完整的委派与 DNS 诊断报告
DNS 与记录
DNS 查询 查询任意域名的全部 DNS 记录 A 记录查询 域名的 IPv4 地址 AAAA 记录查询 域名的 IPv6 地址 MX 查询 域名的邮件服务器 NS 查询 权威名称服务器 TXT 查询 TXT 记录、SPF、验证 CNAME 查询 规范名称(别名)记录 SOA 查询 起始授权机构记录 SRV 查询 服务位置记录 CAA 查询 哪些 CA 可以签发证书 反向 DNS(PTR) IP 地址到主机名 DNSSEC 检测 该域名是否已签名并通过验证? DNS 健康检测 完整的委派与 DNS 诊断报告电子邮件送达率
SPF 检测 验证您的发件人策略框架记录 DMARC 检测 检查并评估您的 DMARC 策略 DKIM 检测 查找并验证您的 DKIM 公钥 黑名单检测 对照电子邮件黑名单(DNSBL)检测 IP SMTP 测试 连接邮件服务器并检测 STARTTLS MTA-STS 检测 入站邮件的强制 TLS 策略 BIMI 检测 电子邮件的品牌徽标记录 TLS-RPT 检测 SMTP TLS 报告策略网络与网站
SSL 证书检测 检查网站的 TLS 证书和到期情况 HTTP 标头检测 检查响应标头、重定向和安全性 Ping(TCP) 通过 TCP 检测可达性和延迟 端口检测 哪些常用端口处于开放状态域名
WHOIS 查询 域名、IP 和 ASN 的注册数据DNS 健康检测会从头到尾检查一个域名是如何委派和配置的,而不仅仅是某一种记录类型。它先向父级(TLD)服务器询问它们为你的域名发布了什么,再直接询问你自己的域名服务器,然后将两者进行比对。父级与你的服务器之间的不一致——缺失的 glue、互相矛盾的 NS 列表、不同步的 SOA 序列号、lame 服务器或开放递归的域名服务器——正是那些导致 DNS 缓慢、时好时坏或悄无声息地失效的问题。IPeek 会运行每一项检查,并用通俗的语言告诉你每一项为什么重要以及如何修复。
对你域名的每一次查询都从父级区域开始——也就是 TLD 注册局(例如 .es 或 .com)——它保存着将解析器指向你域名服务器的 NS 记录。如果这些域名服务器位于你自己的域名之内,父级还必须以 "glue" 的形式发布它们的 IP 地址,否则解析器就会陷入先有鸡还是先有蛋的循环。一个健康的委派是父级与你自己的服务器在同一组 NS 上保持一致,并在需要的地方提供 glue。当两者不一致时,部分解析器会沿用过时的信息,于是你的更改对一些用户生效,对另一些用户却不生效。
RFC 2182 建议在不同网络上部署多台域名服务器,这样单点故障就永远不会让你的域名下线。每一台都必须对你的区域作出权威应答——做不到这一点的 "lame"(无授权)服务器是一个隐蔽的可靠性漏洞。你的权威服务器还应当拒绝为陌生人提供递归:一台开放递归的域名服务器可能被滥用于缓存投毒和 DDoS 放大攻击。IPeek 会直接查询你的每一台域名服务器,确认它们能够响应、作出权威应答、彼此一致、支持 TCP 并保持递归关闭。
SOA 记录承载着你区域的序列号和定时数值;每一台域名服务器都必须报告相同的序列号,否则你的区域就处于不同步状态,更改也会不均匀地传播。序列号应遵循 YYYYMMDDnn 约定,refresh/retry/expire/minimum 定时器应落在 RFC 推荐的范围之内。在邮件这一侧,MX 记录必须是能解析到公网地址的主机名(绝不能是裸 IP 或 CNAME)。最后,根域名(你的裸域名)应当发布一条地址记录而不是 CNAME,因为 RFC 1912 禁止 CNAME 与其他记录并存。
普通的 DNS 查询向你展示的是通过递归解析器看到的记录。健康检测则更进一步:它直接查询父级 TLD 服务器以及你自己的每一台域名服务器,然后将它们进行比对。这让它能够捕获普通查询所掩盖的委派问题——缺失的 glue、父子之间的 NS 不一致、lame 或互相矛盾的域名服务器,以及不同步的 SOA 序列号。
Glue 是某台域名服务器的 IP 地址,由父级区域与 NS 记录一并发布。当你的域名服务器位于它们所服务的同一域名之内时(例如 ns1.example.com 服务 example.com),glue 是必需的,否则解析器在解析任何东西之前都得先解析这台域名服务器。这种情况下缺失 glue 会导致解析中断;如果你的域名服务器位于另一个域名上,glue 则是可选的,只能省去一次额外查询。
权威域名服务器应当只为它们托管的区域作答。一台为任何人提供递归的域名服务器(即"开放解析器")可能被滥用于 DNS 放大式 DDoS 攻击,也更容易遭受缓存投毒。如果健康检测标记出开放递归,请在权威服务器上禁用递归,或把权威角色与递归角色分离到不同的主机上。
SOA 序列号是你区域的版本号。当你的域名服务器报告不同的序列号时,至少有一台在提供过时的数据——通常是某台未能从主服务器传输到最新区域的从服务器。结果就是解析器恰好命中哪台服务器,答案就随之不一致。请检查区域传输(AXFR/IXFR)、主服务器的 NOTIFY 设置以及 SOA 的 refresh 定时器。
两者都不算错误,但都是单点故障。只有一条 MX 时,如果那台服务器宕机足够久,邮件就可能丢失;一条备用 MX 能增加韧性。两台域名服务器按 RFC 2182 是可以接受的,但在不同网络上部署三台或更多会更安全。健康检测会把这些标记为警告而非失败——它们值得改进,但并非紧急情况。