Tipi di Record DNS

A

Record A (Address)

Fondamentale

Il record A è il tipo più comune di record DNS. Mappa un nome di dominio a un indirizzo IPv4 (32 bit).

Utilizzo

Indirizzare il traffico web verso un server specifico. Ogni dominio deve avere almeno un record A.

Esempio

esempio.com. 3600 IN A 93.184.216.34

TTL tipico3600 (1 ora)

Formato valoreIndirizzo IPv4

RFCRFC 1035

AAAA

Record AAAA (Quad-A)

Fondamentale IPv6

Mappa un nome di dominio a un indirizzo IPv6 (128 bit). L'evoluzione del record A per il nuovo protocollo Internet.

Utilizzo

Consentire la connettività IPv6 al tuo dominio, sempre più importante con l'esaurimento degli IPv4.

Esempio

esempio.com. 3600 IN AAAA 2606:2800:220:1:248:1893:25c8:1946

TTL tipico3600

Formato valoreIndirizzo IPv6

RFCRFC 3596

CNAME

Record CNAME (Canonical Name)

Fondamentale

Crea un alias di un dominio verso un altro. Il dominio alias punta allo stesso indirizzo del dominio di destinazione.

Utilizzo

Creare sottodomini (www, blog, shop) che puntano allo stesso server, o usare CDN e servizi third-party.

Esempio

www.esempio.com. 3600 IN CNAME esempio.com.

TTL tipico3600

Formato valoreNome dominio

RFCRFC 1035

MX

Record MX (Mail Exchange)

Fondamentale Email

Specifica i server di posta elettronica autorizzati a ricevere email per un dominio. Include una priorità per il failover.

Utilizzo

Instradare le email del tuo dominio ai server di posta corretti. Più record con priorità diverse per ridondanza.

Esempio

esempio.com. 3600 IN MX 10 mail.esempio.com. esempio.com. 3600 IN MX 20 backup-mail.esempio.com.

TTL tipico3600

Formato valorePriorità + dominio

RFCRFC 1035

TXT

Record TXT (Text)

Sicurezza Email

Contiene testo leggibile. Usato per SPF, DKIM, DMARC e verifica del dominio di servizi third-party.

Utilizzo

Protezione anti-spam (SPF/DKIM/DMARC), verifica proprietà dominio per Google/Microsoft, note amministrative.

Esempio

esempio.com. 3600 IN TXT "v=spf1 include:_spf.google.com ~all" _dmarc.esempio.com. 3600 IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@esempio.com"

TTL tipico3600

Formato valoreTesto libero (max 255 char per stringa)

RFCRFC 1035

NS

Record NS (Name Server)

Fondamentale

Indica i server DNS autorevoli per un dominio. Delega la gestione DNS a server specifici.

Utilizzo

Specificare quali server gestiscono i DNS del tuo dominio. Solitamente fornito dal registrar o dal provider DNS.

Esempio

esempio.com. 3600 IN NS ns1.esempio.com. esempio.com. 3600 IN NS ns2.esempio.com.

TTL tipico86400 (24 ore)

Formato valoreNome dominio nameserver

RFCRFC 1035

SOA

Record SOA (Start of Authority)

Fondamentale Automatico

Contiene informazioni amministrative sulla zona DNS: server primario, email dell'amministratore, seriali e timer di refresh.

Utilizzo

Gestire la sincronizzazione della zona DNS tra server primari e secondari. Creato automaticamente dal provider DNS.

Esempio

esempio.com. 3600 IN SOA ns1.esempio.com. admin.esempio.com. 2024010101 7200 3600 1209600 3600

TTL tipico3600

Formato valoreMINFO + 5 timer

RFCRFC 1035

SRV

Record SRV (Service)

Servizi

Specifica l'host e la porta per servizi specifici. Usato per VoIP (SIP), messaggistica (XMPP), Active Directory, ecc.

Utilizzo

Scoprire servizi sulla rete: server SIP per VoIP, server XMPP per chat, Domain Controller Active Directory.

Esempio

_sip._tcp.esempio.com. 3600 IN SRV 10 60 5060 sip.esempio.com.

TTL tipico3600

Formato valorePriorità Peso Porta Target

RFCRFC 2782

PTR

Record PTR (Pointer)

Reverse DNS

L'opposto del record A: mappa un indirizzo IP a un nome di dominio (Reverse DNS). Fondamentale per la deliverability email.

Utilizzo

Verifica inversa IP→dominio. Molti server email rifiutano messaggi senza PTR valido. Usato anche per logging e sicurezza.

Esempio

34.216.184.93.in-addr.arpa. 3600 IN PTR esempio.com.

TTL tipico3600

Formato valoreNome dominio

RFCRFC 1035

CAA

Record CAA (Certificate Authority Authorization)

Sicurezza SSL/TLS

Specifica quali Autorità di Certificazione (CA) possono emettere certificati SSL/TLS per il tuo dominio. Previene emissione non autorizzata.

Utilizzo

Limitare quali CA possono emettere certificati per il tuo dominio. Se una CA tenta di emettere senza autorizzazione CAA, viene bloccata.

Esempio

esempio.com. 3600 IN CAA 0 issue "letsencrypt.org" esempio.com. 3600 IN CAA 0 issuewild "comodoca.com"

TTL tipico3600

Formato valoreFlags Tag Value

RFCRFC 8659

HINFO

Record HINFO (Host Information)

Informativo Raro

Descrive il tipo di hardware e sistema operativo di un host. Raramente usato oggi per motivi di sicurezza.

Utilizzo

Documentare l'hardware e OS dei server. Sconsigliato in produzione perché espone informazioni al pubblico.

Esempio

server.esempio.com. 3600 IN HINFO "Intel Xeon" "Linux"

TTL tipico3600

Formato valoreCPU + OS

RFCRFC 1035

LOC

Record LOC (Location)

Informativo Raro

Specifica la posizione geografica di un host con latitudine, longitudine e altitudine. Poco utilizzato nella pratica.

Utilizzo

Indicare la posizione geografica di server o infrastrutture. Più informativo che funzionale.

Esempio

esempio.com. 3600 IN LOC 45 27 52.000 N 9 11 26.000 E 120m

TTL tipico3600

Formato valoreLat Lon Alt Precisione

RFCRFC 1876

SPF

Record SPF (Sender Policy Framework)

Sicurezza Email

Definisce quali server e indirizzi IP sono autorizzati a inviare email per conto del tuo dominio. È un record TXT con sintassi specifica che previene lo spoofing delle email.

Utilizzo

Autorizzare i tuoi server di posta (Google, Microsoft, server dedicati) e bloccare gli spammer che inviano email falsificando il tuo dominio. Senza SPF le tue email finiscono spesso in spam.

Esempio

esempio.com. 3600 IN TXT "v=spf1 include:_spf.google.com include:spf.protection.outlook.com -all" # Meccanismi comuni: # include:_spf.google.com → Autorizza Google Workspace # ip4:1.2.3.0/24 → Autorizza range IPv4 # a:mail.esempio.com → Autorizza IP del dominio indicato # ~all (softfail) → Rifiuta ma non blocca (testing) # -all (hardfail) → Blocca definitivamente (produzione)

TTL tipico3600

Formato valoreTXT con sintassi SPF (max 10 lookup)

RFCRFC 7208

DKIM

Record DKIM (DomainKeys Identified Mail)

Sicurezza Email

Aggiunge una firma digitale crittografica alle email in uscita. I server di posta verificano la firma usando la chiave pubblica nel record DKIM, garantendo che il messaggio non sia stato alterato.

Utilizzo

Firmare digitalmente le email per provarne l'autenticità. La chiave privata firma, la pubblica verifica. Fondamentale per deliverability e anti-spoofing. Si pubblica su un selettore (es. google._domainkey).

Esempio

google._domainkey.esempio.com. 3600 IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..." # Struttura: # [selettore]._domainkey.[dominio] → Nome del record # v=DKIM1 → Versione # k=rsa → Algoritmo (rsa o ed25519) # p=[chiave pubblica base64] → Chiave pubblica

TTL tipico3600

Formato valoreTXT con chiave pubblica RSA/Ed25519

RFCRFC 6376

DMARC

Record DMARC (Domain-based Message Authentication)

Sicurezza Email Consigliato

Definisce come i server riceventi devono gestire le email che falliscono SPF e/o DKIM. Aggiunge reporting per monitorare chi invia email dal tuo dominio. È il tassello finale della sicurezza email.

Utilizzo

Ricevere report su tutte le email inviate dal tuo dominio e definire politiche di rifiuto/quarantena per email non autenticate. Protegge da phishing e spoofing. Si pubblica su _dmarc.[dominio].

Esempio

_dmarc.esempio.com. 3600 IN TXT "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; rua=mailto:dmarc-report@esempio.com; ruf=mailto:forensic@esempio.com; pct=100" # Politiche (dal meno restrittivo): # p=none → Nessun azione (monitoring) # p=quarantine → Invia in spam/quarantena # p=reject → Rifiuta completamente # Allineamento: # adkim=s / adkim=r → Strict/Relaxed DKIM alignment # aspf=s / aspf=r → Strict/Relaxed SPF alignment # Reporting: # rua=mailto: → Report aggregati giornalieri (RUF) # ruf=mailto: → Report forensi per email fallite # pct=100 → % email a cui applicare la politica

TTL tipico3600

Formato valoreTXT con politica + reporting

RFCRFC 7489