海运的博客

操作系统下都有hosts文件可自定单个域名指向IP，要将特定域名下所有子域名都指向特定IP就需要转发DNS服务器来解决了，Dnsmasq就是比较轻量级的一个，很多第三方路由固件都自带Dnsmasq。
Dnsmasq域名泛解析配置：

address=/.www.haiyun.me/8.8.8.8
address=/.google.com/203.208.46.200
#这样所有www.haiyun.me子域名都解析到8.8.8.8

Dnsmasq禁止域名被劫持：

bogus-nxdomain=8.8.8.8
#8.8.8.8为劫持IP地址

在垃圾邮件泛滥的今天，邮件服务器和域名设置SPF是必不可少的，之前有介绍PostFix下配置SPF验证，那怎么能证明自己服务器发出的邮件能被对方视为来源正确呢，那就为自己的域名添加SPF记录吧。
SPF记录以TXT格式配置在DNS中，可以使用以下参数定义信任地址：

include #调用特定域名的SPF进行验证
ip4 #使用 IPv4 进行验证
ip6 #使用 IPv6 进行验证
a  #使用域名A记录验证
mx #使用MX记录验证
ptr #使用PTR进行验证

定义匹配时的返回值：

+ #默认，通过
- #硬失败
~ #软失败
? #不置可否

SPF书写示例：

"v=spf1 +a:www.haiyun.me +ip4:192.168.1.0/24 -all"
#定义www.haiyun.me的A记录IP和192.168.1.0/24网段，其它全部为不信任，+默认可略。

将域名SPF添加到BIND DNS服务器：

@       IN      TXT     "v=spf1 a ip4:184.164.141.188 ~all"
#或
www.haiyun.me.      IN      TXT     "v=spf1 a ip4:184.164.141.188 ~all"

测试SPF是否生效：

dig www.haiyun.me txt +short
"v=spf1 a ip4:184.164.141.188 ~all"

也可以发送到gmail邮箱查看SPF验证结果：

Received-SPF: pass (google.com: domain of admin@www.haiyun.me designates 184.164.141.188 as permitted sender) client-ip=184.164.141.188;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of admin@www.haiyun.me designates 184.164.141.188 as permitted sender) smtp.mail=admin@www.haiyun.me

rndc可以对本地及远程DNS服务器进行管理、控制而不用重启BIND，配置如下：
1.生成rndc key，用于客户端与服务器进行交互验证：

rndc-confgen -a -u named #生成rndc-key并写入/etc/rndc.key文件

Bind服务器配置：

cat /etc/named.con
include "/etc/rndc.key"; #服务器调用rndc.key
controls {
       inet 0.0.0.0 port 953 #如只允许本地rndc管理填写127.0.0.1
               allow { 127.0.0.1; 192.168.1.3; } keys { "rndckey"; }; #允许通过rndc管理此DNS的IP、KEY
};

配置rndc客户端：

cat /etc/rndc.key
options {
        default-key "rndckey";
        default-server 192.168.1.2; #要管理的DNS地址，管理本地DNS为127.0.0.1
        default-port 953;
};
key "rndckey" {  #复制为rndc.key内容
    algorithm hmac-md5;
    secret "QERkt5B5BTsy3Zmg5wDzqw==";
};

如果有多台DNS服务器，定义不同的服务器及key：

server 192.168.1.3 {
       key "testkey";
};

server 192.168.1.2 {
       key "rndckey";
};

连接指定服务器：

rndc -s 192.168.1.2 status

rndc应用参数：

rndc status #显示DNS运行状态
rndc reload #重新加载配置文件
rndc reconfig #重新加载named.conf和新的域配置文件
rndc dumpdb #导出缓存到文件
rndc flush  #清空缓存