تحلیل امنیت DNS

رکوردهای NS به‌درستی پیکربندی شده‌اند.

رکورد NS (یا رکورد سرویس‌دهنده نام) یک رکورد DNS است که آدرس سرویس‌دهنده‌های نام معتبر در یک دامنه یا ناحیه DNS را مشخص می‌کند. بدون این رکوردها، دامنه شما کار نخواهد کرد زیرا سایر سرورها نمی‌دانند اطلاعات را از کجا دریافت کنند. هر دامنه باید حداقل یک رکورد NS داشته باشد.

تمامی سرویس‌دهندگان نام دارای رکورد A هستند، بنابراین امکان اتصال از طریق IPv4 فراهم است.

این رکورد، نام دامنه را به آدرس IPv4 متصل می‌کند. بدون آن، سایر سیستم‌ها نمی‌توانند به سرویس‌دهندگان نام متصل شوند. هر سرویس‌دهنده نام باید حداقل یک رکورد A داشته باشد تا از طریق اینترنت در دسترس باشد.

سرویس‌دهندگان نام از IPv6 پشتیبانی نمی‌کنند. این موضوع فقط در صورتی اهمیت دارد که به IPv6 نیاز داشته باشید.

رکورد AAAA در DNS، یک نام دامنه را به یک آدرس IPv6 متصل می‌کند. داشتن این رکورد برای سرویس‌دهندگان نام، امکان اتصال به آن‌ها از طریق IPv6 را فراهم می‌کند. این رکورد ضروری نیست، اما پشتیبانی از آن می‌تواند در آینده کاربردی باشد.

سرویس‌دهندگان نام طوری تنظیم شده‌اند که از کوئری‌های بازگشتی جلوگیری می‌کنند، که مانع سوءاستفاده و دسترسی غیرمجاز می‌شود.

Recursive queries allow DNS servers to process requests for other domains for users. If this feature is enabled, attackers can exploit your server for DDoS attacks or cache poisoning. To increase security, it is recommended to disable recursive queries for external users.

سرویس‌دهندگان نام از آدرس‌های IP عمومی استفاده می‌کنند، که امکان دسترسی از طریق اینترنت را فراهم می‌کند.

This check determines whether name servers use public or private IP addresses. If private IP (such as 192.168.x.x or 10.x.x.x) is used, the server will not be accessible from the internet. According to RFC 1918, private addresses are not suitable for public services.

تعداد سرویس‌دهنده‌های نام در محدوده توصیه‌شده ۲ تا ۸ قرار دارد.

This review evaluates the number of DNS servers that manage the domain. Too few servers reduces domain stability, while too many may cause synchronization problems. According to RFC 2182, for optimal performance, a domain should have at least 2 and at most 8 name servers

انتقال Zone (Zone Transfers) غیرفعال است، که از افشای اطلاعات DNS جلوگیری کرده و امنیت دامنه را افزایش می‌دهد.

This feature allows other servers to copy all of your DNS records. If not properly restricted, attackers can extract all your DNS information by performing a Zone Transfer and misuse it. It's best to enable this feature only for authorized servers.

DNSSEC فعال نیست. فعال‌سازی آن می‌تواند از جعل رکوردهای DNS جلوگیری کند.

DNSSEC uses encrypted signatures to verify the authenticity of DNS data. This feature prevents DNS response forgery and prevents users from being directed to fake websites. According to RFC 4033, DNSSEC is an important security standard for protecting DNS information.

TXT records have been published

TXT records in DNS are used to store arbitrary text information related to a domain. These records are typically used for domain ownership verification purposes (such as Google Search Console or SPF records) and email authentication (such as DKIM or DMARC). Ensuring that your domain's TXT records are set up correctly helps improve security and validates your domain's identity. TXT records can also be used to store miscellaneous information like security policies or ownership proof for various services.

به دلیل خطا در اتصال به سرور، این ارزیابی تکمیل نشد.

This record specifies which servers are responsible for receiving emails for your domain. Without an MX record, receiving email for the domain is not possible. According to RFC 5321, each domain must have at least one valid MX record.

به دلیل خطا در اتصال به سرور، این ارزیابی تکمیل نشد.

A record specifies the IPv4 address of the email server. Without it, other servers cannot connect to your email server via IPv4, which may cause problems with sending and receiving email. Each server defined in the MX record should have at least one A record.

به دلیل خطا در اتصال به سرور، این ارزیابی تکمیل نشد.

این رکورد آدرس IPv6 سرور ایمیل را مشخص می‌کند و امکان برقراری ارتباط از طریق IPv6 را فراهم می‌سازد. این قابلیت در حال حاضر ضروری نیست، اما با توجه به رشد استفاده از IPv6، پشتیبانی از آن در آینده توصیه می‌شود.

به دلیل خطا در اتصال به سرور، این ارزیابی تکمیل نشد.

این بررسی تعیین می‌کند که آیا سرویس‌دهندگان ایمیل از IP عمومی یا خصوصی استفاده می‌کنند. اگر IP خصوصی (مانند 192.168.x.x یا 10.x.x.x) باشد، سرور ایمیل از اینترنت قابل دسترسی نخواهد بود، که می‌تواند باعث اختلال در دریافت ایمیل شود. طبق RFC 1918، آدرس‌های خصوصی نباید برای سرویس‌های عمومی استفاده شوند.

به دلیل خطا در اتصال به سرور، این ارزیابی تکمیل نشد.

رکوردهای PTR آدرس IP سرور ایمیل را به نام دامنه مرتبط می‌کنند و امکان جستجوی معکوس DNS را فراهم می‌سازند. بسیاری از سرویس‌دهندگان ایمیل، پیام‌هایی را که از سرورهای بدون رکورد PTR معتبر ارسال می‌شوند، رد می‌کنند. طبق RFC 1912، هر سرور ایمیل باید یک رکورد PTR داشته باشد تا از مشکلات در ارسال ایمیل جلوگیری شود.

رکورد SPF وجود ندارد یا نادرست پیکربندی شده است که این موضوع دامنه شما را در برابر جعل ایمیل آسیب‌پذیر می‌کند.

SPF یک روش احراز هویت ایمیل است که تعیین می‌کند کدام سرویس‌دهندگان مجاز به ارسال ایمیل از طرف دامنه شما هستند. یک رکورد SPF که به‌درستی تنظیم شده باشد، از جعل ایمیل جلوگیری کرده و باعث بهبود قابلیت تحویل ایمیل می‌شود.

SOA record is set up and contains information needed for domain management, server synchronization, and DNS update control

رکورد SOA اطلاعات مهمی درباره DNS Zone از جمله سرویس‌دهنده نام اصلی، ایمیل مدیر Zone و پارامترهای به‌روزرسانی را ذخیره می‌کند. طبق RFC 1035، هر ناحیه DNS باید دقیقاً یک رکورد SOA داشته باشد تا مدیریت و هماهنگی بین سرورها به‌درستی انجام شود.

Administrator email is set in the SOA record, which is essential for Zone management and receiving important notifications

مقدار RNAME در رکورد SOA آدرس ایمیل مدیر Zone را مشخص می‌کند. این ایمیل برای رسیدگی به مشکلات فنی Zone استفاده می‌شود. RFC 2142 پیشنهاد می‌کند که این ایمیل در قالب hostmaster@{domain.com} باشد.

Name servers are properly synchronized and their serial numbers are identical, which indicates proper coordination between servers

شماره سریال (Serial Number) نشان‌دهنده آخرین به‌روزرسانی‌های DNS Zone است. اختلاف در این شماره بین سرورها به معنی عدم همگام‌سازی اطلاعات و ناهماهنگی در به‌روزرسانی‌ها است.