DNS-hallinta – Mitä se on?
Domain sanana on usein maallikolle täysin vieras, mutta erittäin käytetty varsinkin webbisivujen koodauksessa. Sana domain liitetään yleensä verkkotunnukseen ja siihen, että kotisivut aukeavat tietystä domainista. Tässä artikkelissa on tarkoitus tuoda paremmin esille se, mitä DNS-hallinta domainille on. Olemme keränneet tähän blogiin kaikki ne asiat, joita yleensä DNS-hallinnassa tulee vastaan.
Mitä siis DNS tarkoittaa?
DNS (Domain Name System) tarkoittaa ns. internetin nimipalvelujärjestelmää. Ihmisen on todella vaikea muistaa numeeriset osoitteet, joita internetissä eri laitteet käyttävät hyväkseen. Nimipalvelujärjestelmä muuttaa ihmisten ymmärtämän selkokielisen verkkotunnuksen numeeriseen muotoon ja mahdollistaa ohjautumisen halutun kohdepalvelimen IP-osoitteeseen.
DNS voi myös tarkoittaa verkkotunnusten nimipalvelimia (Domain Name Server), joiden avulla selkokielinen verkkotunnus saadaan ohjattua juuri oikealle IP-osoitteelle.
Mikä on DNSSEC?
DNSSEC (Domain Name System Security Extensions) on tarkoitettu luomaan turvaa DNS-palveluille. DNSSECin avulla voidaan taata, että loppukäyttäjä pääsee sille sivustolle, jolle sillä on aikomus mennä. DNSSEC varmistaa sen, että verkkotunnusta koskevat tiedot tulevat luotetuilta nimipalvelimilta, eikä niitä ole muokattu matkalla.
Mitä tarkoittaa DNS-hallinta ja DNS-tietueet?
DNS-hallinta on yksi tärkeimmistä osista hosting-palveluita. Sen avulla voidaan luoda sekä poistaa DNS-tietueita, joiden avulla verkkotunnuksen ohjauksia hallitaan. DNS-tietueet määrittävät kaikki tarvittavat tiedot, joiden perusteella verkkotunnus ohjautuu erilaisten palveluiden palvelimille. Eri palvelut näyttävät useasti erilaisilta DNS-hallinnasta, mutta niiden toimintaperiaatteet ovat yleensä hyvin samanlaiset. Esimerkiksi TNNetin DNS-hallinta tapahtuu osoitteesta Hostcontrol.
Yleisimmät DNS-tietueet
Alla on lueteltu yleisimmät DNS-tietueet, johon jokainen tulee törmäämään, kun käyttää DNS-hallintaa.
A-tietue (ADDRESS RECORD)
A ja AAAA tietueilla voidaan viitata joko IPV4 (A) tai IPV6(AAAA) osoitteeseen. Esimerkiksi tnnet.fi A-tietue osoittaa osoitteeseen 89.136.117.199.
A-tietue voidaan määritellä DNS-hallintaan näin: tnnet.fi A 89.136.117.199
AAAA-tietue voidaan määritellä DNS-hallintaan näin: tnnet.fi AAAA 2001:40e8:0:12:89:236:110:3
CNAME-tietue (CANONICAL NAME RECORD)
CNAME-tietueella voidaan osoittaa alidomainin liikenteen johonkin toiseen verkkotunnukseen tai sen alidomainiin. CNAME-tietuetta ei voida osoittaa IP-osoitteeseen. Esimerkki: arkisto.tnnet.fi CNAME arkisto2.tnnet.fi.
MX-tietue (MAIL EXCHANGER RECORD)
MX-tietue liittyy sähköpostiliikenteeseen. MX-tietueen tarkoitus on ohjata sähköpostiliikenne haluttuun palveluun. Suurin harhaluulo on, että sähköpostipalvelin pitää olla samalla toimijalla kuin missä verkkotunnus tai webhotelli sijaitsee. Tähän tietueeseen voidaan määritellä vaikkapa M365-sähköpostipalvelut. MX-tietueen esimerkkikirjaus:
- MX 10 mx1.tnnet.fi
- MX 20 mx2.tnnet.fi
Tässä esimerkissä sähköpostit ohjataan ensin mx1.tnnet.fi -palvelimelle, mutta jos jostain syystä palvelin ei ole saavutettavissa siirrytään painoarvoltaan seuraavaan tietueeseen sekä ohjataan liikenne mx2.tnnet.fi.
TXT-tietue
TXT-tietue on ns. vapaata tekstialuetta, jota käytetään pääsääntöisesti verkkotunnuksen verifiointiin eri palveluissa.
SFP-tietue
SFP-tietue on myös TXT-tietue, mutta sillä määritellään mitkä sähköpostipalvelimet saavat lähettää postia tästä verkkotunnuksesta.
Esim. @ TXT v=spf1 include:spf.tnnet.fi -all
Tämä esimerkki kertoo, että jos sähköposti ei tule TNNetin lähtevän postin palvelimilta, niin se tulee hylätä.
Useammilla toimijoilla on isompi määrä lähtevän postin palvelimia, jotka ovat IPV4- ja IPV6-omaavia. Ne yleensä niputetaan yhteen tietueeseen kuten tässä tapauksessa spf.tnnet.fi, joka kattaa:
v=spf1 ip4:217.112.240.26 ip4:217.112.240.106 ip4:217.112.240.127 ip4:217.112.254.233 ip4:217.112.240.126 ip4:217.112.254.234 ip4:217.112.248.176 ip4:89.236.117.141 ip4:217.112.240.130 ip4:89.236.117.156 ip4:217.112.254.235 ip4:89.236.117.164 ip4:89.236.117.177 ” ”ip6:2001:40e8:0:10:babe::1 ip6:2001:40e8:10:11:89:236:117:141 ip6:2001:40e8:10:11:89:236:117:153 ip6:2001:40e8:10:11:89:236:117:156 ip6:2001:40e8:10:11:89:236:117:164 ip6:2001:40e8:10:11:89:236:117:177 -all
Vastaanottavat palvelimet tämän jälkeen tarkistavat a) onko SPF-tietue kunnossa, b) tuleeko palvelimelta, joka on määriteltynä SPF:ään. Jos ei, maili menee suoraan SPAM-laatikkoon tai sitä ei välitetä lainkaan asiakkaan sähköpostilaatikkoon. Isommat toimijat kuten Google laittavat herkästi viestit suoraan SPAM-laatikkoon, jos tietue puuttuu kokonaan.
Onko jotain muita tietueita?
Muita DNS-tietueita on myös järkyttävä määrä: Muut DNS-tietueet
Yllä esitellyiden lisäksi myös SRV-tietuetta käytetään yleisesti. Sen avulla voidaan osoittaa tietty palvelu ja protokolla tietyn kohteen porttiin. Esimerkiksi: _sipfederationtls._tcp.tnnet.fi SRV 100 1 5061 sipfed.online.lync.com
TTL-arvon merkitys
DNS-hallinnasta löytyy tietueiden jälkeen toiminto nimeltä TTL-arvo (Time to Live). TTL-arvo ei ole tietue, vaan määritys nimipalvelimille siitä, kuinka kauan tiettyä tietoa tallennetaan. Kun tiedon voimassaoloaika loppuu, DNS-palvelin hakee tiedon uudestaan oikealta nimipalvelimelta. Tällä arvolla siis hallitaan sitä, kuinka nopeasti halutut muutokset tulevat voimaan.
TTL-arvoa mitataan sekunneissa. Esim. 3600 sekuntia on 1 tunti.
DNS-tietueiden muokkaus
DNS-tietueiden muokkaaminen tarkoittaa käytännössä vanhan tietueen poistamista ja uuden lisäämistä DNS-hallinnasta.
DNS-tietue koostuu kolmesta eri kohdasta:
- nimi (name)
- tyyppi (type)
- arvo (value)
Nimi määrittää tietueen nimen eli esimerkiksi osoitteen mitä DNS-kysely koskee. Tyyppi määrittää minkälaisesta tietueesta on kyse. Arvo määrittää sen, mitä tietue palauttaa kyselyn tekijälle.
Tärkeintä on tietää se että piste (.) päättää tietueen arvon. Monet DNS-hallintajärjestelmät tekevät tämän automaattisesti, jos piste jää merkkaamatta tietueeseen.
Yleisimmät DNS-virheet ja ongelmat
- Domainille laitetaan monta samaa tietuetta, jolloin DNS-palvelin ei tiedä mihin osoitteeseen esimerkiksi nettisivut ohjautuvat. Tässä on tärkeää muistaa, että muokkaa aina vanhan tietueen, eikä lähde tekemään uutta.
- SPF tietue puuttuu kokonaan tai lähetetään postia palvelimelta, jota ei ole määriteltynä SPF:ään. Tämä on jokseenkin yleistä, että SPF-tietue puuttuu domainilta. Tämän jälkeen postit siirtyvät suoraan SPAM-kansioon tai ne ei lähety lainkaan vastaanottajalle.
- Tietue muutoksen jälkeen on tärkeää odottaa TTL:n arvon verran. Tietuetta voi testailla ping-komennolla, ja on tärkeää muistaa flushata paikallisen työaseman DNS.
- Nimipalvelimen määrittäminen oikein verkkotunnuksen siirtovaiheessa. Yleensä verkkotunnuksen siirron yhteydessä nimipalvelimet määritellään domainille DNS-hallinnasta. Nimipalvelimen pitää muokata kuntoon vastaanottava palveluntarjoaja.
- Älä pidä turhia tietueita verkkotunnuksellasi. Hyvänä esimerkkinä on, että asiakas on ajatellut kokeilla M365-palvelua omassa sähköpostissaan, mutta jostain syystä ei ole halunnut jatkaa sen käyttöä ja on palannut takaisin sähköpostitarjoajan sähköpostipalveluihin. Tärkeää on siivota ylimääräiset M365-tietueet, ettei domainille jää virheellisiä tietueita, joista voi aiheuta ongelmia sähköpostitarjoajan sähköpostipalveluiden kanssa.