Perché verificare la salute DNS del tuo dominio?
Un dominio ben configurato risponde velocemente e in modo prevedibile. Quando la delega al parent è corretta, ogni server è raggiungibile su IPv4 e IPv6, il SOA è sincronizzato e le impostazioni sono pulite, i guasti scompaiono.
Problemi comuni rilevati dall'audit:
- Lame delegation → Un NS non risponde come autoritativo, causando SERVFAIL intermittenti
- Glue obsoleto → L'IP del NS è cambiato ma il parent punta ancora all'indirizzo vecchio
- Discrepanza parent/zona → I NS dichiarati differiscono, creando risoluzioni incoerenti
- TCP bloccato → Le risposte DNSSEC o voluminose vengono troncate
Come usare l'audit DNS in 3 passaggi
Passaggio 1: Inserire il dominio
Inserisci il nome del tuo dominio nel campo di ricerca (esempio: captaindns.com). L'audit si avvia automaticamente e interroga l'intera catena di risoluzione.
Passaggio 2: Analizzare i risultati
Il report mostra:
- ❌ Errori (rosso): Problemi bloccanti o degradazione della risoluzione
- ⚠️ Avvertimenti (arancione): Miglioramenti raccomandati
- ✅ Validato (verde): Configurazione corretta
Ogni elemento include una spiegazione e un'azione raccomandata.
Passaggio 3: Correggere i problemi
Segui le raccomandazioni:
- Delega → Correggi presso il registrar
- Glue → Aggiorna gli IP dei NS presso il registrar
- Zona → Correggi i record NS nel tuo server DNS
- TCP → Apri la porta 53 TCP nei tuoi firewall
Cosa analizza esattamente l'audit DNS?
Delega e coerenza parent/zona
L'audit inizia dal parent. Legge la lista NS pubblicata presso il registry e la confronta con i NS dichiarati nella tua zona. Una discrepanza = risoluzioni casuali.
| Verifica | Descrizione |
|---|---|
| NS al parent | Lista NS pubblicata presso il registrar |
| NS nella zona | Lista NS nel record NS della tua zona |
| Confronto | Allarme se le liste differiscono |
Glue record
I glue sono indirizzi IP pubblicati al parent. Sono necessari quando un NS è nel dominio che serve (ns1.captaindns.com per captaindns.com).
Problemi rilevati:
- Glue mancante → La risoluzione va in loop
- Glue obsoleto → L'IP è cambiato, il parent punta al vecchio
Accessibilità dei NS
Ogni server NS viene testato:
- IPv4: Risposta su UDP e TCP
- IPv6: Risposta se AAAA presente
- Autorità: Il server risponde come autoritativo?
- Ricorsione: Deve essere disabilitata su un autoritativo
SOA e sincronizzazione
Il SOA (Start of Authority) contiene il serial e le temporizzazioni. L'audit verifica:
- Serial: Identico su tutti i NS (altrimenti un server è indietro)
- Refresh: Frequenza con cui i secondari controllano il primario
- Retry: Ritardo prima di riprovare dopo un fallimento
- Expire: Durata prima che un secondario abbandoni la zona
DNSSEC (se abilitato)
Se il tuo dominio è firmato, l'audit verifica:
- DS al parent: Presente e corrispondente a DNSKEY
- DNSKEY: Chiavi pubbliche nella zona
- Firme: Valide e non scadute
Casi d'uso concreti
Caso 1: Migrazione provider DNS
Prima della migrazione:
- Lancia l'audit, annota lo stato attuale
- Riduci i TTL dei record critici
Durante la migrazione:
- Aggiungi i nuovi NS
- Aggiorna la delega presso il registrar
- Dichiara i glue se i tuoi NS sono nel tuo dominio
Dopo la migrazione:
- Rilancia l'audit
- Verifica che parent e zona siano allineati
- Conferma che tutti i NS rispondano come autoritativi
Caso 2: Risoluzioni intermittenti
Sintomo: Alcuni utenti vedono il sito, altri hanno errori SERVFAIL casuali.
Diagnosi con l'audit:
- Verifica la coerenza parent/zona
- Cerca una lame delegation
- Confronta i serial SOA tra i NS
Azione: Correggi la discrepanza identificata, risincronizza i NS.
Caso 3: Cambio IP di un NS
Sintomo: Dopo aver cambiato l'IP di un NS, parte del traffico va nel posto sbagliato.
Diagnosi con l'audit:
- Verifica il glue al parent
- L'IP vecchio potrebbe essere ancora pubblicato
Azione: Aggiorna il glue presso il registrar.
FAQ - Domande frequenti
D: Cosa verifica esattamente l'audit DNS?
R: L'audit controlla la coerenza tra parent (registry) e zona, verifica che ogni NS risponda come autoritativo, testa IPv4/IPv6, valida TCP, confronta i serial SOA e rileva lame delegation, glue obsoleti e problemi DNSSEC.
D: Cos'è una lame delegation?
R: Una lame delegation si verifica quando il parent punta a un server NS che non risponde come autoritativo per la tua zona. I resolver perdono tempo, a volte falliscono con SERVFAIL. Il termine viene da "lame" (zoppo) perché il server non può servire la zona che gli viene chiesta.
D: Cosa sono i glue record?
R: I glue record sono indirizzi IP pubblicati a livello del parent (registry). Sono necessari quando il tuo NS è all'interno del tuo stesso dominio (es: ns1.captaindns.com per captaindns.com). Senza di essi, la risoluzione va in loop perché per risolvere ns1.captaindns.com bisognerebbe prima interrogare... ns1.captaindns.com.
D: Perché verificare la coerenza parent/zona?
R: Se parent e zona dichiarano NS diversi, i resolver seguono percorsi diversi a seconda della cache. Alcuni utenti vedono una risposta, altri un'altra, o errori intermittenti. Allinea sempre entrambi.
D: IPv6 è obbligatorio?
R: No, ma fortemente raccomandato. Più reti preferiscono IPv6. Un NS senza AAAA può essere irraggiungibile per alcuni visitatori, bot di indicizzazione o servizi cloud.
Strumenti complementari
| Strumento | Utilità |
|---|---|
| DNS Lookup | Verificare un record specifico (A, MX, TXT, ecc.) |
| Test di propagazione | Seguire la diffusione di un cambio DNS |
| Ispettore SPF | Verificare l'autenticazione email |
| Tester email | Testare SPF/DKIM/DMARC in condizioni reali |
Risorse utili
- RFC 1034 - Domain Names Concepts (architettura DNS)
- RFC 1035 - Domain Names Implementation (specifica DNS)
- RFC 4033/4034/4035 - DNSSEC (sicurezza DNS)
- ICANN - WHOIS Lookup (informazioni registrar)