Корректный DNS на Inferno Solutions для сайта и почты: практический гайд
Правильно настроенная зона DNS ускоряет релизы, повышает доступность по IPv4 и IPv6, а почта стабильно доходит в ящики без попадания в спам-фильтры. Ниже собран рабочий минимум по A и AAAA, MX, SPF, DKIM, DMARC, а также CAA для безопасного выпуска сертификатов.
Если оформляете VPS на 1, 3 или 6 месяцев, введите промокод ONLINE и получите 25% скидки на любой VPS у Inferno Solutions.
Зачем приводить DNS в порядок
Корректные записи исключают задержки распространения, снижают время до первого байта, а смена IP при миграции проходит предсказуемо. Политики SPF, DKIM и DMARC защищают домен от подмены отправителя и формируют положительную репутацию у почтовых провайдеров. CAA контролирует, кто имеет право выпускать сертифиакт для вашего домена, что устраняет лишние риски.
Базовый каркас зоны
Голова зоны должна закрывать 90% сценариев: доступность сайта, маршрутизацию почты, валидации сервисов и выпуск SSL. Сразу после публикации проверьте, что значения соответствуют актуальным IP, а старые кэши не мешают обновлению. Особенно внимательно действуйте после миграции или смены хостинга в апрель.
Базовые записи для сайта и почты
Этот набор делает домен доступным по двум стекам и обеспечивает правильную доставку писем. Включайте его для корня и ключевых поддоменов, а служебные имена держите на алиасах.
| Запись | Назначение | Пример значения | Примечание |
|---|---|---|---|
| A | IPv4 сайта | 203.0.113.10 | Основной адрес веб-узла |
| AAAA | IPv6 сайта | 2001:db8::10 | Доп. доступность и лучшие маршруты у мобильных |
| MX | Почтовый обмен | 10 mx1.example.net | Требует SPF, DKIM, DMARC в TXT |
| TXT | Политики и подтверждения | v=spf1 a mx -all | Валидации сервисов и почтовая репутация |
Вывод по каркасу: сайт открывается по IPv4 и IPv6, почтовые шлюзы знают, куда отдавать письма, а TXT закрывает SPF и служебные проверки. Для www и статики используйте CNAME на основное имя, а на корень не ставьте CNAME, если провайдер не поддерживает ALIAS.
TTL и управление релизами 2026
TTL определяет, как долго резолверы держат запись в кэше. Перед переключениями его полезно временно снижаать, чтобы ускорить раскатку и упростить откат. Когда система стабилизировалась, верните штатные значения, чтобы не плодить лишние запросы к DNS и не ловить дрожание кешей у провйадерoв.
Рекомендуемые TTL для разных этапов
Снижайте TTL заранее за 24–48 часов, а после релиза возвращайте базу. Это уменьшает MTTR и делает переключение прозрачным.
| Тип записи | TTL до релиза | TTL на релиз | TTL после |
|---|---|---|---|
| A, AAAA | 1800 | 300–600 | 3600–14400 |
| CNAME | 1800 | 300–600 | 3600–14400 |
| MX, TXT | 3600 | 600–1800 | 14400 |
| CAA | 3600 | 1800 | 14400 |
Правильный TTL помогает аккуратно перевести трафик на новый узел и быстро откатиться, если метрики подняли 5xx. Планируйте окно низкой нагрузки, заранее прогрейте кеши и проверьте rDNS на почтовом хосте в апрель.
SPF, DKIM и DMARC: устойчивость почтовой доставки
Эти политики говорят принимающей стороне, кто имеет право отправлять письма от вашего домена и как их проверять. Начинайте с мягких настроек, собирайте отчеты DMARC, затем постепенно ужесточайте.
Рабочие настройки почтовых политик
Держите список источников отправки коротким и контролируемым. Лишние include увеличивают длину SPF и вероятность ошибок.
| Механизм | Что делать | Пример | Риск при ошибке |
|---|---|---|---|
| SPF | Перечислить реальные источники | v=spf1 ip4:203.0.113.10 include:mail.example -all | Спуфинг или срыв доставки |
| DKIM | Опубликовать ключ, подписывать все исходящие | selector._domainkey TXT с p= | Письма без подписи в спаме |
| DMARC | Сначала p=none, затем quarantine/reject | v=DMARC1; p=quarantine; rua=mailto:dmarc@ | Потеря контроля над доменом отправителя |
После внедрения SPF и DKIM проверьте, что все сервисы подписывают исходящие письма. Переход на p=reject делайте только когда уверены, что легитимные рассылщики учтены.
CAA и безопасный выпуск SSL
CAA ограничивает список центров сертификации, которым разрешено выпускать сертификаты для домена. Это помогает избежать неожиданных выпусков и ускоряет автоматизацию.
Набор CAA для контроля выпуска
Выберите один или два центра сертификации и разрешите им выпуск. По необходимости добавьте e-mail для отчетов.
| Параметр | Значение | Для чего | Комментарий |
|---|---|---|---|
| issue | letsencrypt.org | Разрешить выпуск | Для http-01 и dns-01 в автоматизации |
| issuewild | letsencrypt.org | Wildcard-сертификаты | Работает с dns-01 |
| iodef | mailto:ssl@domain.tld | Уведомления о попытках | Упростит аудит инцидентов |
Проверьте доступность http-01 на веб-сервере или настройте dns-01, если нужен wildcard. Вкллючите мониторинг сроков действия, чтобы не пропустить продление.
Мини-процедура релиза и чек-лист
Четкая последовательность шагов экономит часы на поиске призрачных багов. Действуйте по чек-листу и фиксируйте отличия между окружениями.
- Снизьте TTL для A, AAAA, CNAME за 24–48 часов.
- Разверните обновление, прогрейте кеши, проверьте здоровье узлов.
- Переключите записи в окно низкой нагрузки и отслеживайте метрики.
- Проверьте сайт, почту, валидацию SSL и rDNS.
- Верните TTL на базу и включите пострелизный мониторинг.
Такой порядок сокращает MTTR, делает поведение сайта предсказуемым для пользователей и поисковых роботов, а откаты занимают минуты. Храните зону как код, запускайте «сухой прогон» и ведите историю правок.
Частые ошибки и профилактика
Несогласованные A и AAAA между продом и стендом создают локальные сюрпризы. Завышенный TTL при переносе тянет за собой долгие переключения. Отсутствующий PTR на почтовом IP ухудшает доставку даже при корректном SPF и DKIM. Неверный CAA блокирует выпуск и ломает автообновления. Держите шаблоны зон, проверяйте синтаксис и не ставьте CNAME на корень, если нет поддержки ALIAS.
Перед тем как идти к FAQ: при заказе VPS на 1, 3 или 6 месяцев действует промокод ONLINE — он дает минус 25% на любой VPS в Inferno Solutions. Само оформление займет минуты, а выгода ощутимая.
FAQ по DNS на Inferno Solutions
Какие записи обязательны на старте для сайта и почты
Для сайта нужны A и AAAA, для почты MX и TXT с SPF, DKIM, DMARC. Дополнительно CAA для контроля выпуска сертификатов. Этого достаточно для базовой доступности и хорошей репутации.
Какой TTL ставить по умолчанию и на релизах
В повседневной работе держите 3600–14400. На релизах снижайте до 300–600, после стабилизации возвращайте базу. Это ускоряет переключение и не перегружает DNS.
Нужен ли IPv6, если «и так все открывается»
Да. У многих мобильных операторов маршруты по IPv6 короче, задержки ниже, а доступность выше. Поддержка двух стеков повышает устойчивость сети.
Почему письма улетают в спам даже при корректном MX
MX только указывает маршрут. Важнее SPF, DKIM, DMARC, правильный rDNS и умеренные объемы отправки. Склейте все эти факторы, и доставляемость станет прогнозируемой.
Что дает CAA и можно ли без него
CAA ограничивает удостоверяющие центры и повышает прозрачность выпуска. Формально можно без него, но с CAA меньше рисков и меньше отказов при автоматизации.
Как выпускать wildcard-сертификат без сбоев
Обычно через dns-01 у выбранного центра. Проверьте, что TXT публикуются быстро и TTL не мешает валидации. На Inferno Solutions это делается через удобные инструменты управления зоной.
Можно ли хранить конфигурацию DNS как код
Да, и это рекомендуемая практика. Шаблоны зон рядом с инфраструктурой, ревью изменений, «сухие прогоны» перед релизом — так вы избегаете опечаток и расхождений.
Как спланировать переключение при миграции
Снизьте TTL, подготовьте резервное окно, прогрейте кеши, проверьте формы, корзину и авторизацию. На VPS от Inferno Solutions переключения проходят ровно за счет предсказуемых сетевых настроек.
Зачем нужен rDNS и кому он критичен
PTR важен для почтовых серверов и антиспам-проверок. Несоответствие rDNS и IP часто роняет доставку писем, даже если SPF и DKIM без ошибок. Исправьте rDNS на почтовом хосте и пересмотрите DMARC.
Что дальше
Соберите каркас зоны, настройте почтовые политики и CAA, релизы проводите с пониженным TTL и понятным чек-листом. Для проектов, где важна скорость раскатки и прогнозируемая доступность, имеет смысл поднять инфраструктуру на VPS Inferno Solutions. И не забудьте про ONLINE — промокод дает 25% скидки на любой VPS при оплате на 1, 3 или 6 месяцев.