核心结论: DNS记录是域名与互联网服务之间的桥梁。正确配置A、CNAME、MX、TXT和CAA等记录类型,直接决定网站能否正常访问、邮件能否成功送达、SSL证书能否安全签发。2024年起Google和Yahoo强制要求SPF/DKIM/DMARC邮件认证,未配置的域名将面临邮件被拒收的风险。
DNS记录(DNS Record)是存储在权威域名服务器上的指令集,用于告知DNS解析系统如何响应对该域名的查询请求。 每条DNS记录包含域名、记录类型、TTL(生存时间)和目标值四个核心字段,由IETF在RFC 1035(1987年发布)中定义了基础规范。
域名注册完成后,真正让它"工作起来"的核心操作就是配置DNS记录。无论你要搭建网站、配置企业邮箱、接入CDN还是验证域名所有权,都离不开对各种DNS记录类型的理解和正确设置。
本指南将带你逐一掌握10种核心DNS记录类型的配置语法、适用场景和常见陷阱,同时覆盖2024年邮件认证新规和CA/B Forum最新SSL证书策略,确保你的域名配置既安全又高效。
DNS记录类型速查对比表
在深入每种记录之前,先通过对比表建立全局认知:
| 记录类型 | 核心功能 | 典型值示例 | 使用频率 |
|---|---|---|---|
| A | 域名→IPv4地址 | 192.0.2.1 | 极高 |
| AAAA | 域名→IPv6地址 | 2001:db8::1 | 高 |
| CNAME | 域名→另一域名(别名) | cdn.example.com | 极高 |
| MX | 邮件路由 | mail.example.com (优先级10) | 高 |
| TXT | 文本验证信息 | v=spf1 include:… | 极高 |
| NS | 指定权威DNS服务器 | ns1.cloudflare.com | 中 |
| SOA | 区域管理元数据 | 序列号/刷新/重试 | 低 |
| PTR | IP→域名(反向解析) | mail.example.com | 中 |
| SRV | 服务发现(主机+端口) | sip.example.com:5060 | 中 |
| CAA | 限制SSL证书签发机构 | letsencrypt.org | 高(趋势上升) |
A记录:域名解析的基石
A记录(Address Record)是将域名映射到IPv4地址的DNS记录类型,定义于RFC 1035,是互联网域名解析系统中使用频率最高的基础记录。 当用户在浏览器中输入域名时,DNS系统首先查询该域名的A记录以获取服务器IP地址。
配置语法
example.com. 3600 IN A 192.0.2.1
各字段含义:
example.com.— 域名(末尾的点表示FQDN)3600— TTL生存时间(秒),即缓存有效期IN— 互联网类别A— 记录类型192.0.2.1— 目标IPv4地址
实战场景
场景一:指向单台服务器
将根域名和www子域名都指向你的Web服务器:
example.com. 300 IN A 203.0.113.50
www.example.com. 300 IN A 203.0.113.50
场景二:负载均衡(Round-Robin DNS)
配置多条A记录实现简易负载分发:
example.com. 300 IN A 203.0.113.50
example.com. 300 IN A 203.0.113.51
example.com. 300 IN A 203.0.113.52
DNS会轮询返回不同IP,将流量分散到多台服务器。
常见错误
- TTL设置过长:生产环境变更前应将TTL降至60-300秒,迁移完成后再恢复到3600秒
- 忘记更新所有记录:更换服务器IP时,确保检查所有子域名的A记录
- 与CNAME冲突:同一域名不能同时存在A记录和CNAME记录
AAAA记录:面向IPv6的未来
AAAA记录是将域名映射到128位IPv6地址的DNS记录类型,定义于RFC 3596(2003年)。 其功能与A记录相同,唯一区别是指向IPv6地址而非IPv4。随着全球IPv4地址枯竭,IPv6部署正在加速——根据Google IPv6统计数据(2025年),全球IPv6采用率已超过45%。
配置语法
example.com. 3600 IN AAAA 2001:0db8:85a3::8a2e:0370:7334
最佳实践
建议同时配置A和AAAA记录(双栈模式),确保域名在IPv4和IPv6网络下都能正常访问:
example.com. 3600 IN A 203.0.113.50
example.com. 3600 IN AAAA 2001:db8::1
CNAME记录:灵活的域名别名
CNAME记录(Canonical Name Record)是将一个域名指向另一个域名的DNS别名机制,定义于RFC 1034。 当DNS解析器查询CNAME记录时,会自动跟随别名链直到找到最终的A或AAAA记录,从而实现一个域名"继承"另一个域名的解析结果。
配置语法
www.example.com. 3600 IN CNAME example.com.
blog.example.com. 3600 IN CNAME hosting.provider.com.
shop.example.com. 3600 IN CNAME shops.myshopify.com.
关键限制规则
规则一:根域名不能设置CNAME
以下配置是错误的:
example.com. CNAME other.com. ❌ 违反RFC 1912
根域名必须使用A记录。如果你的CDN或云平台要求CNAME接入,可以使用ALIAS/ANAME记录(部分DNS服务商支持)作为替代方案。
规则二:CNAME不能与其他记录共存
同一个域名下有CNAME记录时,不能再添加MX、TXT等任何其他类型的记录。
A记录 vs CNAME记录选择指南
| 场景 | 推荐记录 | 原因 |
|---|---|---|
| 根域名指向服务器 | A记录 | CNAME不允许在根域名 |
| www子域名 | CNAME→根域名 | 自动跟随根域名IP变化 |
| 接入CDN服务 | CNAME | CDN的IP可能动态变化 |
| 接入SaaS平台 | CNAME | 平台IP由供应商管理 |
| 需要精确控制IP | A记录 | 直接指定目标地址 |
MX记录:邮件路由的核心
MX记录(Mail Exchange Record)是指定域名邮件接收服务器的DNS记录类型,定义于RFC 5321。 每条MX记录包含一个优先级数值和目标邮件服务器域名,数值越小优先级越高,使邮件系统能实现主备容灾和负载均衡。
配置语法
example.com. 3600 IN MX 10 mail1.example.com.
example.com. 3600 IN MX 20 mail2.example.com.
example.com. 3600 IN MX 30 mail3.backup-mx.com.
优先级数值越小,优先级越高。上述配置中,邮件会优先发送到mail1;如果mail1不可用,则尝试mail2;最后才是backup服务器。
主流邮箱服务MX配置
Google Workspace:
example.com. MX 1 ASPMX.L.GOOGLE.COM.
example.com. MX 5 ALT1.ASPMX.L.GOOGLE.COM.
example.com. MX 5 ALT2.ASPMX.L.GOOGLE.COM.
example.com. MX 10 ALT3.ASPMX.L.GOOGLE.COM.
example.com. MX 10 ALT4.ASPMX.L.GOOGLE.COM.
Microsoft 365:
example.com. MX 0 example-com.mail.protection.outlook.com.
腾讯企业邮:
example.com. MX 5 mx1.qq.com.
example.com. MX 10 mx2.qq.com.
example.com. MX 15 mx3.qq.com.
常见问题排查
- 邮件收不到:检查MX记录是否正确指向邮件服务器,优先级设置是否合理
- MX指向IP:MX记录的值必须是域名而非IP地址,需要额外的A记录解析该邮件服务器域名
- CNAME冲突:如果某子域名设了CNAME,则无法为该子域名配置MX记录
TXT记录:验证与安全的万能载体
TXT记录是允许域名管理者在DNS中存储任意文本数据的记录类型,最初定义于RFC 1035,现已成为SPF邮件认证(RFC 7208)、DKIM签名(RFC 6376)和DMARC策略(RFC 7489)的标准载体。 它是现代域名安全配置中使用最频繁的记录类型之一。
配置语法
example.com. 3600 IN TXT "v=spf1 include:_spf.google.com ~all"
主要用途
1. SPF记录(防止邮件伪造)
SPF(Sender Policy Framework)声明哪些服务器有权以你的域名发送邮件:
example.com. TXT "v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.0/24 -all"
语法说明:
include:— 授权第三方服务的发送域ip4:— 直接授权IP段-all— 严格模式,未列出的服务器一律拒绝(推荐)~all— 软拒绝,标记为可疑但不直接拒收
重要提示: 根据Google Email Sender Guidelines(2024年2月1日生效)和Yahoo Sender Best Practices的联合要求,每日发送超过5,000封邮件的域名必须配置SPF、DKIM和DMARC三项认证。据Valimail 2024年DMARC采用率报告,全球仅约30%的域名完成了完整的邮件认证部署,未合规的域名邮件将被直接拒收或进入垃圾箱。
2. DKIM记录(邮件签名验证)
DKIM(DomainKeys Identified Mail)通过加密签名验证邮件未被篡改:
selector1._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhki..."
配置步骤:
- 在邮件服务提供商生成密钥对
- 将公钥以TXT记录形式发布到DNS
- 发出的每封邮件自动附带加密签名
- 收件方通过DNS查询公钥验证签名
建议使用2048位或更长的RSA密钥。
3. DMARC记录(认证策略与报告)
DMARC(Domain-based Message Authentication, Reporting & Conformance)告诉收件方如何处理SPF/DKIM验证失败的邮件:
_dmarc.example.com. TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com; ruf=mailto:forensics@example.com; pct=100"
推荐分阶段部署策略:
| 阶段 | 策略 | 说明 | 建议时长 |
|---|---|---|---|
| 监控 | p=none | 仅收集报告,不影响投递 | 2-4周 |
| 隔离 | p=quarantine | 验证失败的邮件进垃圾箱 | 2-4周 |
| 拒绝 | p=reject | 直接拒收未通过认证的邮件 | 长期维持 |
4. 域名验证
Google Search Console、各种云平台和SaaS服务经常要求添加TXT记录来验证域名所有权:
example.com. TXT "google-site-verification=abcdefg12345"
example.com. TXT "v=verify; service=example-saas; id=123456"
NS记录:权威DNS委派
NS记录(Name Server Record)是指定域名权威DNS服务器的记录类型,定义于RFC 1035。 它声明哪些DNS服务器有权对该域名的查询做出最终回答,是DNS分布式层级架构的核心委派机制。
配置语法
example.com. 86400 IN NS ns1.cloudflare.com.
example.com. 86400 IN NS ns2.cloudflare.com.
何时需要修改NS记录
- 更换DNS服务商:从注册商默认DNS迁移到Cloudflare、AWS Route 53等专业DNS
- 子域名委派:将特定子域名的解析权交给不同的DNS服务器
api.example.com. NS ns1.api-dns-provider.com.
api.example.com. NS ns2.api-dns-provider.com.
SOA记录:区域文件的元数据
SOA记录(Start of Authority)是每个DNS区域必须拥有的唯一管理记录,定义于RFC 1035,包含区域的序列号、刷新间隔、重试间隔、过期时间和否定缓存TTL等元数据。 它是DNS主从服务器同步机制的基础。
配置语法
example.com. SOA ns1.example.com. admin.example.com. (
2026052201 ; 序列号(建议YYYYMMDDnn格式)
7200 ; 刷新间隔(秒)
3600 ; 重试间隔
1209600 ; 过期时间
86400 ; 否定缓存TTL
)
普通用户一般无需手动修改SOA记录,DNS服务商会自动维护。但了解序列号机制对排查DNS同步问题很有帮助——每次修改区域文件时序列号必须递增,从服务器才会同步更新。
PTR记录:反向DNS解析
PTR记录(Pointer Record)是实现IP地址到域名反向解析的DNS记录类型,定义于RFC 1035。 它是A/AAAA记录的"镜像"操作:A记录将域名解析为IP,PTR记录则将IP反向解析为域名。反向解析使用特殊的.in-addr.arpa(IPv4)和.ip6.arpa(IPv6)域。
配置语法
IPv4反向解析需要将IP地址倒序排列并加上.in-addr.arpa后缀:
50.113.0.203.in-addr.arpa. PTR mail.example.com.
为什么PTR记录很重要
邮件投递是PTR记录最关键的应用场景。主流邮件服务商(Gmail、Outlook、QQ邮箱)会验证发件IP的PTR记录是否与发件域名匹配(FCrDNS验证)。PTR记录不匹配或缺失的邮件服务器,其邮件很可能被拒收或标记为垃圾邮件。
配置PTR记录需要联系IP地址的分配方(通常是你的VPS/云服务器提供商),在其控制面板设置反向DNS。
SRV记录:服务发现协议
SRV记录(Service Record)是用于指定域名下特定网络服务的主机名和端口号的DNS记录类型,定义于RFC 2782(2000年)。 它支持优先级和权重两个参数,使客户端能自动发现并连接到正确的服务端点,广泛应用于VoIP(SIP)、即时通讯(XMPP)和游戏服务器等场景。
配置语法
_service._protocol.example.com. SRV priority weight port target
实际示例:
_sip._tcp.example.com. SRV 10 60 5060 sip1.example.com.
_xmpp._tcp.example.com. SRV 5 0 5222 xmpp.example.com.
_minecraft._tcp.example.com. SRV 0 5 25565 mc.example.com.
常见应用
- Microsoft Teams/Skype for Business:通过SRV记录发现通讯服务器
- SIP电话系统:VoIP设备自动定位SIP服务器
- XMPP/Jabber:即时通讯客户端发现聊天服务器
- 游戏服务器:Minecraft等游戏通过SRV记录实现自定义端口连接
CAA记录:SSL证书签发控制
CAA记录(Certificate Authority Authorization)是允许域名持有者在DNS中声明哪些证书颁发机构(CA)被授权为其域名签发SSL/TLS证书的记录类型,定义于RFC 8659(2019年,取代RFC 6844)。 自2017年9月8日起,所有公共CA在签发证书前必须检查CAA记录(CA/Browser Forum Ballot 187强制要求)。
配置语法
example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 issuewild "letsencrypt.org"
example.com. CAA 0 iodef "mailto:security@example.com"
标签说明:
issue— 授权签发普通证书的CAissuewild— 授权签发通配符证书的CAiodef— 违规签发时的通知邮箱
为什么现在必须配置CAA记录
CA/B Forum于2025年4月通过Ballot SC-081v3,SSL证书有效期将分阶段缩短:
| 时间节点 | 最长有效期 | 影响 |
|---|---|---|
| 2026年3月 | 200天 | 需更频繁续期 |
| 2027年3月 | 100天 | 自动化续期成为必需 |
| 2029年3月 | 47天 | 完全依赖自动化 |
证书更新频率大幅增加意味着自动化签发流程将成为常态。配置CAA记录可以确保只有你授权的CA能自动签发证书,防止自动化流程中的安全漏洞。
推荐配置方案
如果你使用Let’s Encrypt免费证书:
example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 issuewild "letsencrypt.org"
example.com. CAA 0 iodef "mailto:admin@example.com"
如果同时使用多家CA:
example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 issue "digicert.com"
example.com. CAA 0 issue "sectigo.com"
DNS记录配置决策树
面对具体需求时,如何选择正确的记录类型?参考以下决策流程:
需要网站能被访问?
- 根域名 → 添加A记录(指向服务器IP)
- www或其他子域名 → CNAME(指向根域名或CDN)
- 需要IPv6访问 → 同时添加AAAA记录
需要配置邮箱?
- 邮件路由 → MX记录
- 发件认证 → TXT记录(SPF + DKIM + DMARC)
- 邮件服务器反向验证 → PTR记录
需要验证域名所有权?
- Google/Microsoft等平台验证 → TXT记录
需要保障安全?
- 限制SSL证书签发 → CAA记录
- DNS数据完整性 → DNSSEC
需要接入特定服务?
- VoIP/即时通讯/游戏 → SRV记录
- CDN/SaaS平台 → CNAME记录
DNS记录配置实战:从零搭建完整域名
假设你刚在 Nameslink 购买了一个域名,以下是完整的DNS配置流程:
第一步:基础网站解析
example.com. 300 IN A 203.0.113.50
example.com. 300 IN AAAA 2001:db8::50
www.example.com. 300 IN CNAME example.com.
第二步:邮件系统配置
; MX记录
example.com. MX 10 mail.example.com.
mail.example.com. A 203.0.113.25
; SPF
example.com. TXT "v=spf1 ip4:203.0.113.25 include:_spf.google.com -all"
; DKIM
selector._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=公钥内容"
; DMARC
_dmarc.example.com. TXT "v=DMARC1; p=none; rua=mailto:dmarc@example.com"
第三步:安全加固
; CAA限制证书签发
example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 iodef "mailto:admin@example.com"
第四步:TTL策略
- 稳定运行期:TTL设为3600秒(1小时)
- 计划变更前:提前将TTL降至60-300秒
- 变更完成后:确认无误后恢复3600秒
DNS记录排查工具与方法
当DNS配置不生效或出现异常时,使用以下工具定位问题:
命令行工具
dig命令(推荐):
# 查询A记录
dig example.com A
# 查询特定DNS服务器
dig @8.8.8.8 example.com MX
# 追踪完整解析路径
dig +trace example.com
# 查询TXT记录
dig example.com TXT
nslookup命令:
nslookup -type=MX example.com
nslookup -type=TXT example.com 8.8.8.8
在线检测工具
如果你想快速检查域名的解析状态和可用后缀,可以使用 Nameslink域名检测工具,支持1500多种后缀的毫秒级检测,方便在配置DNS之前确认域名状态。
常见问题诊断
| 现象 | 可能原因 | 排查方法 |
|---|---|---|
| 网站无法访问 | A记录错误或未生效 | dig example.com A |
| 邮件收不到 | MX记录配置错误 | dig example.com MX |
| 邮件进垃圾箱 | SPF/DKIM/DMARC未配置 | dig example.com TXT |
| SSL证书签发失败 | CAA记录限制 | dig example.com CAA |
| DNS修改不生效 | TTL缓存未过期 | 等待TTL时间或清除缓存 |
TTL设置最佳实践
TTL(Time To Live)决定DNS记录被缓存多长时间,直接影响DNS变更的生效速度。
| 场景 | 推荐TTL | 原因 |
|---|---|---|
| 稳定服务器 | 3600-86400秒 | 减少DNS查询,加快访问 |
| 即将变更 | 60-300秒 | 缩短切换等待时间 |
| 负载均衡 | 60-300秒 | 快速响应健康检查 |
| 邮件记录 | 3600秒 | 邮件路由需要稳定 |
| CDN接入 | 按CDN建议 | 通常300-600秒 |
关键原则: 任何计划内的DNS变更,都应提前至少一个TTL周期将记录的TTL降低。例如当前TTL为86400秒(24小时),则至少提前24小时将TTL改为300秒,然后再执行IP变更操作。
常见问题解答(FAQ)
DNS记录修改后多久生效?
DNS记录的生效时间取决于旧记录的TTL值。 如果旧记录TTL为3600秒,则全球范围内最长需等待1小时。实际上由于各级DNS缓存的存在,完全全球生效可能需要24-48小时。建议在计划变更前提前降低TTL。
A记录和CNAME记录应该怎么选?
根域名只能用A记录,子域名优先用CNAME。 CNAME的优势在于目标地址变化时无需逐个更新子域名记录。但如果需要在同一域名下配置MX或TXT记录,则该域名不能使用CNAME。
SPF记录超过10次DNS查询怎么办?
SPF标准限制最多10次DNS lookup(include/a/mx等机制每次计算一次)。 解决方案包括:合并多个include为ip4/ip6直接授权、使用SPF Flattening工具将嵌套域名解析为IP列表、将不同发送服务分配到不同子域名。
为什么配置了MX记录邮件还是收不到?
MX记录的值必须是域名而非IP地址,且该域名必须有对应的A记录。 另外检查MX优先级设置是否正确(数值越小优先级越高),以及防火墙是否开放了25/587/993等邮件端口。
CAA记录是必须配置的吗?
虽然CAA记录不是强制性的,但强烈建议配置。 自2017年起CA在签发证书前必须检查CAA记录。特别是在CA/B Forum通过SSL证书有效期缩短至47天的新规后,自动化证书续期将成为常态,CAA记录能有效防止未授权CA误签发证书。如果不配置CAA记录,任何CA都可以为你的域名签发证书。
总结与行动清单
DNS记录配置看似复杂,但掌握核心逻辑后就能应对绝大多数场景。以下是最关键的行动要点:
立即检查: 你的域名是否已配置SPF、DKIM和DMARC?自2024年2月起,Google和Yahoo对未配置邮件认证的域名实施严格过滤。使用 dig yourdomain.com TXT 和 dig _dmarc.yourdomain.com TXT 验证当前状态。
近期规划: 添加CAA记录限制SSL证书签发机构。随着证书有效期逐步缩短至47天,自动化签发的安全防护变得尤为重要。
持续维护: 定期审计DNS记录,删除不再使用的解析条目,保持DNS区域文件整洁。建议每季度检查一次,确保所有记录都指向正确的目标。
如果你正在规划新域名的注册,建议在选购之前先通过 Nameslink域名估值工具 评估域名的综合价值(包含SEO权重、品牌性、长度等22项指标),这对后续DNS配置策略的制定也有参考价值。
参考来源:
- RFC 1035 — Domain Names: Implementation and Specification (IETF, P. Mockapetris, 1987年11月)
- RFC 3596 — DNS Extensions to Support IP Version 6 (IETF, 2003年10月)
- RFC 2782 — A DNS RR for specifying the location of services (IETF, 2000年2月)
- RFC 7208 — Sender Policy Framework (SPF) for Authorizing Use of Domains in Email (IETF, 2014年4月)
- RFC 6376 — DomainKeys Identified Mail (DKIM) Signatures (IETF, 2011年9月)
- RFC 7489 — Domain-based Message Authentication, Reporting, and Conformance (DMARC) (IETF, 2015年3月)
- RFC 8659 — DNS Certification Authority Authorization (CAA) Resource Record (IETF, 2019年11月)
- CA/Browser Forum Ballot SC-081v3 — Reducing Validity Period of Subscriber Certificates (2025年4月11日通过)
- Google Email Sender Guidelines — Authentication requirements for bulk senders (2024年2月1日生效)
- Yahoo Sender Best Practices — Email authentication standards (2024年2月生效)
- Google IPv6 Adoption Statistics — https://www.google.com/intl/en/ipv6/statistics.html (2025年数据)
- Internet Society Global IPv6 Deployment Monitoring — https://pulse.internetsociety.org/ipv6 (持续更新)