DNS-записи — это невидимая инфраструктура, на которой держится весь интернет. Каждый раз, когда пользователь вводит адрес в браузере, цепочка DNS-запросов преобразует человекочитаемое имя в технические инструкции, направляющие трафик на нужный сервер. В этом руководстве разобраны все 10 основных типов DNS-записей с реальным синтаксисом, практическими примерами и типичными ошибками.
Сводная таблица 10 типов DNS-записей
| Тип | Назначение | Пример значения | Типичный TTL |
|---|---|---|---|
| A | Привязка домена к IPv4 | 192.0.2.1 | 300–3600 с |
| AAAA | Привязка домена к IPv6 | 2001:db8::1 | 300–3600 с |
| CNAME | Псевдоним для другого домена | www.example.com | 3600 с |
| MX | Почтовый сервер | mail.example.com (приоритет 10) | 3600 с |
| TXT | Произвольный текст (SPF, DKIM, верификация) | v=spf1 include:... | 3600 с |
| NS | Авторитетный сервер имён | ns1.provider.com | 86400 с |
| SOA | Начало зоны (метаданные) | Серийный номер, refresh | 86400 с |
| PTR | Обратный DNS (IP → имя) | host.example.com | 3600 с |
| SRV | Обнаружение сервисов | _sip._tcp.example.com | 3600 с |
| CAA | Авторизация CA для выпуска сертификатов | letsencrypt.org | 3600 с |
1. A-запись (Address Record)
Определение
A-запись связывает доменное имя с 32-битным IPv4-адресом. Это самый базовый тип DNS-записи.
Синтаксис
имя.example.com. IN A 192.0.2.1
Практические примеры
; Основной сайт
example.com. 300 IN A 203.0.113.10
; Поддомен API
api.example.com. 300 IN A 203.0.113.20
; Несколько записей для балансировки нагрузки
example.com. 300 IN A 203.0.113.10
example.com. 300 IN A 203.0.113.11
Типичные ошибки
- Слишком высокий TTL при миграции (невозможен быстрый откат)
- Забыли обновить все A-записи при смене сервера
- A-запись и CNAME на одном имени (конфликт по RFC)
2. AAAA-запись (IPv6 Address Record)
Определение
Аналог A-записи для 128-битных адресов IPv6. Необходима для поддержки современного интернета.
Синтаксис
example.com. IN AAAA 2001:0db8:85a3::8a2e:0370:7334
Практические примеры
example.com. 300 IN AAAA 2606:4700:3030::6815:1234
api.example.com. 300 IN AAAA 2606:4700:3030::6815:5678
Типичные ошибки
- Публикация AAAA-записи при отсутствии реальной поддержки IPv6 на сервере
- Отсутствие отдельного тестирования IPv6-резолвинга
3. CNAME-запись (Canonical Name)
Определение
Создаёт псевдоним, указывающий на каноническое имя другого домена. DNS сначала разрешает CNAME, а затем возвращает конечный IP-адрес.
Синтаксис
alias.example.com. IN CNAME target.example.com.
Практические примеры
; www указывает на корневой домен
www.example.com. 3600 IN CNAME example.com.
; Поддомен на CDN
cdn.example.com. 3600 IN CNAME d1234.cloudfront.net.
; Поддомен для SaaS-платформы
blog.example.com. 3600 IN CNAME custom.ghost.io.
Типичные ошибки
- CNAME на apex-домене (запрещено RFC 1034) — используйте A/AAAA или ALIAS
- Цепочка CNAME (CNAME → CNAME) — увеличивает задержку
- CNAME совместно с MX или TXT на том же имени
4. MX-запись (Mail Exchange)
Определение
Указывает серверы, принимающие почту для домена. Значение приоритета определяет порядок обращения (меньшее число = выше приоритет).
Синтаксис
example.com. IN MX приоритет почтовый-сервер.
Практические примеры
; Google Workspace
example.com. 3600 IN MX 1 aspmx.l.google.com.
example.com. 3600 IN MX 5 alt1.aspmx.l.google.com.
example.com. 3600 IN MX 5 alt2.aspmx.l.google.com.
example.com. 3600 IN MX 10 alt3.aspmx.l.google.com.
example.com. 3600 IN MX 10 alt4.aspmx.l.google.com.
; Microsoft 365
example.com. 3600 IN MX 0 example-com.mail.protection.outlook.com.
Типичные ошибки
- MX указывает на CNAME (должен быть хост с A/AAAA-записью)
- Отсутствие завершающей точки в имени сервера
- Нет резервных MX-записей
5. TXT-запись (Text Record)
Определение
Хранит произвольный текст, связанный с доменом. Широко используется для подтверждения владения, аутентификации email (SPF, DKIM, DMARC) и политик безопасности.
Синтаксис
example.com. IN TXT "текст-записи"
Практические примеры
; SPF
example.com. 3600 IN TXT "v=spf1 include:_spf.google.com ~all"
; Верификация домена (Google)
example.com. 3600 IN TXT "google-site-verification=abc123def456"
; DMARC
_dmarc.example.com. 3600 IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"
Типичные ошибки
- Несколько SPF-записей на одном домене (допускается только одна)
- Превышение лимита 255 символов на строку без конкатенации
- Более 10 DNS-lookups в SPF (вызывает permerror)
6. NS-запись (Name Server)
Определение
Указывает авторитетные серверы имён для DNS-зоны. Задаются как у регистратора, так и в самой зоне.
Синтаксис
example.com. IN NS ns1.provider.com.
Практические примеры
example.com. 86400 IN NS ns1.cloudflare.com.
example.com. 86400 IN NS ns2.cloudflare.com.
; Делегирование поддомена
dev.example.com. 86400 IN NS ns1.dev-provider.com.
dev.example.com. 86400 IN NS ns2.dev-provider.com.
Типичные ошибки
- Несоответствие NS у регистратора и в зоне
- Только один сервер имён (нет резервирования)
- NS указывает на CNAME (запрещено)
7. SOA-запись (Start of Authority)
Определение
Первая обязательная запись любой DNS-зоны. Содержит административную информацию: серийный номер, интервалы обновления и срок действия.
Синтаксис
example.com. IN SOA ns1.example.com. admin.example.com. (
2026052201 ; Serial (YYYYMMDDNN)
7200 ; Refresh (2 часа)
3600 ; Retry (1 час)
1209600 ; Expire (14 дней)
300 ; Negative TTL (5 минут)
)
Типичные ошибки
- Серийный номер не увеличен после изменений (вторичные серверы не обновляются)
- Слишком короткий Expire (зона исчезает при недоступности первичного сервера)
8. PTR-запись (Pointer Record)
Определение
Выполняет обратное преобразование: по IP-адресу возвращает связанное доменное имя. Настраивается в обратной зоне (in-addr.arpa или ip6.arpa).
Синтаксис
1.2.0.192.in-addr.arpa. IN PTR server.example.com.
Практические примеры
; Обратная IPv4-запись
10.113.0.203.in-addr.arpa. 3600 IN PTR mail.example.com.
; Обратная IPv6-запись
4.3.2.1.0.7.3.0.e.2.a.8.0.0.0.0.3.a.5.8.8.b.d.0.8.b.d.0.1.0.0.2.ip6.arpa. IN PTR host.example.com.
Типичные ошибки
- Не запросили настройку PTR у хостинг-провайдера (вы редко контролируете обратную зону)
- Несоответствие PTR и A-записи (приводит к отклонению писем)
9. SRV-запись (Service Record)
Определение
Указывает хост и порт для конкретного сервиса, обеспечивая автоматическое обнаружение служб.
Синтаксис
_сервис._протокол.example.com. IN SRV приоритет вес порт хост.
Практические примеры
; Microsoft Teams / SIP
_sip._tls.example.com. 3600 IN SRV 100 1 443 sipdir.online.lync.com.
_sipfederationtls._tcp.example.com. 3600 IN SRV 100 1 5061 sipfed.online.lync.com.
; XMPP
_xmpp-server._tcp.example.com. 3600 IN SRV 5 0 5269 xmpp.example.com.
Типичные ошибки
- Забыт символ подчёркивания в имени сервиса и протокола
- Путаница приоритета и веса (меньший приоритет = пробуется первым)
10. CAA-запись (Certification Authority Authorization)
Определение
Определяет, какие удостоверяющие центры (CA) имеют право выпускать SSL/TLS-сертификаты для домена. Дополнительный уровень защиты от несанкционированного выпуска.
Синтаксис
example.com. IN CAA flags tag "значение"
Практические примеры
; Разрешить только Let's Encrypt
example.com. 3600 IN CAA 0 issue "letsencrypt.org"
; Разрешить Let's Encrypt и DigiCert
example.com. 3600 IN CAA 0 issue "letsencrypt.org"
example.com. 3600 IN CAA 0 issue "digicert.com"
; Wildcard только от определённой CA
example.com. 3600 IN CAA 0 issuewild "letsencrypt.org"
; Уведомление при нарушении
example.com. 3600 IN CAA 0 iodef "mailto:security@example.com"
CA/B Forum Ballot SC-081v3 — новая политика срока действия сертификатов
В апреле 2025 года CA/Browser Forum утвердил Ballot SC-081v3, который поэтапно сокращает максимальный срок действия SSL/TLS-сертификатов:
| Дата вступления | Максимальный срок | Ревалидация DCV |
|---|---|---|
| Март 2026 | 200 дней | 200 дней |
| Март 2027 | 100 дней | 100 дней |
| Март 2029 | 47 дней | 10 дней |
Практическое значение: При сроке действия 47 дней автоматизация через ACME (Let’s Encrypt, ZeroSSL) становится обязательной. CAA-записи приобретают критическое значение — они определяют, какие CA могут автоматически выпускать и обновлять сертификаты для вашего домена.
Типичные ошибки
- Отсутствие CAA-записей (любая CA может выпустить сертификат)
- Забыли добавить CA для wildcard в теге
issuewild - Нет
iodefдля получения уведомлений о несанкционированных попытках
Аутентификация электронной почты: SPF, DKIM и DMARC
Требования Google/Yahoo 2024
С февраля 2024 года Google и Yahoo обязывают массовых отправителей (5000+ писем в день) реализовать:
- SPF — корректная запись
- DKIM — подпись, выровненная с доменом отправителя
- DMARC — минимальная политика
p=none
Отправители, не выполнившие требования, столкнутся с отклонением писем или их попаданием в спам.
Полная настройка SPF
; SPF — Google Workspace + Mailchimp
example.com. 3600 IN TXT "v=spf1 include:_spf.google.com include:servers.mcsv.net -all"
Ключевые правила:
- Максимум 10 DNS-lookups (include, a, mx, redirect — всё считается)
~all(softfail) для тестирования,-all(hardfail) в продакшене- Только одна SPF-запись на домен
Настройка DKIM
; Селектор Google Workspace
google._domainkey.example.com. 3600 IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."
; Пользовательский селектор
selector1._domainkey.example.com. 3600 IN TXT "v=DKIM1; k=rsa; p=BASE64_PUBLIC_KEY"
Поэтапная настройка DMARC
; Этап 1: Мониторинг
_dmarc.example.com. 3600 IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-forensic@example.com"
; Этап 2: Частичный карантин
_dmarc.example.com. 3600 IN TXT "v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-reports@example.com"
; Этап 3: Полное отклонение
_dmarc.example.com. 3600 IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com"
Дерево решений для выбора типа записи
Мне нужно направить домен на...
│
├─ IP-адрес?
│ ├─ IPv4 → A-запись
│ └─ IPv6 → AAAA-запись
│
├─ Другое доменное имя?
│ ├─ Это apex (корень)? → A/AAAA (или ALIAS, если поддерживается)
│ └─ Это поддомен? → CNAME-запись
│
├─ Почтовый сервер?
│ └─ MX-запись (+ SPF/DKIM/DMARC через TXT)
│
├─ Верификация или текстовая политика?
│ └─ TXT-запись
│
├─ Сервис с определённым портом?
│ └─ SRV-запись
│
├─ Контроль выпуска сертификатов?
│ └─ CAA-запись
│
└─ Обратное преобразование IP → имя?
└─ PTR-запись
Полный пример настройки DNS
Сценарий: домен mysite.ru с сайтом за CDN, почтой в Google Workspace и Let’s Encrypt для SSL.
; --- Инфраструктурные записи ---
mysite.ru. 86400 IN NS ns1.cloudflare.com.
mysite.ru. 86400 IN NS ns2.cloudflare.com.
; --- Сайт ---
mysite.ru. 300 IN A 104.21.45.67
mysite.ru. 300 IN AAAA 2606:4700:3030::6815:2d43
www.mysite.ru. 3600 IN CNAME mysite.ru.
; --- Почта (Google Workspace) ---
mysite.ru. 3600 IN MX 1 aspmx.l.google.com.
mysite.ru. 3600 IN MX 5 alt1.aspmx.l.google.com.
mysite.ru. 3600 IN MX 5 alt2.aspmx.l.google.com.
; --- Аутентификация почты ---
mysite.ru. 3600 IN TXT "v=spf1 include:_spf.google.com -all"
google._domainkey.mysite.ru. 3600 IN TXT "v=DKIM1; k=rsa; p=MIIBIjAN..."
_dmarc.mysite.ru. 3600 IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@mysite.ru"
; --- Сертификаты ---
mysite.ru. 3600 IN CAA 0 issue "letsencrypt.org"
mysite.ru. 3600 IN CAA 0 issuewild "letsencrypt.org"
mysite.ru. 3600 IN CAA 0 iodef "mailto:security@mysite.ru"
Инструменты диагностики и устранения неполадок
Командная строка
# Запросить A-запись
dig example.com A +short
# Запросить MX с подробностями
dig example.com MX +noall +answer
# Запросить TXT-запись (SPF)
dig example.com TXT +short
# Запросить CAA
dig example.com CAA +short
# Проверить распространение через конкретный сервер
dig @8.8.8.8 example.com A
# Полная трассировка разрешения
dig example.com +trace
# Обратный DNS
dig -x 203.0.113.10
# Проверить DNSSEC
dig example.com +dnssec +short
Онлайн-инструменты
| Инструмент | Назначение |
|---|---|
dig / nslookup | Прямые DNS-запросы |
| DNS Checker | Глобальное распространение |
| MXToolbox | Диагностика почты и DNS |
| Nameslink Domain Check | Проверка доступности домена |
| Google Admin Toolbox | DNS-запросы онлайн |
Перед настройкой любых DNS-записей убедитесь, что нужный домен свободен. Используйте проверку доменов Nameslink для мгновенной проверки доступности или перейдите на Nameslink Quick Buy для быстрой регистрации.
Лучшие практики TTL
| Сценарий | Рекомендуемый TTL | Обоснование |
|---|---|---|
| Штатная работа | 3600 с (1 час) | Баланс кэширования и обновлений |
| За 48 ч до миграции | 300 с (5 мин) | Быстрый откат |
| Во время миграции | 60–300 с | Ускоренное распространение |
| После стабилизации | 3600–86400 с | Снижение нагрузки на DNS |
| NS-записи | 86400 с (24 ч) | Редкие изменения |
| MX-записи | 3600 с | Доступность почты |
| Failover/балансировка | 60–300 с | Быстрое обнаружение сбоя |
Практический совет: При планировании миграции снижайте TTL минимум за 48 часов до изменений. Тогда при переключении записей распространение будет быстрым, а откат — возможным.
FAQ — Часто задаваемые вопросы
1. Можно ли использовать CNAME на apex-домене (корне)?
Нет. RFC 1034 запрещает сосуществование CNAME с другими записями на том же имени, а на apex всегда есть SOA и NS. Некоторые провайдеры предлагают проприетарные типы (ALIAS, ANAME), но они не входят в стандарт DNS.
2. Сколько MX-записей нужно настроить?
Минимум две с разными приоритетами для резервирования. Большинство почтовых провайдеров (Google, Microsoft) предоставляют от 2 до 5 серверов с различными приоритетами.
3. Что произойдёт, если SPF превысит 10 lookups?
Результатом будет permerror, и принимающие серверы могут считать, что SPF не настроен. Используйте механизмы ip4: и ip6: (не считаются как lookup) или сервисы SPF-flattening.
4. Нужна ли CAA-запись, если я уже использую HTTPS?
Да. CAA — это превентивный барьер, не позволяющий неавторизованным CA выпускать сертификаты для вашего домена. С новой политикой 47 дней от CA/B Forum автоматизация сертификатов делает CAA ещё более важной — она гарантирует, что только доверенные CA выпускают автоматические обновления.
5. Как проверить доступность домена перед настройкой DNS?
Используйте инструмент оценки доменов Nameslink для проверки не только доступности, но и оценочной стоимости домена. Для немедленной регистрации перейдите на Nameslink Quick Buy.
Ссылки и источники
- RFC 1035 — Domain Names: Implementation and Specification
- RFC 7208 — Sender Policy Framework (SPF)
- RFC 6376 — DomainKeys Identified Mail (DKIM) Signatures
- RFC 7489 — Domain-based Message Authentication, Reporting, and Conformance (DMARC)
- RFC 8659 — DNS Certification Authority Authorization (CAA) Resource Record
- CA/Browser Forum Ballot SC-081v3 — Reducing TLS Certificate Lifetimes (апрель 2025)
- Google — Email Sender Guidelines (2024)
- Yahoo — Sender Best Practices (2024)
- IANA — DNS Parameters Registry
- Cloudflare Learning Center — DNS Record Types