL (Time To Live) è il tempo in secondi per cui un record DNS può essere conservato nella cache da resolver e browser. È fondamentale nelle modifiche alla configurazione DNS.
300
5 minuti — per le modifiche pianificate
3 600
1 ora — impostazione standard
86 400
24 ore — record stabili
Prima di modificare il DNS — riduci il TTL
Prima di migrare un server o modificare un indirizzo IP, imposta il TTL a 300 secondi con 24-48 ore di anticipo. Dopo la modifica puoi ripristinare un TTL più alto. Altrimenti il vecchio indirizzo potrebbe essere servito per molte ore.
Record DNS e sicurezza email
Tre record TXT sono fondamentali per l'autenticità e la recapitabilità delle email. L'assenza di uno qualsiasi può far finire i tuoi messaggi nello spam.
SPF - Sender Policy Framework
Definisce l'elenco dei server autorizzati a inviare email per conto del dominio. Protegge contro lo spoofing del mittente.
v=spf1 include:_spf.google.com ~all
DKIM - DomainKeys Identified Mail
Firma crittografica aggiunta alle email che consente al destinatario di verificare che il messaggio non sia stato modificato durante la trasmissione.
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3...
DMARC - Domain-based Message Authentication
Combina SPF e DKIM, definendo una policy su cosa fare con un'email che non supera la verifica. Consente anche la generazione di report.
v=DMARC1; p=quarantine; rua=mailto:[email protected]
Come verificare i record DNS?
1 Strumento online
Il modo più comodo — verifica qualsiasi record senza installare nulla.
DNS Lookup2 Linux / macOS - terminale
dig example.com A dig example.com MX dig example.com TXT nslookup example.com
3 Windows - prompt dei comandi
nslookup -type=MX example.com Resolve-DnsName example.com -Type A
FAQ
La propagazione DNS è il tempo necessario per aggiornare i record sui server di tutto il mondo. Di solito richiede da pochi minuti a 48 ore, a seconda del TTL del record e dell'infrastruttura. Per accelerare la propagazione, abbassa il TTL a 300 secondi prima della modifica.
Un record A punta il dominio direttamente a un indirizzo IP. CNAME è un alias — punta il dominio a un altro dominio il cui indirizzo IP viene poi risolto. CNAME non può essere usato per il dominio principale (apex), solo per i sottodomini.
La causa più comune è l'assenza o la configurazione errata dei record SPF, DKIM o DMARC. Verifica se il tuo dominio ha tutti e tre i record correttamente configurati. Puoi usare il nostro strumento DNS Lookup per verificarli.
Il DNS inverso è il processo opposto a quello standard — invece di tradurre un dominio in IP, traduce un indirizzo IP in dominio. Realizzato tramite record PTR. Usato principalmente dai server di posta per la verifica del mittente e nella diagnostica di rete.
DNSSEC (DNS Security Extensions) è un'estensione DNS che aggiunge firme crittografiche ai record DNS. Protegge contro gli attacchi di DNS spoofing e cache poisoning, in cui un attaccante potrebbe reindirizzare il traffico verso un server falso.