基本概念

解析记录是域名系统中用于定义域名与资源对应关系的核心配置项。它将易于记忆的域名指向具体的服务器IP地址、邮箱服务器或其他域名，是实现互联网访问寻址的关键依据。通过配置解析记录，用户可以将业务流量精准引导至指定的云服务资源，保障网站、应用等业务的稳定可达。

• 为什么需要解析记录

  在互联网通信中，网络设备之间通过IP地址进行相互识别和通信，但纯数字的IP地址难以被人类记忆。随着业务规模扩大，服务器IP地址可能因扩容、迁移或故障切换而频繁变动，如果用户直接通过IP访问，一旦地址变更将导致业务中断。如何在保持用户访问习惯不变的前提下，实现后端服务器地址的灵活变更与流量的高效调度？解析记录通过建立域名与资源之间的映射关系，解耦了用户访问入口与实际服务地址，解决了上述寻址难题，成为连接用户与服务资源的桥梁。

• 解析记录的优势是什么
  • 配置灵活：支持多种记录类型（如A、AAAA、CNAME、MX等），能够满足网站访问、邮件收发、负载均衡等多种业务场景的配置需求，用户可根据业务变化随时修改记录值。
  • 高可用性：通过设置记录的权重或优先级，结合DNS服务器的分布式架构，可实现流量的智能调度与故障转移，保障业务在部分节点异常时仍可正常访问。
  • 管理便捷：提供统一的控制台界面进行集中管理，无需登录后端服务器修改配置，降低了运维复杂度与人为操作风险。

• 解析记录的使用场景
  • 网站建设与访问：网站管理员在搭建企业官网或应用服务时，需要将域名指向云服务器的公网IP地址。通过配置A记录，管理员实现了域名到IP的精准映射，用户只需输入域名即可访问网站，提升了用户体验并便于后续服务器IP变更时的平滑迁移。
  • 内容分发加速：运维团队在接入内容分发网络（Content Delivery Network，以下简称CDN）或高防IP服务时，需要将业务域名指向服务商提供的加速域名。通过配置CNAME记录，运维团队将流量调度至边缘节点，有效降低了源站压力并提升了全球用户的访问速度。
  • 企业邮箱服务：企业在构建内部邮件系统或使用云端邮件服务时，需要指定邮件服务器的交换地址。通过配置MX记录，管理员定义了域名对应的邮件接收服务器优先级，确保企业邮件收发过程稳定可靠，避免了邮件丢失或错投。
• 解析记录的工作原理

  解析记录（Resource Record）是 DNS 中最基本的数据单元，每条记录定义了一组"域名→值"的映射关系，是域名解析能够工作的根本依据。

  • 组成结构

    每条解析记录主要由4个关键字段构成：

    • 域名（Name）：记录所属的域名，如www.example.com。
    • 记录类型（Type）：决定解析的语义和用途。常见类型包括A（IPv4 地址）、AAAA（IPv6 地址）、CNAME（别名指向）、MX（邮件服务器）、TXT（文本信息）、NS（权威服务器指向）等，不同类型承载不同的业务含义。
    • TTL（Time To Live）：该记录可被缓存的最长时间，单位为秒。超过TTL后缓存失效，需重新查询获取最新数据。
    • 记录值（Value）：具体的解析内容，如IP地址、目标域名或文本字符串。

    当DNS系统处理查询时，以“域名 + 记录类型”为键检索匹配的记录，将记录值作为解析结果返回。同一个域名可以同时拥有多条不同类型的记录，也可以同一类型下有多条记录（如多个A记录实现负载分担）。

  • 解析的匹配逻辑

    DNS查询报文中携带待查询的域名（QNAME）和记录类型（QTYPE），解析系统据此进行匹配。匹配结果一般有3种情况：

    • 命中：找到QNAME与QTYPE均匹配的记录，将记录值返回给查询方。
    • 域名不存在（NXDOMAIN）：该域名在区域中没有任何记录，返回域名不存在的响应。
    • 无该类型记录（NODATA）：域名本身存在，但没有所查询类型的记录，返回空应答。

    此外，当查询的域名存在CNAME记录时，解析系统不会直接返回CNAME的目标域名，而是必须对目标域名发起新一轮查询，直到获得最终的地址记录为止。这意味着CNAME会引入额外的解析步骤，因此应避免过长的链式指向。

  • 缓存与生效机制

    每条记录返回时都携带TTL值，DNS系统据此缓存该记录。在TTL有效期内，相同查询可直接以缓存应答；TTL过期后，缓存记录失效，必须重新查询以获取最新数据。TTL的设定直接影响解析变更的生效速度：TTL越短，修改后的记录全网生效越快，但查询频率越高；TTL越长，缓存命中率越高，但变更后需要等待更长时间才能传播到位。在实际运维中，若需变更解析记录，通常先将TTL调低，待变更生效后再恢复为正常值，以兼顾变更时效与日常性能。

• 解析记录与本地Hosts文件的区别

  解析记录与本地Hosts文件均用于定义域名与IP地址的映射关系，核心目标一致，因此常被用于比较。二者的核心差异在于生效范围与维护效率：解析记录基于分布式DNS系统，对全网用户生效，且支持集中化配置；Hosts文件仅作用于本地设备，需逐台修改。

  造成差异的根本原因在于架构模式不同，解析记录依托网络服务，Hosts文件依赖本地文件系统。这导致解析记录适用于公开的互联网服务构建，能够灵活应对大规模访问；而Hosts文件仅适用于临时测试或单机环境，维护成本高且无法实时生效。

  对比维度	解析记录	本地Hosts文件
  生效范围	全网用户生效	仅本机生效
  维护方式	云控制台集中管理	本地文件手工编辑
  生效时效	受TTL控制，支持秒级更新	修改即时生效，但需刷新缓存
  适用场景	正式业务发布、流量调度	开发测试、本机访问屏蔽

• 解析记录的分类

  华为云云解析服务支持多种不同类型的解析记录，适用于不同的业务场景。

  表1 公网域名记录集类型

  记录集类型	场景说明	设置规则	示例
  A	将域名解析到指定的IPv4地址。通常用于网站解析。	填写域名对应的IPv4地址。 最多可以输入50个不重复地址，多个地址之间以换行符分隔。	1.1.xx.xx 1.2.xx.xx
  CNAME	用于将域名解析到另一域名，或者多个域名映射到同一域名上。	填写您要指向的另一域名，只能填写一个。	www.example.com
  MX	指定域名对应的邮件服务器，用于为邮件域名设置邮箱服务器。	填写邮箱服务器地址。 最多可以输入50个不重复地址，多个地址之间以换行符分隔。 填写格式：[优先级] [邮箱服务器域名地址] 配置规则： 优先级：用来指定邮箱服务器接收邮件优先顺序，数值越小优先级越高。 邮箱服务器域名地址：邮箱服务商提供的域名地址。	10 mailserver.example.com. 20 mailserver2.example.com.
  AAAA	指定域名对应的IPv6地址，用于将域名解析到IPv6地址。	填写域名对应的IPv6地址。 最多可以输入50个不重复地址，多个地址之间以换行符分隔。	ff03:0db8:85a3:0:0:8a2e:0370:7334
  TXT	用于对域名进行标识和说明，可填写任意的信息。 主要用于以下场景： 记录DKIM的公钥，用于反电子邮件欺诈。 用于记录域名所有者身份信息，用于域名找回。	填写用户所需的任意文本记录。 配置规则： 文本记录需要用半角双引号包裹。 支持单个或多个文本记录，多个文本记录之间以换行符分隔。 最多可以输入50个不重复的文本记录。 单个文本记录可以包含多个文本字符串，每个文本字符串以半角双引号包裹，不同的文本字符串之间以单个空格隔开。 每个文本字符串长度不超过255个字符。 单个文本记录长度不超过4096个字符。 不可为空。 不支持反斜杠字符“\”。	单个文本记录 "aaa" 多个文本记录 "bbb" "ccc" 包含多个文本字符串的文本记录 "ddd" "eee" "fff" 用于SPF反垃圾邮件 "v=spf1 a mx -all" 表示只有当前域名的A记录和MX记录中的IP地址有权限使用这个域名发送邮件。
  SRV	记录了具体某台计算机对外提供哪些服务，供用户查询使用。	填写指定服务的服务器地址。 最多可以输入50个不重复地址，多个地址之间以换行符分隔。 填写格式：[优先级] [权重] [端口号] [目标地址] 配置规则： 优先级、权重、端口号均为数字，取值范围0～65535。 优先级：值越小，优先级越高。 权重：值越大，权重越大。 目标地址：目的主机的域名。 请确保主机可以解析。 说明： 解析记录值的优先级相同时，系统将比较权重大小，权重值越大，优先级越高。	2 1 2355 example_server.test.com
  NS	指定域名的权威DNS服务器，用于指定域名由哪个DNS服务器进行解析。 由于域名添加至云解析服务后，系统会自动为域名添加一条NS类型记录集，且该记录集不可删除，因此，仅支持添加如下场景的NS类型记录集： 为主域名的子域名添加NS类型记录集，即“主机记录”不为空。 为主域名添加“线路类型”为非“全网默认”的NS类型记录集。	填写您要授权的域名服务器地址。 最多可以输入50个不重复地址，多个地址之间以换行符分隔。	ns1.example.com ns2.example.com
  SOA	指定域名的主权威DNS服务器，系统默认创建，不支持手工创建。	系统默认创建，不支持手工创建。	系统默认创建，不支持手工创建。
  CAA	指定为域名颁发HTTPS证书的授权CA机构，用于防止HTTPS证书错误签发。	指定要授权的证书颁发机构，使其可以给域名或者子域名颁发证书。 最多可以输入50个不重复记录，多个记录之间以换行符分隔。 填写格式：[flag] [tag] [value] 配置规则： flag：认证机构限制标志，定义为0~255无符号整型。常用取值为0。 tag：仅支持大小写字母和数字0~9，长度1~15，常用取值： issue：授权任何类型的域名证书 issuewild：授权通配符域名证书 iodef：指定违规申请证书通知策略 value：域名或用于违规通知的电子邮箱或Web地址。其值取决于[tag]的值，必须加双引号。取值范围：字符串（仅包含字母、数字、空格、-#*?&_~=:;.@+^/!%），最长255字符。	0 issue "ca.abc.com" 0 issuewild "ca.def.com" 0 iodef "mailto:admin@domain.com" 0 iodef "http://domain.com/log/"
  显性URL	显性URL转发是通过HTTP重定向实现的，通常采用的是301重定向或302重定向技术。通过显性转发将原URL重定向到新URL，从而使访问原URL的所有请求转发到新的URL地址。	选择重定向类型并输入URL。 重定向类型： 301：永久性重定向，表示资源已被永久移动。 302：临时性重定向，表示资源的移动是暂时的。	永久显性URL转发：301 http://www.example.com:80/ 临时显性URL转发：302 http://www.example.com:80/
  隐性URL	隐性URL转发采用iframe框架技术，是指DNS服务器在没有明确配置转发规则的情况下，自动将无法解析的查询请求转发给其他DNS服务器。	填写需要转发的目的URL。	http://www.example.com:80/

  表2 内网域名记录集类型

  记录集类型	说明	使用场景
  A	将域名解析到网站服务器的IPv4地址。 如果您希望通过域名访问您的网站，可以为域名设置一个A记录指向您的Web服务器的IPv4地址。	网站解析
  CNAME	将域名解析到另一域名，或者多个域名映射到同一域名上。	网站解析、CDN、企业邮箱、企业门户、Web应用防火墙、对象存储、视频直播等。
  MX	指定域名对应的邮件服务器，并记录邮件服务器的优先级和域名。	邮箱解析
  AAAA	将域名解析到网站服务器的IPv6地址。	网站解析
  TXT	对域名进行标识和说明，可填写任意的信息。	数字认证证书、SPF记录（反垃圾邮件）、域名找回等。
  SRV	记录某台服务器对外提供了哪些服务，供用户查询使用。	常见于微软系统的目录管理。
  NS	系统默认创建，指定域名的权威DNS服务器。	系统默认创建，不支持手工创建。
  SOA	提供域名的基本信息和权威服务器的详细信息。	系统默认创建，不支持手工创建。
  PTR	将顶级域是in-addr.arpa的私网IP地址指向其对应的内网域名	用于通过私网IP地址反向查询对应的云服务器。

• 与解析记录相关的操作和特性

  在全面了解解析记录的核心概念与应用场景后，本小节将为您介绍解析记录的常用基础操作与高级应用特性。如果您想要深入了解并在实际业务中配置使用，可以点击相关超链接跳转查看详细的华为云官方文档。

  解析记录相关基础操作：

  • 配置公网域名解析：为已注册购买的公网域名添加不同类型的解析记录，详情参考添加公网域名解析记录。
  • 配置内网域名解析：为已创建的内网域名添加不同类型的解析记录，详情参考添加内网域名解析记录。
  • 管理解析记录：查看、修改或删除已配置的域名解析记录，详情参考管理解析记录。
  • 暂停/启用解析：暂停或启用用户对域名或记录集的访问，详情参考暂停/启用解析。

  更多相关操作：

  • 智能解析：根据运营商、地域等维度区分访问者IP的来源和类型，对同一域名的访问请求做出不同的解析响应，指向不同服务器的IP地址，详情参考智能解析简介。
  • DNSSEC：通过数字签名来保证DNS应答报文的真实性和完整性，能够保护用户不被重定向到非预期地址，防止DNS欺骗和缓存污染等攻击，保护用户核心业务，详情参考配置DNSSEC。
  • 泛解析：将对域名所有子域名的访问请求都解析至相同的IP地址或目标，详情参考设置域名泛解析。

权威服务器是域名系统中存储并负责维护特定域名区域原始解析数据的服务器，是域名解析的“源头真相”。作为DNS查询链路的最终环节，权威服务器直接返回域名对应的权威应答，决定了域名指向的准确性与有效性。通过部署权威服务器，用户能够自主管理域名的解析记录，确保互联网访问请求被精准路由至目标服务IP，为业务入口的稳定运行提供基础支撑。

• 为什么需要权威服务器

  在互联网早期，用户通过本地Hosts文件手动维护域名与IP的映射关系。随着网络规模爆发式增长，单机维护的模式已无法支撑海量域名的解析需求，且静态文件更新滞后，极易导致访问错误或冲突。面对海量域名实时、高效解析的迫切需求，DNS协议应运而生，引入了分布式、层次化的解析体系。

  权威服务器作为该体系中的核心组件，专门负责存储域名区域的权威数据。它解决了集中式管理带来的性能瓶颈与单点故障风险，让域名所有者能够独立、实时地更新解析配置，确保全球用户都能获得准确、一致的解析结果，从而支撑起现代互联网业务的稳定运行。

• 权威服务器的优势是什么
  • 数据权威性：作为域名解析数据的唯一源头，权威服务器返回的解析结果具有不可辩驳的权威性，能够有效防止解析链路中的数据污染或篡改，保障解析结果的绝对准确。
  • 高可用性：通常采用多节点分布式部署架构，具备故障自动转移能力。即便单个节点发生异常，系统仍可持续提供解析服务，保障业务访问入口不中断。
  • 管理自主性：域名持有者拥有对解析记录的完全控制权，可随时根据业务需求增删改查解析记录，无需依赖第三方人工干预，配置变更可快速生效。
  • 高性能处理：专为处理海量并发查询设计，具备高吞吐量与低延迟特性，能够快速响应来自全球递归服务器的解析请求，提升用户访问体验。

• 权威服务器的使用场景
  • 企业品牌门户解析：企业运维团队需要确保企业官网域名在全球范围内被准确访问。通过权威服务器配置A记录或CNAME记录，将域名指向企业Web服务器IP，确保用户访问品牌域名时能精准跳转至官网，保障品牌形象的统一性与业务入口的可达性。
  • 跨地域智能业务调度：跨国企业或在线应用服务商面临用户分布广泛、网络环境差异大的问题。利用权威服务器配置智能线路解析策略，根据用户来源地域自动返回最近的服务器IP，引导用户就近接入，显著降低访问延迟，提升业务响应速度。
  • 业务容灾与故障切换：金融或电商行业对业务连续性要求极高，主服务节点故障时需快速恢复。运维团队在权威服务器上配置备用IP并结合监控机制，当主节点不可达时，自动更新解析记录指向备用节点，实现秒级故障切换，保障核心业务不中断。
• 权威服务器的工作原理

  DNS权威服务器是域名解析体系中"给出最终答案"的角色。当用户访问域名时，请求经递归服务器逐级查询，最终到达该域名的权威服务器——它存储着域名的权威解析记录，以自身数据为依据返回结果，不再向其他服务器转发。简而言之，递归服务器负责找答案，权威服务器负责存答案，它是解析链路的终点，也是解析结果的唯一权威来源。

  权威服务器的运行遵循DNS协议标准，核心流程如下：

  1. 接收查询：解析引擎监听53端口，接收递归服务器发送的DNS查询报文。
  2. 报文解析与区域匹配：解析QNAME与QTYPE，判断请求域名是否属于本机授权区域；若属于，则在存储模块中查找对应记录。
  3. 构建权威应答：根据查找结果构建响应报文，置位AA（Authoritative Answer）标志位，表明该应答来自权威源，并附带TTL值控制递归服务器的缓存时长。
  4. 返回结果：将权威应答返回递归服务器，由其向用户终端返回最终结果，完成解析闭环。
• 权威服务器与递归服务器的区别

  权威服务器与递归服务器共同构成了DNS系统的核心，但二者在角色定位与工作模式上存在本质区别。

  • 共同点：两者都是DNS系统中不可或缺的服务器角色，均遵循DNS协议处理域名解析请求，核心目标都是实现域名到IP地址的映射。
  • 核心差异：
    • 角色定位不同：权威服务器是数据的“持有者”，仅对自己拥有的域名区域负责；递归服务器是数据的“代理者”，代用户查询整个DNS树状结构。
    • 数据处理方式不同：权威服务器直接读取本地配置返回结果，不进行迭代查询；递归服务器则通过迭代查询，依次访问根、顶级域、权威域，直至获得最终结果。
    • 缓存机制不同：权威服务器通常不缓存外部数据，仅返回实时生效的本域数据；递归服务器会大量缓存查询结果，以加速后续相同请求。
  • 差异原因：设计初衷不同导致差异。权威服务器旨在保障数据源的准确与可控，递归服务器旨在提升用户查询的效率与便捷性。

  对比维度	权威服务器	递归服务器
  核心职责	存储、维护并返回特定域名的原始解析数据。	代用户查询，遍历DNS体系并缓存结果。
  服务对象	为递归服务器提供权威数据源。	为终端用户（客户端）提供解析服务。
  数据来源	本地配置文件或数据库（源头数据）。	向上级服务器查询并缓存（转发/迭代数据）。
  应答特征	应答中AA标志位置1，表示权威应答。	应答中AA标志位置0，通常来自缓存。

• 权威服务器的分类

  根据权威服务器的部署架构与角色分工，并依据服务器在数据同步与管理流程中的职责进行划分。权威服务器一般分为主权威服务器、从权威服务器。

  • 主权威服务器：
    • 特征：拥有域名区域数据的读写权限，是所有解析记录的原始输入源。管理员在此进行配置修改，并通知从服务器同步更新。
    • 应用场景：适用于需要自主掌控域名数据、实时调整解析策略的企业核心业务场景。
  • 从权威服务器：
    • 特征：仅拥有数据的读取权限，定期从主服务器同步区域数据。不直接接受管理员的写入操作，主要提供查询负载分担与冗余备份。
    • 应用场景：配合主服务器使用，用于分担海量查询流量，或在主服务器故障时维持服务可用性，保障业务连续性。

• 与权威服务器相关的操作和特性

  在全面了解权威服务器的核心概念与应用场景后，本小节将为您介绍权威服务器的常用基础操作与高级应用特性。如果您想要深入了解并在实际业务中配置使用，可以点击相关超链接跳转查看详细的华为云官方文档。

  权威服务器相关基础操作：

  • 配置DNS服务器：为已注册购买的公网域名配置DNS服务器地址，详情参考修改公网域名的DNS服务器地址。
  • 配置网站解析：通过华为云的云解析服务为网站服务器配置域名解析，详情参考配置网站域名解析。
  • 配置邮箱解析：通过华为云的云解析服务为您的邮箱服务器提供解析服务，详情参考配置邮箱域名解析。
  更多相关操作：

  • 解析迁移：用户域名解析当前已使用非华为云DNS服务商，为了改进解析速度、寻找更可靠的DNS服务或是业务集中管理便于更好控制DNS设置，可以将域名解析迁移至华为云DNS，详情参考将第三方域名解析转入华为云DNS。
  • 域名诊断：DNS解析配置完成后，通过域名诊断或邮箱诊断功能进行域名检测，确认DNS解析是否生效，详细参考诊断公网域名解析是否生效。

DNS缓存是一种存储机制，用于临时保存域名的解析数据，通常位于用户的设备、路由器或ISP的服务器中，以提高网络访问速度和效率。

当用户访问一个域名时，设备首先检查本地缓存，若找到对应解析数据则直接使用，否则设备会向ISP或其他DNS服务器查询，并将结果存储在缓存中以备后续使用。

相关文档：

• 添加解析记录后多久生效？
• 修改或删除解析后多久生效？
• 通过Serving Stale提高自建DNS的解析成功率

TTL（Time To Live），指解析记录在本地DNS服务器中的缓存时间，合理设置TTL可以平衡DNS服务器的负载和解析速度，同时影响DNS变更的生效时间。

当本地DNS服务器收到某一域名的解析请求时，需要向域名指定的权威DNS服务器发送解析请求获取解析记录。获得的解析记录会在本地DNS服务器中保存一段时间。在这段时间内，如果本地DNS服务器再次收到域名的解析请求，将不再向权威DNS服务器发送解析请求，而是直接返回保存在本地DNS服务器中的解析记录。

解析记录在本地DNS服务器的保存时间就是TTL值，用户可以在为公网域名或者内网域名添加记录集时设置，具体操作请参见管理记录集。

如下操作的生效时间均与TTL值有关，如果要加快生效，可以通过调小TTL值的方式实现：

• 添加解析记录后多久生效？
• 修改或删除解析后多久生效？
• 修改DNS服务器后多久生效？

URL转发，也称为URL重定向，当用户或系统访问一个特定的URL时，服务器自动将请求重定向到另一个URL。这种重定向可以是永久的或临时的，具体取决于使用的HTTP状态码。通常应用在以下场景中：

• 网站迁移：当网站从一个服务器迁移到另一个服务器时，可以使用URL转发来确保用户访问原服务器地址时能够被重定向到新服务器地址。
• 域名更改：当企业更改其域名时，旧域名可以通过URL转发保持活跃，避免用户访问错误。
• 缩短URL：一些服务使用URL转发来缩短长链接，便于分享和跟踪。
• 维护SEO：搜索引擎优化中，URL转发可以保持旧页面的SEO价值，同时将流量引导到新页面。
• 负载均衡：在服务器负载均衡中，URL转发可以帮助将用户请求分配到不同的服务器上。

相关文档：

添加显性/隐性URL类型记录集

递归查询和递归解析是DNS解析中的两个关键步骤，递归查询由客户端发起，递归解析由DNS服务器执行，确保客户端能够高效地获得域名解析结果。

• 递归查询：是客户端（如用户的计算机）向DNS服务器发送的一种请求类型。客户端发送递归查询请求到DNS服务器，DNS服务器负责处理整个查询过程，直到找到目标域名的查询结果并返回给客户端。客户端只需发送一次请求，无需多次查询不同的服务器。
• 递归解析：是DNS服务器在处理递归查询请求时所采用的方法。当DNS服务器收到递归查询请求时，从根服务器开始，逐步查询顶级域名服务器，直到找到权威域名服务器，获取目标域名的查询结果并返回给客户端。用户无需自行处理复杂的查询过程。

相关文档：

设置子域名递归解析

域名系统安全扩展（Domain Name System Security Extensions，简称DNSSEC），通过数字签名和公钥加密确保DNS应答报文的真实性和完整性，能够保护用户不被重定向到非预期地址，防止DNS欺骗和缓存污染等攻击，保护用户核心业务。

工作原理和主要功能

• 数字签名保证数据完整性：对DNS记录进行签名，验证数据完整性，确保DNS记录未被篡改。
• 公钥加密保证数据来源可信：使用公钥验证签名，确保信息来自可信来源。
• 完整信任链预防DNS欺骗与缓存污染：从根服务器到顶级域名服务器，再到权威服务器，形成完整的信任链，阻止攻击者在DNS缓存中插入虚假记录。

相关文档：

配置DNSSEC

域名密钥识别邮件（DomainKeys Identified Mail，简称DKIM）是一种用于验证电子邮件来源真实性和完整性的技术标准，通过数字签名机制防止邮件伪造和篡改。

核心原理和工作流程：

1. 密钥生成与分发
   1. DKIM使用一对密钥：私钥和公钥。
   2. 私钥由发送方的邮件服务器保管，用于签名邮件。
   3. 公钥存储在发送方域名的DNS记录中，通常作为TXT记录，供接收方查询。
2. 邮件签名过程
   1. 发送邮件时，邮件服务器使用私钥对邮件的特定部分（如报头和正文）生成数字签名。
   2. 签名信息被插入到邮件的DKIM-Signature报头字段中，包含哈希值、使用的算法（如RSA-SHA256）和域名信息。
3. 接收方验证
   1. 接收方服务器解析邮件头中的DKIM-Signature字段，提取签名信息。
   2. 通过查询发送方域名的DNS记录获取公钥。
   3. 使用公钥验证签名，计算邮件内容的哈希值并与签名中的哈希值进行比较。
   4. 如果匹配，验证通过，确认邮件未被篡改且来源真实；否则，可能标记为垃圾邮件或拒收。

示例：

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com;  
s=mail; h=From:Subject:Date:Message-ID:To:MIME-Version:Content-Type;  
bh=abc123==; b=def456==; 

发送方框架策略（Sender Framework Policy，简称SPF）是一种用于验证电子邮件发件人身份的技术，旨在防止垃圾邮件和钓鱼攻击。它通过检查发送邮件的IP地址是否被发件人域名的管理员授权，来验证邮件的合法性。

核心原理和工作流程：

1. 定义授权IP地址

   域名所有者在DNS中配置一条TXT或SPF记录，列出所有被授权发送邮件的IP地址或服务器。

2. 验证过程
   1. 当邮件服务器收到邮件时，它会检查邮件的Return-Path（发件人地址）。
   2. 邮件服务器通过DNS查询发件人域名的SPF记录。
   3. 验证发送邮件的IP地址是否在SPF记录中被授权。
   4. 如果匹配，邮件通过验证；否则，可能被标记为垃圾邮件或拒收。

示例：

以下是TXT类型解析记录的SPF记录值：

v=spf1 include:spf.example.com -all

• v=spf1：表示这是SPF记录，版本为1。
• include:spf.example.com：包含spf.example.com域名的SPF记录。
• -all：表示所有未明确授权的IP地址将被直接拒绝（~表示“软失败”，-表示“硬失败”）。

  如果此处为“~all”，则表示软失败，所有未明确授权的IP地址发送的邮件将被标记为可疑，但不会被直接拒绝。

相关文档：

• 快速添加邮箱域名解析
• 配置邮箱服务器的公网域名解析
• 常用邮箱的解析记录示例

泛解析，是指使用通配符“*”作为子域名的主机记录，实现所有子域名指向同一个IP地址或目标。

例如，域名.example.com设置泛解析*.example.com，则会将该域名下的所有子域名如www.example.com、abc.example.com、test.example.com等子域名都将解析到与 *.example.com 相同的IP地址或目标。

应用场景：

• 静态资源托管

  将所有子域名指向同一个CDN或静态资源服务器，提高资源加载速度和管理效率。

• 测试和开发环境

  快速创建和测试多个子域名，无需频繁调整DNS设置，提升开发效率。

• 用户生成内容平台

  允许用户创建个人子域名博客或网站，所有子域名自动指向同一服务器，简化管理流程。

• API服务

  通过不同子域名访问同一API服务，统一管理API请求，提升服务灵活性。

• 多语言或地区站点

  所有子域名指向同一多语言网站，根据用户语言或地区自动切换内容，优化用户体验。

• 临时或动态子域名

  快速创建临时促销或活动子域名，无需手动配置，提升响应速度。

相关文档：

设置域名泛解析

域名所有者，即注册购买域名的个人或组织。以下是域名所有者的详细说明：

• 所有权与控制权：域名所有者拥有域名的使用权，可以决定如何使用该域名，例如指向特定的服务器或设置子域名。
• 注册与维护：域名所有者需在注册商处注册域名，并支付年度费用以续费，确保域名不被过期。
• 信息管理：注册时需提供个人信息（如姓名、地址、邮箱），这些信息通常在WHOIS数据库中公开，但可选择隐私保护服务以隐藏真实信息。
• 管理权限：域名所有者可以管理DNS设置，控制网站的解析，设置安全记录（如DKIM、SPF），以及转移域名至其他注册商。
• 续费与转移：必须及时续费以避免域名过期。若想转让域名，需通过注册商进行转移或在二级市场交易。

DNS服务商是提供域名系统（DNS）服务的公司，负责管理域名的解析设置，确保域名正确指向对应的服务器IP地址。以下介绍DNS服务商的主要作用：

• 域名解析：将用户输入的域名转换为对应的IP地址，使用户能够访问目标网站。
• 管理DNS记录：允许用户设置和管理各种DNS记录，如A记录、CNAME记录、MX记录等。
• 高可用性和稳定性：通过多节点分布，确保DNS解析的稳定性和快速响应。
• 增值服务：提供负载均衡、CDN集成、DDoS防护、智能解析等功能，提升网站性能和安全性。