1. ספרייה
  2. DNS
  3. רשומות DNS

סוגי רשומות DNS: סקירה כללית

עודכן לפני חודש

כל רשומת DNS עונה על שאלה. לא רק "מה כתובת ה-IP?" אלא "לאן צריך ללכת הדואר?" ו"מי רשאי להנפיק תעודות לדומיין הזה?" ו"האם אני יכול לסמוך על התגובה הזו?"

סוג הרשומה הוא השאלה שנשאלת. נתוני הרשומה הם התשובה.

הדקדוק של DNS

רשומות משאבים פועלות לפי מבנה פשוט: שם, סוג, מחלקה, TTL ונתונים. אבל שדה הסוג הוא המקום שבו חיה המשמעות. הוא הופך נתונים גולמיים להוראות.

הנתון 192.0.2.1 אינו אומר דבר בפני עצמו. שימו אותו ברשומת A, והוא הופך להוראה: התחברו כאן. הסוג הוא הפועל.

רשומות כתובת: A ו-AAAA

רשומות A עונות על השאלה הבסיסית ביותר: "לאיזו כתובת IPv4 כדאי להתחבר?"

example.com.    A    192.0.2.1

כשהדפדפן שלכם צריך להגיע ל-example.com, הוא מבקש את רשומת ה-A ומקבל כתובת להתחבר אליה. זהו היסוד שעליו מתבסס כל השאר.

רשומות AAAA עונות על אותה שאלה עבור IPv6:

example.com.    AAAA    2001:db8:85a3::8a2e:370:7334

השם אינו מקרי — כתובות IPv6 ארוכות פי ארבעה מ-IPv4, ולכן ארבעה A-ים. אתרים מודרניים צריכים להכיל את שניהם. האינטרנט דו-לשוני עכשיו.

רשומות CNAME: ההפניה

CNAME לא מצביע על מקום — הוא מצביע על שאלה אחרת.

www.example.com.    CNAME    example.com.

"איפה www.example.com?" "לך לשאול את example.com."

הרזולבר עוקב אחרי השרשרת, מחפש את רשומת ה-A של example.com כדי למצוא את הכתובת האמיתית. העקיפה הזו עוצמתית עבור CDN ושירותי ענן — הם יכולים לשנות את כתובות ה-IP שלהם בלי שתצטרכו לגעת ב-DNS שלכם.

אבל ל-CNAME יש מגבלה: לא ניתן להשתמש בו בראש הדומיין (הדומיין החשוף). CNAME פירושו "השם הזה הוא אותו שם" — כינוי מלא. בראש הדומיין כבר קיימות רשומות NS ו-SOA שלא ניתן ליצור להן כינוי. CNAME שם יצור סתירה לוגית: השם לא יכול גם להיות משהו אחר וגם להחזיק ברשומות סמכותיות שלו עצמו.

רשומות MX: ניתוב דואר

רשומות MX עונות: "לאן יש לשלוח דואר לדומיין הזה?"

example.com.    MX    10 mail1.example.com.
example.com.    MX    20 mail2.example.com.

המספר הוא עדיפות — נמוך יותר פירושו "נסה קודם." אם mail1 מושבת, השולחים פונים ל-mail2. יתירות בנויה לתוך הפרוטוקול עצמו.

שימו לב שרשומות MX מצביעות על שמות מארח, לא על כתובות IP. שם המארח של שרת הדואר צריך רשומת A משלו. העקיפה הזו מאפשרת לכם להעביר שרתי דואר בלי לעדכן את ה-DNS של כולם.

רשומות TXT: שסתום הבריחה

רשומות TXT מכילות טקסט. הפשטות הזו הופכת אותן לגמישות ללא גבולות:

SPF מצהיר אילו שרתים רשאים לשלוח דואר בשמכם:

example.com.    TXT    "v=spf1 include:_spf.google.com ~all"

DKIM מספק מפתחות ציבוריים לאימות חתימת דואר אלקטרוני:

selector._domainkey.example.com.    TXT    "v=DKIM1; k=rsa; p=MIGf..."

אימות דומיין מוכיח שאתם שולטים בדומיין:

example.com.    TXT    "google-site-verification=abc123..."

רשומות TXT הפכו לשסתום הבריחה לכל מה שה-DNS לא עוצב לעשות. צריכים לאחסן נתונים שרירותיים עבור שירות כלשהו? רשומת TXT.

רשומות NS: האצלת סמכות

רשומות NS עונות: "מי מחזיק בסמכות על האזור הזה?"

example.com.    NS    ns1.provider.com.
example.com.    NS    ns2.provider.com.

אלה מצביעים על שרתי השמות שיכולים לענות על שאלות לגבי הדומיין שלכם. כל דומיין צריך לפחות שניים ליתירות.

רשומות NS גם מאפשרות האצלת תת-דומיין. רוצים ש-api.example.com ינוהל על ידי ספק DNS אחר? הוסיפו רשומות NS לאותו תת-דומיין המצביעות לשרתים שלהם. הסמכות עוברת בצורה נקייה.

רשומות PTR: חיפוש הפוך

רוב שאילתות ה-DNS שואלות: "מה הכתובת של שם זה?" רשומות PTR עונות על ההפך: "איזה שם שייך לכתובת הזו?"

זה חשוב לאמון. כשחיבור נכנס משרת דואר הטוען להיות mail.example.com, השרת המקבל יכול לאמת: "אתה אומר שאתה mail.example.com. האם כתובת ה-IP שלך תואמת?" אם רשומת ה-PTR לאותה כתובת מצביעה למקום אחר, זה חשוד.

רשומות PTR חיות באזורים הפוכים מיוחדים (כמו 1.2.0.192.in-addr.arpa) ומנוהלות על ידי מי שבבעלותו כתובת ה-IP — בדרך כלל ספק האירוח שלכם, לא אתם.

רשומות SOA: מטא-נתוני אזור

כל אזור DNS מכיל בדיוק רשומת SOA אחת (Start of Authority). זהו מטא-נתון ניהולי: שרת השמות הראשי, כתובת דואר אלקטרוני ליצירת קשר, מספר סידורי וערכי תזמון השולטים כיצד שרתים משניים מסתנכרנים.

לעתים נדירות תערכו רשומות SOA ישירות. אבל כששינויי DNS אינם מתפשטים, המספר הסידורי הוא לרוב האשם — הוא חייב להתגדל כדי שהשרתים המשניים ישימו לב לעדכונים.

רשומות מיוחדות

SRV: גילוי שירות

רשומות SRV עונות: "היכן נמצא השרת עבור שירות ספציפי זה?"

_sip._tcp.example.com.    SRV    10 5 5060 sipserver.example.com.

עבור SIP על TCP, התחברו ל-sipserver.example.com על יציאה 5060. המספרים מטפלים בעדיפות ואיזון עומסים. רשומות SRV מפרסמות לא רק היכן נמצאים שירותים, אלא כיצד להתחבר אליהם.

CAA: בקרת תעודות

רשומות CAA עונות: "אילו רשויות אישורים רשאיות להנפיק תעודות לדומיין הזה?"

example.com.    CAA    0 issue "letsencrypt.org"

לפני הנפקת תעודה, רשויות האישורים חייבות לבדוק רשומות CAA. אם הצהרתם שרק Let's Encrypt רשאית להנפיק עבור הדומיין שלכם, רשויות אחרות יסרבו. זה מונע הנפקת תעודות לא מורשית — וקטור תקיפה אמיתי שנוצל בעבר.

DNSKEY: אמון קריפטוגרפי

DNSSEC מוסיף חתימות לתגובות DNS, ורשומות DNSKEY מחזיקות את המפתחות הציבוריים לאימות. זה מונע ממתקיפים לזייף תגובות.

רוב בעלי הדומיינים אינם נוגעים ברשומות DNSKEY ישירות — ספק ה-DNS שלכם מטפל בקריפטוגרפיה. אבל לדעת שהן קיימות מסביר כיצד ניתן לאבטח DNS מפני זיוף.

בחירת רשומות

מטרהסוג רשומה
הצבעת דומיין לשרת אינטרנטA (IPv4), AAAA (IPv6)
יצירת כינויCNAME
ניתוב דואר אלקטרוניMX
אימות דואר אלקטרוניTXT (SPF, DKIM, DMARC)
הוכחת בעלות על דומייןTXT
האצלת תת-דומייןNS
אימות זהות שולחPTR (דרך ספק ה-IP שלכם)
פרסום מיקום שירותSRV
בקרת הנפקת תעודותCAA

שאלות נפוצות על סוגי רשומות DNS

מדוע אינני יכול לשים CNAME בדומיין השורש שלי?

CNAME פירושו "השם הזה הוא אותו שם" — כינוי מלא. אבל דומיין השורש שלכם כבר מחזיק ברשומות NS (המצביעות לשרתי השמות שלכם) ורשומת SOA (מטא-נתוני אזור). כללי DNS אוסרים על רשומות אחרות להתקיים יחד עם CNAME. דומיין השורש יצטרך לוותר על רשומות ה-NS שלו כדי להפוך ל-CNAME, מה שישבור את כל רזולוציית ה-DNS. חלק מהספקים מציעים פתרונות עוקפים כמו ALIAS או ANAME שמפתרים את ה-CNAME בזמן השאילתה ומחזירים את הכתובת המתקבלת ישירות.

מה ההבדל בין עדיפות MX 10 ועדיפות 20?

מספרים נמוכים יותר פירושם עדיפות גבוהה יותר. שרתי דואר מנסים קודם עדיפות 10. אם השרת הזה אינו נגיש, הם פונים לשרת בעדיפות 20. זוהי מערכת גיבוי, לא איזון עומסים. כדי לפצל תעבורה בין שרתים, תנו להם את אותו מספר עדיפות.

האם אני צריך גם רשומות A וגם AAAA?

רשומות A מאפשרות למשתמשי IPv4 להגיע אליכם. רשומות AAAA מאפשרות למשתמשי IPv6 להתחבר ישירות. רוב ספקי האירוח מספקים לכם עכשיו את שתי הכתובות. שימוש בשתיהן הוא פרקטיקה טובה — אימוץ ה-IPv6 ממשיך לגדול, וחלק מהרשתות הניידות ועסקיות הן IPv6 בלבד.

כמה זמן לוקח לשינויי DNS להתפשט?

זה תלוי ב-TTL (זמן לחיות). אם לרשומה שלכם יש TTL של 3600 שניות, הרזולברים יכולים לשמור אותה במטמון שעה. לאחר שינוי, אתם ממתינים שהעותקים השמורים יפקעו. מתכננים מראש? הורידו את ה-TTL לפני ביצוע שינויים, המתינו עד שיעבור ה-TTL הישן, ואז בצעו את השינוי. ההתפשטות תהיה מהירה הרבה יותר.

מדוע לרשומות TXT יש מרכאות סביבן?

נתוני רשומות TXT מאוחסנים כרצף של מחרוזות תווים. המרכאות מגדירות כל מחרוזת בפורמט קובץ האזור. רשומות ארוכות יותר מ-255 תווים (נפוץ עם מפתחות DKIM) מפוצלות למחרוזות מצוטטות רבות שהרזולברים משרשרים. רוב ממשקי ה-DNS מטפלים בכך אוטומטית — פשוט הדביקו את המחרוזת הארוכה שלכם והיא עובדת.

הקודם

רשומות SRV: גילוי שירותים

הבא

כיצד לבדוק את רשומות ה-DNS שלך

האם דף זה היה מועיל?

😔
🤨
😃
סוגי רשומות DNS: סקירה כללית • ספרייה • Connected