Co to jest DNS i dlaczego ustawienia domeny mogą zepsuć stronę albo pocztę firmową?

Życie w Internecie nie jest proste. Ogarnięcie stron, domen, hostingów, a czasami kilku różnych usług naraz, potrafi być kłopotliwe. Przekonał się o tym jeden z moich klientów, który zgłosił się po pomoc, bo po kilku wiadomościach z firmy hostingowej po prostu zapomniał opłacić usługę.

Po chwili przestała działać strona - klasyka gatunku. 

Nie byłoby w tym nic nadzwyczajnego, gdyby nie fakt, że po przywróceniu strony nie wróciło działanie poczty. Sama kopia zapasowa strony WordPress pomaga przywrócić pliki i bazę danych, ale nie zawsze obejmuje konfigurację DNS, poczty i rekordów domeny.

Problem polegał na tym, że strona działała na jednym serwerze, poczta na innym, a cała konfiguracja DNS była ustawiona po stronie hostingu, na którym znajdowała się strona. W praktyce oznaczało to, że stronę udało się przywrócić, ale ustawień DNS już nie. A razem z nimi zniknęły między innymi te wszystkie „egzotyczne” rekordy, które decydują o tym, czy poczta dochodzi do celu, czy serwery odbiorców traktują ją jak coś podejrzanego.

Czy można było uniknąć tej sytuacji?

I nie mówię tylko o opłaceniu hostingu na czas, bo to jest oczywiste tylko na papierze. W praktyce takie rzeczy się zdarzają. Firma ma kilka usług, kilka faktur, kilka paneli, ktoś przeoczył maila, ktoś uzna, że „to pewnie nie jest ważne” i nagle pojawia się rzeczowa sytuacja mały techniczny pożar. Bardzo ludzki, irytujący a jednocześnie bardzo możliwy.

Można jednak skonfigurować domenę w taki sposób, żeby przy podobnym błędzie nie tracić od razu dostępu do poczty i nie odtwarzać później ręcznie wszystkich ustawień DNS. Bo domena to nie tylko adres strony. To również zestaw instrukcji, które mówią, gdzie działa strona, gdzie ma trafiać poczta i które serwery mogą wysyłać wiadomości w imieniu Twojej firmy.

W tym artykule pokażę, czym są ustawienia DNS, za co odpowiadają najważniejsze rekordy domeny i dlaczego przed zmianą hostingu warto sprawdzić coś więcej niż tylko to, czy strona się otwiera.

Co to jest DNS?

Pracując, przeglądając strony albo po prostu korzystając z Internetu, na pewno obiło Ci się o uszy coś takiego jak adres IP. To numer, który może wskazywać na serwer, na którym znajduje się strona internetowa.

Tylko że podawanie adresu strony firmowej w formacie kilku liczb połączonych kropkami, na przykład 145.22.112.234, byłoby delikatnie mówiąc mało wygodne. Zwłaszcza jeśli ktoś miałby to zapamiętać, przepisać do przeglądarki i jeszcze nie pomylić ani jednej cyferki. 

I tutaj pojawia się DNS wjeżdżając cały na biało.

DNS to system, który pozwala przetłumaczyć nazwę domeny, na przykład twojastrona.pl, na adres serwera, na którym znajduje się strona. Dzięki temu użytkownik wpisuje nazwę domeny, a nie ciąg cyfr..

DNS dotyczy jednak nie tylko samej strony internetowej. Ma również znaczenie dla poczty. To ustawienia DNS mogą wskazywać, gdzie ma trafiać poczta wysyłana na adresy w Twojej domenie, na przykład: kontakt@twojastrona.pl.

I teraz ważna rzecz: adres IP może się zmienić. Możesz zmienić hosting, przenieść stronę na inny serwer albo korzystać z osobnej usługi pocztowej. Bez DNS trzeba byłoby za każdym razem zapamiętywać nowe techniczne adresy. Z DNS wystarczy, że odpowiednio ustawisz rekordy domeny, a użytkownik dalej korzysta z tego samego adresu.

Wygoda? Tym razem istnieje. Pod warunkiem, że ktoś tych ustawień nie zgubi, nie nadpisze albo nie zostawi na hostingu, który właśnie wygasł.

Domena a hosting - czym się różnią?

Najprościej porównać to do domu i adresu.

Hosting to dom, czyli miejsce, w którym fizycznie znajdują się pliki strony, baza danych i cała zawartość witryny. Domena to adres, pod którym ten dom można znaleźć.

Wpisując domenę, na przykład twojastrona.pl, wskazujesz adres, pod którym ma wyświetlić się strona. I o ile w świecie rzeczywistym dom zwykle nie zmienia adresu z dnia na dzień, tak w internecie hosting możesz zmienić, kiedy chcesz. Strona może zostać przeniesiona na inny serwer, ale domena nadal może pozostać taka sama.

Cała sztuka polega na tym, żeby po takiej przeprowadzce odpowiednio ustawić DNS-y. Bo jeśli domena dalej pokazuje stary adres albo gubi część instrukcji, to użytkownik może nie trafić tam, gdzie powinien. A razem z nim poczta, formularze i cała reszta internetowej logistyki.

Rekordy DNS - najważniejsze ustawienia domeny

Wcześniej wspomniałem, że domena, strona i hosting nie muszą być trzymane w jednym miejscu. Możesz mieć stronę na jednym serwerze, pocztę na drugim, a dodatkowe usługi jeszcze gdzie indziej.

Przykład?

Możesz chcieć mieć serwer plików dostępny pod adresem pliki.mojadomena.pl, ale bez mieszania go z główną stroną firmową. Możesz też trzymać pocztę u innej firmy, bo ma lepszą ofertę, większą pojemność, lepsze zabezpieczenia albo po prostu panel, który nie wygląda jak z PRLu.

To wszystko jest możliwe dzięki odpowiedniej konfiguracji rekordów DNS.

Rekordy DNS działają jak instrukcje dla domeny. Mówią, gdzie znajduje się strona, gdzie ma trafiać poczta, które serwery mogą wysyłać wiadomości w imieniu domeny i jakie dodatkowe usługi są z nią powiązane.

Brzmi skomplikowanie, ale w praktyce najczęściej chodzi o kilka podstawowych rekordów.

Rekord MX - dlaczego poczta firmowa zależy od DNS

Rekord MX, a właściwie rekordy MX, bo często jest ich kilka, informują, gdzie ma trafiać poczta wysyłana na adresy w Twojej domenie.

Tj. jeśli ktoś wysyła wiadomość na adres kontakt@twojadomena.pl, serwery pocztowe sprawdzają rekordy MX i na ich podstawie wiedzą, do jakiego serwera dostarczyć wiadomość e mail.

Często strona i poczta znajdują się na jednym hostingu, u tej samej firmy. Wtedy zmiana serwerów DNS może przenieść całą konfigurację naraz: stronę, pocztę i pozostałe ustawienia domeny (zmieniamy wtedy nazwy serwerów np na ns1.nazwadostawcy.pl lub dns1.nazwadostawcy.pl).

To popularne rozwiązanie, bo jest wygodne - na początku. Mniej klikania, mniej pytań, pozornie mniej problemów.

Problem zaczyna się wtedy, gdy ten hosting wygasa, zostaje usunięty albo ktoś podczas migracji zmienia serwery DNS bez sprawdzenia, jakie rekordy były ustawione wcześniej. W takiej sytuacji można przywrócić samą stronę, ale stracić konfigurację poczty.

I dokładnie do tego nawiązuje przykład z początku artykułu. Po utracie hostingu nie zniknęła tylko strona. Zniknęły też ustawienia, które mówiły domenie, gdzie ma dostarczać pocztę i jak ma potwierdzać wiarygodność wysyłanych wiadomości. Efekt? Poczta przestała działać poprawnie, mimo że strona wróciła do życia.

SPF, DKIM i DMARC - dlaczego maile mogą być odrzucane?

Ach, internet. Miliony wiadomości spamowych, podszywanie się pod cudze adresy e-mail i te piękne czasy, kiedy człowiek dostawał wiadomość… od samego siebie, mimo że wcale jej nie wysyłał.

Problem polegał na tym, że przez długi czas sama poczta e-mail nie miała wystarczająco dobrych mechanizmów potwierdzania, czy wiadomość faktycznie została wysłana przez osobę lub firmę, za którą się podaje. Serwer odbiorcy widział maila z domeny twojadomena.pl, ale musiał jeszcze jakoś ocenić, czy ta wiadomość naprawdę pochodzi z uprawnionego źródła, czy ktoś tylko przykleił sobie cudzy adres w polu nadawcy. Bo jak wiadomo, internet bez podszywania się pod innych byłby najwyraźniej zbyt spokojnym miejscem.

Dlatego z czasem pojawiła się potrzeba zwiększenia wiarygodności wysyłanych wiadomości. Skoro podstawowy mechanizm poczty nie wystarczał, trzeba było dodać kolejne warstwy weryfikacji.

I tak właśnie w grze pojawiają się SPF, DKIM oraz DMARC.

To dodatkowe ustawienia domeny, które pomagają serwerom pocztowym sprawdzić, czy wiadomość faktycznie może być wysłana z danej domeny i co zrobić, jeśli taka weryfikacja się nie powiedzie.

Mówiąc prościej: te rekordy pomagają powiedzieć serwerom pocztowym: tak, ta wiadomość naprawdę może pochodzić ode mnie albo nie, coś tu śmierdzi, proszę tego nie traktować jak normalnej wiadomości firmowej.

Co oznaczają SPF, DKIM i DMARC?

SPF określa, które serwery mogą wysyłać pocztę w imieniu Twojej domeny. Jeśli korzystasz z poczty firmowej, systemu CRM, newslettera albo formularza na stronie, to właśnie SPF pomaga wskazać, że te źródła mają prawo wysyłać wiadomości jako Twoja firma.

DKIM dodaje do wiadomości cyfrowy podpis. Dzięki temu serwer odbiorcy może sprawdzić, czy mail faktycznie pochodzi z uprawnionego źródła i czy po drodze nie został zmieniony. W dużym uproszczeniu: DKIM działa jak pieczątka na kopercie. Tylko mniej romantyczna i bardziej irytująca w konfiguracji.

DMARC mówi serwerom pocztowym, co mają zrobić, jeśli wiadomość nie przejdzie weryfikacji SPF albo DKIM. Może też pozwalać na raportowanie takich problemów. Czyli SPF i DKIM pomagają sprawdzić, czy wiadomość jest wiarygodna, a DMARC mówi, jak traktować wiadomości, które tej wiarygodności nie potwierdzają.

I tutaj wracamy do problemu z początku artykułu. Jeśli po zmianie hostingu albo utracie konfiguracji DNS znikną rekordy SPF, DKIM lub DMARC, poczta może nadal „technicznie” wysyłać wiadomości. Tyle że serwery odbiorców mogą już nie wierzyć, że te wiadomości faktycznie pochodzą od Twojej firmy.

Efekt?

Maile mogą trafiać do spamu, być oznaczane jako podejrzane albo zostać całkowicie odrzucone. Czyli firma pisze do klienta, klient nic nie dostaje, a wszyscy przez chwilę udają, że „pewnie coś z Gmailem”.

Zmiana hostingu a DNS - co może pójść nie tak?

Zmiana hostingu, jego wygaśnięcie albo przeniesienie strony do innej firmy często wiąże się ze zmianami w ustawieniach DNS. A te ustawienia czasem trzeba później odtwarzać na nowo.

W tym momencie możesz pomyśleć: „przecież tych rekordów nie ma aż tak dużo, co może pójść źle?”.

No więc może. I to całkiem sporo.

Nawet jeśli rekordów DNS faktycznie nie jest dużo, dochodzą jeszcze inne kwestie, na przykład propagacja DNS, o której za chwilę. Do tego trzeba sprawdzić, czy wszystkie wpisy zostały przeniesione poprawnie, czy niczego nie pominięto i czy nowa konfiguracja obsługuje nie tylko stronę, ale też pocztę, formularze, subdomeny oraz zewnętrzne integracje.

Najczęściej problem pojawia się w kilku sytuacjach.

Zmieniono serwery DNS i nadpisano całą konfigurację

Ktoś zmienia NS-y na nowe, bo „tak powiedział hosting”, a potem okazuje się, że w nowej strefie DNS nie ma rekordów poczty, subdomen, SPF, DKIM, DMARC ani integracji.

Strona może nawet ruszyć, ale reszta firmy zaczyna się rozjeżdżać. Poczta nie dochodzi, formularze milczą, a właściciel firmy słyszy magiczne: „u mnie działa”. Czyli klasyka gatunku, tylko bez fanfar.

Przeniesiono stronę, ale zapomniano o poczcie

To bardzo częste. Pliki strony są przeniesione, baza danych działa, domena kieruje na nowy serwer, więc wszyscy odhaczają sukces.

Dopiero później okazuje się, że formularze nie dochodzą, skrzynki nie odbierają wiadomości albo wysyłane maile odbijają się od serwerów klientów.

Problem polega na tym, że sama działająca strona nie oznacza jeszcze poprawnie działającej domeny. Strona to tylko część układanki. Poczta, rekordy bezpieczeństwa i dodatkowe usługi też muszą wiedzieć, gdzie mają działać.

Wygasł hosting, na którym była konfiguracja DNS

Tę historię już znasz, bo wałkujemy ją od początku artykułu, więc nie będę udawał, że nagle pojawił się nowy dramatyczny zwrot akcji.

Najważniejszy wniosek jest prosty: przed zmianą hostingu warto zrobić kopię ustawień DNS.

Nie tylko kopię zapasową strony, nie tylko backup bazy danych, ale również kopię konfiguracji domeny.

Bo jeśli stracisz DNS-y, możesz odzyskać stronę, ale nadal mieć problem z pocztą, formularzami, subdomenami i wszystkimi tymi ustawieniami, które zwykle są „niewidoczne”, dopóki nie znikną. 

Przywrócenie strony WordPress po awarii lub infekcji to jedno, ale jeśli problem dotyczy DNS-ów, trzeba sprawdzić również domenę, pocztę i rekordy techniczne. 

Dodam jeszcze, że powyższe sytuacje nie muszą być związane wyłącznie ze zmianą hostingu. Podobne problemy mogą pojawić się również wtedy, gdy zmieniasz dostawcę domeny, przenosisz DNS-y do innej usługi albo porządkujesz konfigurację po poprzedniej agencji, administratorze czy „kimś, kto kiedyś to ustawiał”.

W każdym z tych przypadków warto sprawdzić nie tylko to, czy domena nadal prowadzi na stronę, ale też czy działa poczta, subdomeny, formularze i rekordy odpowiedzialne za wiarygodność wiadomości. Bo sama strona może się otwierać, a reszta konfiguracji może już leżeć w rowie i udawać, że wszystko jest w porządku.

Propagacja DNS - dlaczego zmiany nie działają od razu?

Propagacja DNS to czas, w którym nowe ustawienia domeny zaczynają być widoczne dla różnych serwerów i dostawców Internetu.

Możesz pomyśleć o tym jak o poinformowaniu wszystkich znajomych, że się przeprowadziłeś, wysyłając do nich list. Do jednych informacja dotrze szybciej, do innych później. I przez pewien czas część osób będzie już znała Twój nowy adres, a część nadal będzie szukać cię pod starym.

W praktyce oznacza to tyle, że po zmianie hostingu część osób może widzieć już nową wersję strony, a część jeszcze starą. Podobnie z pocztą, u jednych dostawców nowe ustawienia mogą działać szybciej, a u innych wiadomości mogą jeszcze przez jakiś czas trafiać według starej konfiguracji albo błąkać się po sieci.

To nie zawsze oznacza błąd w konfiguracji. Czasem zmiany po prostu potrzebują czasu, żeby „rozejść się” po Internecie.

Gdzie najlepiej trzymać DNS-y - przy domenie, hostingu czy osobno?

I tutaj znowu pojawia się magiczne: to zależy.

W większości przypadków, jeśli masz stabilnego dostawcę hostingu i nie zmieniasz konfiguracji co kilka miesięcy, trzymanie DNS-ów razem z hostingiem może być wygodne. Szczególnie wtedy, gdy strona i poczta działają u tej samej firmy.

W takim układzie często wystarczy zmienić adresy serwerów DNS na te podane przez hosting, a większość podstawowych rzeczy zostanie skonfigurowana bezpośrednio u niego. Poczta, rekordy MX, SPF, DKIM, DMARC, certyfikat SSL - wszystko może być obsługiwane w jednym miejscu. Do tego dorzucasz sobie na przykład weryfikację Google Search Console i temat na start wygląda prosto.

No właśnie: na start.

Problem zaczyna się wtedy, gdy usługi są rozdzielone. Na przykład:

• strona działa na jednym hostingu,
• poczta jest u innego dostawcy,
• domena została kupiona jeszcze gdzie indziej,
• część subdomen prowadzi do dodatkowych usług,
• ktoś kiedyś coś konfigurował, ale oczywiście nikt nie wie kto, kiedy i po co.

W takiej sytuacji zwykle bezpieczniej jest trzymać konfigurację DNS tam, gdzie masz kupioną domenę, albo w osobnej usłudze do zarządzania DNS. Dzięki temu zmiana hostingu nie oznacza od razu ryzyka utraty całej konfiguracji poczty, subdomen i dodatkowych rekordów.

Przy takim podejściu trzeba jednak pamiętać o kilku rzeczach:

• rekord A dla głównej domeny powinien kierować na właściwy serwer,
• subdomena www również musi wskazywać poprawne miejsce,
• certyfikat SSL na hostingu powinien obejmować domenę i potrzebne subdomeny,
• przy przenoszeniu domeny trzeba sprawdzić, czy wszystkie rekordy DNS zostały skopiowane,
• część dostawców potrafi „zapomnieć” o pełnej konfiguracji, więc warto mieć własną kopię ustawień,
• trzeba sprawdzić dodatkowe subdomeny, np. ftp, panel, mail, pliki, jeśli faktycznie są używane,
• osobno warto zweryfikować rekordy pocztowe: MX, SPF, DKIM i DMARC.

Najważniejsza zasada jest prosta: DNS-y powinny być tam, gdzie masz nad nimi największą kontrolę i gdzie nie znikną tylko dlatego, że wygasła jedna usługa.

Bo jeśli hosting przestanie działać, to jest problem. Ale jeśli razem z hostingiem zniknie cała konfiguracja domeny, poczty i subdomen, to już nie jest problem. To jest mały festiwal przekleństw w panelu administracyjnym.

Nie musisz znać wszystkich rekordów DNS. Ale ktoś powinien je sprawdzić

Właściciel firmy nie musi znać każdego rekordu DNS. Nie musi wiedzieć, czym różni się SPF od DKIM ani dlaczego rekord MX może zepsuć odbieranie poczty.

Ale przed zmianą hostingu, przeniesieniem strony, zmianą dostawcy domeny albo wygaszeniem starej usługi ktoś powinien sprawdzić, co dokładnie jest ustawione w DNS-ach.

Bo DNS-y są nudne tylko do momentu, w którym przez ich brak firma przestaje odbierać wiadomości od klientów, formularze milczą, a maile zaczynają odbijać się od serwerów.

Jeśli planujesz zmianę hostingu, przeniesienie strony albo masz problem z pocztą firmową, mogę sprawdzić konfigurację domeny, DNS, rekordy MX, SPF, DKIM i DMARC, zanim drobna zmiana techniczna zamieni się w problem z klientami.