Bilet otwarty 
+373 79 600002 
Telegram Live Chat 
F.A.Q 
Polski
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Indonesia 
中文 (中国) 
DNSCo to jest DNS i hierarchia DNS? Kompletny przewodnik techniczny
DNS (Domain Name System) to hierarchiczny, rozproszony system nazewnictwa, który tłumaczy czytelne dla człowieka nazwy domen — takie jak `www.example.com` — na czytelne dla maszyn adresy IP, jak `192.0.2.1`. Bez DNS każdy użytkownik internetu musiałby zapamiętywać numeryczne adresy każdej strony internetowej, punktu końcowego API lub serwera pocztowego, z którym wchodzi w interakcję. DNS to protokół, który sprawia, że współczesny internet jest nawigowany na dużą skalę.
W swojej istocie DNS funkcjonuje jako globalnie rozproszona baza danych. Zapytania są rozwiązywane przez ustrukturyzowany łańcuch delegacji — od serwerów głównych na szczycie, przez serwery domen najwyższego poziomu (TLD), aż do autorytatywnych serwerów nazw przechowujących rzeczywiste rekordy dla danej domeny. Ta architektura sprawia, że DNS jest jednocześnie szybki, odporny i rozszerzalny.
Dlaczego DNS to coś więcej niż tylko „książka telefoniczna”
Analogia do „książki telefonicznej” jest użytecznym punktem wyjścia, ale drastycznie nie docenia tego, co DNS faktycznie robi w środowiskach produkcyjnych. DNS stanowi podstawę dla:
- Rozwiązywania nazw — konwertowania FQDN (w pełni kwalifikowanych nazw domen) na adresy IPv4 i IPv6
- Routingu poczty elektronicznej — rekordy MX kierują ruch SMTP do właściwej infrastruktury pocztowej
- Wykrywania usług — rekordy SRV umożliwiają aplikacjom dynamiczne lokalizowanie usług (szeroko stosowane w SIP, XMPP i Kubernetes)
- Inżynierii ruchu — rekordy Geo-DNS i ważonego routingu umożliwiają globalne równoważenie obciążenia i przełączanie awaryjne oparte na opóźnieniach
- Egzekwowania bezpieczeństwa — rekordy TXT zawierają polityki SPF, DKIM i DMARC; DNSSEC dodaje kryptograficzną walidację
- Orkiestracji CDN — spłaszczanie CNAME i routing Anycast umożliwiają CDN transparentne serwowanie z najbliższego węzła brzegowego
Dla każdego zarządzającego środowiskiem VPS Hosting lub Serwerem Dedykowanym, zrozumienie DNS na tym poziomie nie jest opcjonalne — błędnie skonfigurowany DNS jest jedną z najczęstszych przyczyn awarii aplikacji, problemów z dostarczalnością poczty i błędów podczas wydawania certyfikatów SSL.
Proces rozwiązywania DNS: krok po kroku
Gdy użytkownik wpisuje `www.example.com` w przeglądarce, następuje poniższa sekwencja. Zrozumienie każdego kroku jest kluczowe dla diagnozowania błędów rozwiązywania i optymalizacji strategii TTL.
Krok 1: Sprawdzenie lokalnej pamięci podręcznej
System operacyjny najpierw sprawdza lokalną pamięć podręczną DNS (wypełnioną z poprzednich wyszukiwań). W systemie Linux może to obejmować `systemd-resolved` lub `nscd`. W systemie Windows usługa DNS Client utrzymuje tę pamięć podręczną. Jeśli istnieje prawidłowy rekord w pamięci podręcznej w ramach jego TTL, rozwiązywanie kończy się tutaj.
Krok 2: Od resolwera pośredniczącego do resolwera rekurencyjnego
Jeśli nie ma trafienia w lokalnej pamięci podręcznej, resolwer pośredniczący systemu operacyjnego przekazuje zapytanie do rekurencyjnego resolwera DNS — zazwyczaj resolwera dostawcy usług internetowych lub skonfigurowanego publicznego resolwera, takiego jak:
- Google Public DNS: `8.8.8.8` / `8.8.4.4`
- Cloudflare: `1.1.1.1` / `1.0.0.1`
- Quad9: `9.9.9.9`
Resolwer rekurencyjny wykonuje ciężką pracę polegającą na przechodzeniu przez hierarchię DNS w imieniu klienta.
Krok 3: Zapytanie do serwera głównego
Jeśli resolwer rekurencyjny nie ma zapisanej odpowiedzi w pamięci podręcznej, wysyła zapytanie do jednego z 13 klastrów serwerów głównych (adresowanych jako `a.root-servers.net` do `m.root-servers.net`). Nie są to 13 pojedynczych maszyn — to 13 grup adresów Anycast obsługiwanych przez organizacje takie jak ICANN, Verisign, NASA i RIPE NCC, z ponad 1500 fizycznymi instancjami rozmieszczonymi globalnie.
Serwer główny nie zwraca adresu IP. Zwraca odesłanie — adres autorytatywnego serwera TLD dla zapytanego sufiksu (np. `.com`).
Krok 4: Zapytanie do serwera TLD
Resolwer rekurencyjny wysyła zapytanie do odpowiedniego serwera nazw TLD. Dla `.com` jest on obsługiwany przez Verisign. Serwer TLD zwraca kolejne odesłanie — autorytatywne serwery nazw dla konkretnej domeny drugiego poziomu (np. `ns1.example.com`).
Krok 5: Zapytanie do autorytatywnego serwera nazw
Resolwer rekurencyjny wysyła zapytanie do autorytatywnego serwera nazw, który przechowuje plik strefy dla `example.com`. Ten serwer zwraca rzeczywisty rekord DNS — na przykład rekord A mapujący `www.example.com` na `93.184.216.34`.
Krok 6: Buforowanie odpowiedzi i dostarczenie
Resolwer rekurencyjny buforuje odpowiedź zgodnie z wartością TTL (Time to Live) rekordu, a następnie zwraca adres IP do resolwera pośredniczącego klienta, który przekazuje go do przeglądarki. Przeglądarka następnie otwiera połączenie TCP (lub QUIC dla HTTP/3) z tym adresem IP.
Kluczowa kwestia: Wartości TTL są ustawiane przez właściciela domeny na autorytatywnym serwerze. TTL wynoszący 300 sekund oznacza, że rekord może być buforowany przez 5 minut przed ponownym zapytaniem. Podczas migracji lub reagowania na incydenty, obniżanie TTL z wyprzedzeniem (do 60–300 sekund) jest standardową praktyką operacyjną minimalizującą opóźnienia propagacji.
Hierarchia DNS: architektura i komponenty
Przestrzeń nazw DNS jest zorganizowana jako odwrócone drzewo. Każdy węzeł w drzewie jest etykietą, a kompletna ścieżka od liścia do korzenia tworzy nazwę domeny. Końcowa kropka w `www.example.com.` reprezentuje korzeń.
Poziom 1: Strefa główna
Strefa główna jest wierzchołkiem hierarchii DNS, reprezentowanym przez pustą etykietę (`.`). Zawiera rekordy NS wskazujące na serwery TLD dla każdej istniejącej domeny najwyższego poziomu. Plik strefy głównej jest utrzymywany przez IANA (Internet Assigned Numbers Authority) i obecnie zawiera delegacje dla ponad 1500 TLD.
Serwery główne działają w modelu kotwicy zaufania — łańcuchy walidacji DNSSEC ostatecznie kończą się na Kluczu Podpisującym Klucze (KSK) strefy głównej, który jest zarządzany przez wysoce audytowany proces ceremonii.
Poziom 2: Domeny najwyższego poziomu (TLD)
Serwery TLD są autorytatywne dla wszystkich domen zarejestrowanych pod ich sufiksem. Istnieje kilka kategorii:
| Typ TLD | Przykłady | Typ operatora |
|---|
| — | — | — |
|---|
| Ogólna TLD (gTLD) | `.com`, `.net`, `.org`, `.edu` | Rejestry akredytowane przez ICANN |
|---|
| Sponsorowana TLD (sTLD) | `.gov`, `.mil`, `.edu` | Ograniczone, sponsorowane organizacje |
|---|
| Krajowa TLD (ccTLD) | `.uk`, `.de`, `.jp`, `.io` | Krajowe rejestry |
|---|
| Nowa gTLD | `.app`, `.tech`, `.cloud`, `.shop` | Prywatni operatorzy rejestrów |
|---|
| Infrastruktura | `.arpa` | IANA (używana do odwrotnego DNS) |
|---|
Poziom 3: Domeny drugiego poziomu (SLD) i subdomeny
Domena drugiego poziomu to etykieta bezpośrednio po lewej stronie TLD — `example` w `example.com`. Jest to jednostka, którą rejestranci domen kupują i zarządzają. Gdy rejestrujesz domenę za pośrednictwem usługi takiej jak Rejestracja Domen, nabywasz prawo do kontrolowania delegacji DNS dla tej SLD.
Subdomeny to etykiety poprzedzające SLD (`www`, `mail`, `api`, `blog`). Są one konfigurowane wyłącznie w pliku strefy autorytatywnego serwera nazw — nie jest wymagana żadna dodatkowa rejestracja. Głębokość subdomeny jest teoretycznie nieograniczona, choć istnieją praktyczne limity (całkowita długość FQDN nie może przekraczać 253 znaków; każda etykieta nie może przekraczać 63 znaków).
Poziom 4: Autorytatywne serwery nazw i pliki stref
Autorytatywne serwery nazw są źródłem prawdy dla rekordów DNS domeny. Odpowiadają na zapytania z ustawionym flagiem AA (Authoritative Answer). Plik strefy to baza danych w postaci zwykłego tekstu zawierająca wszystkie rekordy zasobów dla domeny.
Kluczowe typy rekordów DNS, które każdy administrator musi znać:
| Typ rekordu | Przeznaczenie | Przykład |
|---|
| — | — | — |
|---|
| A | Mapuje nazwę hosta na adres IPv4 | `www 300 IN A 93.184.216.34` |
|---|
| AAAA | Mapuje nazwę hosta na adres IPv6 | `www 300 IN AAAA 2606:2800:220:1:248:1893:25c8:1946` |
|---|
| CNAME | Alias wskazujący na inną nazwę hosta | `blog CNAME www.example.com.` |
|---|
| MX | Serwer pocztowy z priorytetem | `@ 3600 IN MX 10 mail.example.com.` |
|---|
| NS | Deleguje strefę do serwera nazw | `@ IN NS ns1.example.com.` |
|---|
| TXT | Dowolny tekst; używany dla SPF, DKIM, DMARC | `@ IN TXT "v=spf1 include:_spf.google.com ~all"` |
|---|
| SOA | Start of Authority; metadane strefy | Numer seryjny, odświeżanie, ponowna próba, wygaśnięcie, minimalne TTL |
|---|
| SRV | Lokalizacja usługi z portem i wagą | `_sip._tcp IN SRV 10 20 5060 sip.example.com.` |
|---|
| PTR | Odwrotny DNS (IP do nazwy hosta) | Używany w strefach `in-addr.arpa` |
|---|
| CAA | Ogranicza, które urzędy certyfikacji mogą wystawiać certyfikaty SSL | `@ IN CAA 0 issue "letsencrypt.org"` |
|---|
Rekordy CAA zasługują na szczególną uwagę: są często pomijaną kontrolą bezpieczeństwa, która uniemożliwia nieautoryzowanym urzędom certyfikacji wystawianie Certyfikatów SSL dla Twojej domeny. Jeśli Twój rekord CAA nie zawiera listy używanego urzędu certyfikacji, wystawienie certyfikatu zakończy się niepowodzeniem.
Resolwery rekurencyjne a serwery autorytatywne: kluczowe rozróżnienie
Te dwa komponenty są architektonicznie odrębne i często mylone przez początkujących.
| Atrybut | Resolwer rekurencyjny | Autorytatywny serwer nazw |
|---|
| — | — | — |
|---|
| Rola | Wysyła zapytania w imieniu klientów | Odpowiada na zapytania dotyczące własnych stref |
|---|
| Źródło danych | Pamięć podręczna + zapytania do wyższych serwerów | Plik strefy (lokalna baza danych) |
|---|
| Flaga AA w odpowiedzi | Nieustawiona | Ustawiona |
|---|
| Przykłady | Resolwery ISP, 8.8.8.8, 1.1.1.1 | BIND, PowerDNS, NSD, Route 53 |
|---|
| Buforuje odpowiedzi | Tak (respektuje TTL) | Nie (serwuje dane autorytatywne) |
|---|
| Wdrażany przez | ISP, przedsiębiorstwa, publicznych dostawców | Właścicieli domen, dostawców hostingu |
|---|
Jeden serwer może technicznie pełnić obie role, ale jest to zdecydowanie odradzane w środowiskach produkcyjnych ze względu na implikacje bezpieczeństwa i wydajności (otwarte resolwery są wektorem ataków DDoS z amplifikacją DNS).
DNSSEC: kryptograficzna integralność łańcucha DNS
Standardowy DNS nie ma wbudowanego uwierzytelniania — odpowiedzi mogą być sfałszowane poprzez ataki zatruwania pamięci podręcznej (atak Kaminsky’ego jest najbardziej znany). DNSSEC (DNS Security Extensions) rozwiązuje ten problem, dodając podpisy cyfrowe do rekordów DNS.
Łańcuch zaufania DNSSEC działa następująco:
- Każda strefa podpisuje swoje rekordy za pomocą Klucza Podpisującego Strefę (ZSK)
- Klucz publiczny ZSK jest publikowany jako rekord DNSKEY
- Strefa nadrzędna podpisuje skrót DNSKEY strefy podrzędnej, tworząc rekord DS (Delegation Signer)
- Ten łańcuch rozciąga się od strefy głównej (ostatecznej kotwicy zaufania) aż do poszczególnych rekordów
Walidacja DNSSEC odbywa się na poziomie resolwera rekurencyjnego. Walidatory sprawdzają podpisy względem opublikowanych kluczy; jeśli walidacja nie powiedzie się, resolwer zwraca `SERVFAIL` zamiast potencjalnie zatrutej odpowiedzi.
Zastrzeżenie operacyjne: DNSSEC znacznie zwiększa złożoność zarządzania strefą. Rotacje kluczy, wygaśnięcie podpisów i synchronizacja rekordów DS ze strefą nadrzędną są częstymi źródłami awarii. Zawsze testuj konfigurację DNSSEC za pomocą narzędzi takich jak `dnsviz.net` przed włączeniem jej w środowisku produkcyjnym.
DNS w środowiskach hostingowych: praktyczne uwagi
Propagacja a TTL
„Propagacja DNS” to powszechnie nadużywany termin. To, co faktycznie się dzieje, to wygasanie TTL w pamięciach podręcznych. Gdy zmieniasz rekord A, resolwery, które zapisały starą wartość w pamięci podręcznej, będą nadal ją serwować do momentu wygaśnięcia TTL. W standardowym DNS nie ma aktywnego mechanizmu „push”.
Aby zminimalizować przestoje podczas migracji:
- Obniż TTL dotkniętych rekordów do 300 sekund co najmniej 24–48 godzin przed zmianą (pozwalając istniejącym pamięciom podręcznym wygasnąć)
- Dokonaj zmiany DNS
- Po potwierdzeniu stabilności nowej konfiguracji przywróć TTL do wartości produkcyjnej (3600–86400 sekund)
Split-Horizon DNS
W środowiskach z publicznymi i prywatnymi segmentami sieci — powszechnymi na VPS Hosting lub Serwerach Dedykowanych — split-horizon DNS (zwany również split-brain DNS) serwuje różne odpowiedzi w zależności od źródła zapytania. Klienci wewnętrzni rozwiązują `db.example.com` na prywatny adres RFC 1918; klienci zewnętrzni otrzymują publiczny adres IP lub adres load balancera. Jest to implementowane w BIND za pomocą dyrektyw `view` lub w PowerDNS poprzez skrypty Lua.
Odwrotny DNS (rekordy PTR)
Odwrotny DNS mapuje adresy IP z powrotem na nazwy hostów przy użyciu stref `in-addr.arpa` (IPv4) lub `ip6.arpa` (IPv6). Rekordy PTR są kluczowe dla:
- Dostarczalności poczty elektronicznej — wiele odbierających serwerów pocztowych odrzuca lub mocno penalizuje pocztę z adresów IP bez pasujących rekordów PTR
- Logowania bezpieczeństwa — wzbogacanie logów zapory sieciowej i logów dostępu o nazwy hostów
- Zgodności — niektóre ramy regulacyjne wymagają odwrotnego DNS dla ścieżek audytu
Jeśli korzystasz z konfiguracji Hostingu Poczty E-mail lub samodzielnie zarządzanego serwera pocztowego, upewnij się, że Twój dostawca hostingu skonfigurował rekord PTR dla adresu IP Twojego serwera.
DNS i wydawanie certyfikatów SSL
Wyzwania ACME DNS-01 (używane przez Let’s Encrypt i inne urzędy certyfikacji) wymagają zapisania określonego rekordu TXT w strefie Twojej domeny w celu udowodnienia kontroli nad domeną. Ta metoda jest wymagana do wystawiania certyfikatów wildcard. Zautomatyzowane zarządzanie certyfikatami (za pomocą `certbot` lub `acme.sh`) wymaga dostępu API do Twojego dostawcy DNS w celu programowego tworzenia i usuwania tych rekordów TXT.
Typowe tryby awarii DNS i diagnostyka
Zrozumienie trybów awarii odróżnia biegłego administratora od kogoś, kto po prostu podąża za samouczkami.
NXDOMAIN — Zapytana nazwa nie istnieje w strefie. Częste przyczyny: literówka w nazwie rekordu, strefa nie załadowana lub delegacja wskazująca na niewłaściwe serwery nazw.
SERVFAIL — Serwer nie był w stanie ukończyć zapytania. Częste przyczyny: błąd walidacji DNSSEC, nieosiągalne serwery autorytatywne lub uszkodzony plik strefy (błąd składni w rekordach SOA lub NS).
Przestarzała pamięć podręczna — Resolwer serwuje wygasły lub nieaktualny rekord. Użyj `dig +nocache` lub bezpośrednio zapytaj serwer autorytatywny, aby ominąć pamięci podręczne resolwerów.
Wadliwa delegacja — Rekordy NS strefy nadrzędnej wskazują na serwery nazw, które faktycznie nie są autorytatywne dla strefy (nie mają załadowanej strefy). Jest to cichy tryb awarii powodujący sporadyczne błędy rozwiązywania.
Niezbędne polecenia diagnostyczne:
“`bash
Query a specific resolver for an A record
dig @8.8.8.8 www.example.com A
Trace the full resolution path from root
dig +trace www.example.com
Check authoritative answer directly
dig @ns1.example.com www.example.com A +norec
Verify reverse DNS
dig -x 93.184.216.34
Check DNSSEC chain
dig www.example.com A +dnssec
Inspect SOA record (useful for checking serial after zone update)
dig example.com SOA
“`
Optymalizacja wydajności DNS
- Wdrożenie Anycast — Serwery autorytatywne wdrożone przez Anycast odpowiadają z geograficznie najbliższego węzła, zmniejszając opóźnienia zapytań
- Dostrajanie TTL — Wyższe TTL (3600–86400s) zmniejszają obciążenie resolwerów i poprawiają współczynnik trafień w pamięci podręcznej dla stabilnych rekordów; niższe TTL (60–300s) umożliwiają szybsze przełączanie awaryjne dla dynamicznej infrastruktury
- Negatywne buforowanie — Odpowiedzi NXDOMAIN są buforowane przez czas określony w polu minimalnego TTL SOA; nadmiernie długie negatywne TTL opóźniają odzyskiwanie po błędnej konfiguracji
- EDNS Client Subnet (ECS) — Umożliwia resolwerom rekurencyjnym przekazywanie części adresu IP klienta do serwerów autorytatywnych, umożliwiając dokładniejsze decyzje dotyczące geo-routingu (kosztem pewnej prywatności)
- DNS over HTTPS (DoH) / DNS over TLS (DoT) — Szyfruje zapytania DNS podczas transmisji, zapobiegając przechwytywaniu i manipulacji na poziomie ISP; coraz ważniejsze dla wdrożeń wrażliwych na prywatność
Macierz decyzyjna: wybór właściwej konfiguracji DNS
| Scenariusz | Zalecane podejście |
|---|
| — | — |
|---|
| Prosta strona internetowa, jeden serwer | Rekord A wskazujący na adres IP serwera; niska złożoność |
|---|
| Aplikacja webowa w wielu regionach | Geo-DNS lub ważony CNAME przez zarządzanego dostawcę DNS |
|---|
| Samodzielnie hostowany serwer pocztowy | Rekordy A + MX + PTR + TXT SPF/DKIM/DMARC obowiązkowe |
|---|
| Certyfikat SSL wildcard | Wyzwanie ACME DNS-01; wymaga dostępu do API DNS |
|---|
| Usługi wewnętrzne (sieć prywatna) | Split-horizon DNS z wewnętrzną strefą |
|---|
| Domena o wysokim poziomie bezpieczeństwa | DNSSEC + rekordy CAA + polityka DMARC |
|---|
| Wymóg szybkiego przełączania awaryjnego | TTL <= 300s dla krytycznych rekordów; routing oparty na kontroli stanu |
|---|
| Zapobieganie przejęciu subdomeny | Regularnie audytuj wiszące rekordy CNAME |
|---|
Techniczne kluczowe wnioski
- Rozwiązywanie DNS to wieloetapowy łańcuch delegacji: resolwer pośredniczący > resolwer rekurencyjny > korzeń > TLD > serwer autorytatywny
- 13 klastrów serwerów głównych (nie pojedynczych maszyn) używa Anycast do obsługi ponad 1500 fizycznych instancji globalnie
- TTL kontroluje czas trwania pamięci podręcznej — „propagacja” to po prostu oczekiwanie na wygaśnięcie pamięci podręcznych, nie aktywny push
- Serwery autorytatywne przechowują pliki stref; resolwery rekurencyjne buforują i przekazują — nigdy nie mylić tych dwóch ról
- DNSSEC dodaje kryptograficzną walidację, ale wprowadza złożoność operacyjną; rotacje kluczy i synchronizacja DS są częstymi punktami awarii
- Rekordy PTR są niezbędne przy wdrożeniach serwerów pocztowych i logowaniu bezpieczeństwa
- Rekordy CAA ograniczają, które urzędy certyfikacji mogą wystawiać certyfikaty SSL dla Twojej domeny
- Wadliwe delegacje i przestarzałe negatywne pamięci podręczne należą do najbardziej podstępnych trybów awarii DNS
- Zawsze używaj `dig +trace` do diagnozowania problemów z rozwiązywaniem od korzenia w dół, zamiast polegać na wynikach na poziomie resolwera
Często zadawane pytania
Jaka jest różnica między resolwerem rekurencyjnym a autorytatywnym serwerem DNS?
Resolwer rekurencyjny wysyła zapytania do hierarchii DNS w imieniu klienta i buforuje odpowiedzi. Autorytatywny serwer DNS przechowuje rzeczywisty plik strefy dla domeny i zwraca definitywne odpowiedzi z ustawioną flagą AA. Są to architektonicznie odrębne role, choć technicznie jeden demon może pełnić obie.
Dlaczego propagacja DNS trwa tak długo po zmianie rekordu?
DNS nie „propaguje” się w aktywnym sensie. Resolwery buforują rekordy przez czas trwania TTL ustawionego na rekordzie. Jeśli Twój rekord A ma TTL wynoszący 86400 sekund (24 godziny), resolwery, które zapisały starą wartość w pamięci podręcznej, będą nadal ją serwować przez maksymalnie 24 godziny. Aby to zminimalizować, obniż TTL do 300 sekund co najmniej 24 godziny przed dokonaniem zmiany.
Co powoduje odpowiedź SERVFAIL i jak ją naprawić?
SERVFAIL najczęściej wynika z błędu walidacji DNSSEC, nieosiągalnych autorytatywnych serwerów nazw lub uszkodzonego/zniekształconego pliku strefy. Użyj `dig +dnssec` do sprawdzenia problemów z DNSSEC, zweryfikuj, czy Twoje serwery autorytatywne są osiągalne i odpowiadają, oraz sprawdź składnię pliku strefy za pomocą `named-checkzone`.
Czy potrzebuję DNSSEC dla swojej domeny?
DNSSEC jest zdecydowanie zalecany dla domen obsługujących wrażliwe transakcje, infrastrukturę pocztową lub usługi finansowe. Zapobiega atakom zatruwania pamięci podręcznej. Jednak dodaje obciążenie operacyjne — rotacje kluczy i zarządzanie rekordami DS wymagają starannej automatyzacji. Dla większości domen produkcyjnych korzyść bezpieczeństwa przewyższa złożoność.
Jakie rekordy DNS są wymagane dla funkcjonalnego serwera pocztowego?
Minimum: rekord MX wskazujący na nazwę hosta Twojego serwera pocztowego, rekord A rozwiązujący tę nazwę hosta, rekord PTR dla adresu IP serwera (konfigurowany przez Twojego dostawcę hostingu) oraz rekordy TXT dla SPF, DKIM i DMARC. Brak któregokolwiek z nich spowoduje problemy z dostarczalnością lub całkowite odrzucenie przez odbierające serwery pocztowe.