DNS – Podstawy

22 Aug 2025 w Notatki tagi: it Zmodyfikowano: 2025-08-25

Ten wpis to przewodnik po świecie domen i DNS, napisany tak, jakbyśmy gadali przy kawie. Pokazuję, jak ogarnąć zakup domeny, uniknąć pułapek cenowych i skonfigurować strefę DNS, żeby wszystko działało. Bez technicznego żargonu i prosto – dla każdego, kto chce mieć swoją domenę bez bólu głowy!

Temat DNS brzmi jak czarna magia dla kogoś, kto po prostu chce uruchomić stronę pod swoją domeną. Postaram się zebrać najbardziej niezbędną wiedzę, żeby nieco ten temat rozjaśnić.

• Zakup domeny
  • Przenoszenie domeny
  • Gdzie kupić domenę?
• DNS – co to takiego?
• Zakupiłem domenę i co dalej?
  • DNS w pakiecie
  • Zmiana serwera DNS
  • DNS od Cloudflare
• Rekordy DNS
  • Strona internetowa (A, AAAA, CNAME)
  • Rekordy tekstowe (TXT)
  • Poczta e-mail (MX, TXT)
    • Poczta przychodząca
    • Poczta wychodząca
    • Przekierowanie na inny serwer nazw (NS)
  • Propagacja DNS i TTL – dlaczego zmiany nie działają od razu?
  • Pozostałe rodzaje rekordów, którymi raczej nie musisz znać
• Podsumowanie

Zakup domeny

Zakup domeny co prawda nie jest głównym przedmiotem tego wpisu, ale warto uratować tych, którzy jej jeszcze nie kupili, przed wpadnięciem w pułapkę.

Czym kierować się przy wyborze domeny? Na pewno nie ceną za pierwszy rok! Wiele firm stosuje następującą taktykę: oferują domenę nawet za symboliczny 1 zł za pierwszy rok, ale za kolejny każą słono płacić.

Przenoszenie domeny

Samo nasuwa się pytanie: czy da się przenieść domenę do innego rejestratora? Odpowiedź brzmi: tak, ale trzeba sprawdzić, kiedy to zrobić. Zwykle wymagany jest pewien czas przed upłynięciem terminu wygaśnięcia (na przykład minimum miesiąc wcześniej). Dodatkowo zmiana dostawcy bywa nieco utrudniona. Trzeba złożyć wniosek o wydanie kodu AuthInfo, który jest niezbędny do transferu domeny. Kod ten często przychodzi pocztą tradycyjną na adres, na który zarejestrowana jest domena! Tak jest – nie warto podawać losowego adresu przy rejestracji domeny, na której nam zależy.

Niemniej domenę da się przenieść, trzeba tylko proces zacząć odpowiednio wcześniej.

Gdzie kupić domenę?

W tym miejscu mógłbym spróbować zarobić, ponieważ większość odpowiedzi na takie pytania zawiera reflinki do tych scammerskich (w mojej ocenie) ofert. Tak jak wspomniałem, przy wyborze kieruję się ceną za drugi i kolejny rok. Szukając domeny, w pierwszej kolejności sprawdzam, czy szukana domena najwyższego poziomu (.com, .eu, .pl) jest dostępna w Cloudflare Registrar. Oferują oni domeny w zasadzie po cenach hurtowych – na przykład .com kosztuje 10,44 USD za pierwszy i każdy kolejny rok. Dla porównania, w popularnym serwisie nazwa.pl domena .com kosztuje 40 zł za pierwszy rok i 240 zł za każdy kolejny!
W każdym przypadku są to ceny netto.

Porównanie na 13.08.2025 (orientacyjne, ceny mogą się zmieniać):

Dostawca	Cena za 1 rok	Cena za kolejny rok
Cloudflare	37,95 zł	37,95 zł
OVH (promocja)	34,08 zł	58,29 zł
Nazwa_pl *	40,00 zł	240,00 zł

* W tym przypadku nawet cena za pierwszy rok nie jest niższa niż u konkurencji, natomiast często spotykany jest wabik w postaci super niskiej ceny za pierwszy rok.

W przypadku wielu dostawców trzeba się postarać, żeby w ogóle zobaczyć kwotę przedłużenia. W OVH jest ona podana zaraz obok ceny za pierwszy rok, natomiast w nazwa.pl trzeba odszukać pełny cennik, gdzie zobaczymy kwotę.

I tak, w momencie otrzymania faktury za przedłużenie domeny jest już za późno na jej przeniesienie, a nawet rezygnację z przedłużenia.

DNS – co to takiego?

Nie będę się zagłębiał w szczegóły działania, tym bardziej że sam ich nie znam na wylot. Zainteresowanych odsyłam do bardziej wnikliwych artykułów, na przykład tutaj lub do oficjalnych RFC.

Trafną analogią do zagadnienia DNS jest biblioteka. Wyobraź sobie największą bibliotekę świata, do której przychodzisz, znając jedynie tytuł książki. Nie wiesz, na którym piętrze, w której sali, w którym rzędzie ani na której półce znajduje się ta książka. DNS, za sprawą “bibliotekarzy”, jest w stanie dostarczyć dokładną lokalizację książki. W przypadku zagadnienia webowego tą lokalizacją jest adres IP serwera, na którym znajduje się nasza strona internetowa.

Zakupiłem domenę i co dalej?

Zakup domeny często jest powiązany z zakupem hostingu. Należy mieć świadomość, że nie jest to w żadnym przypadku konieczna zależność. Można mieć domenę zakupioną w firmie X, zarządzać strefą DNS (do niej zaraz przejdziemy) w firmie Y, a hosting mieć od firmy Z.

DNS w pakiecie

U chyba każdego rejestratora strefę DNS dostajemy niejako w pakiecie z domeną – czasem jako gratis, czasem po prostu jest i kropka.
W przypadku takiej strefy DNS dostajemy ją już podpiętą pod naszą domenę, a w strefie może być skonfigurowanych kilka rekordów.
Wspomniałem, że strefa DNS niekoniecznie musi być od rejestratora domeny.

Zmiana serwera DNS

Można ją łatwo zmienić, podmieniając adresy serwerów DNS. W takim przypadku strefa od twojego dostawcy nie będzie już dłużej wykorzystywana (mimo że magicznie nie zniknie) – zapytania będą przekazywane do strefy DNS zarządzanej na wskazanym serwerze.
To, jak zmienić adresy serwerów DNS, zależy od dostawcy domeny, ale nie jest to skomplikowany proces i wymaga jedynie podmiany dwóch adresów.

Pamiętaj: Robiąc to, nie miej włączonego DNSSEC – może to spowodować błędy.

DNS od Cloudflare

Na tym etapie należą ci się wyjaśnienia, dlaczego zanim wyjaśniam, do czego służą podstawowe rekordy DNS, wspominam o zmianie serwera, która nie jest konieczna.

Do zarządzania strefą DNS polecam Cloudflare – to ich sztandarowy produkt. W darmowym pakiecie oprócz zarządzania strefą DNS dostajemy znacznie więcej: ochronę przed DDoS, CDN, różne filtry i zapory, a nawet możliwość hostowania za darmo statycznych stron (tak jak strona, którą właśnie czytasz). Jeżeli to cię nie przekona, to zarządzanie ich strefą DNS jest po prostu łatwiejsze!

Cloudflare to nie jakaś randomowa firma, a kawał globalnego internetu.

Przykład: Weryfikując swoją stronę w Google Search Console, nie musisz dodawać ręcznie rekordu DNS – zrobisz to przez automatyczne przekierowanie do Cloudflare, gdzie tylko zatwierdzisz zmianę!

W przypadku, gdy kupisz domenę w Cloudflare Registrar, domyślnie korzystasz z Cloudflare DNS. Nawet wybranie innego DNS jest bardzo nieoczywiste, ale możliwe. Chociaż nie jestem przekonany, czy ktokolwiek tak robi 🤔.

Rekordy DNS

Rodzajów rekordów DNS jest wiele, ale skupimy się tylko na tych niezbędnych, wykorzystywanych na każdej stronie. Rekordy podzieliłem ze względu na ich wykorzystanie.

Strona internetowa (A, AAAA, CNAME)

• A – to bezpośredni przykład z wspomnianej biblioteki; przypisuje adres IP (IPv4) do domeny.
• AAAA – alternatywnie zamiast rekordu A, jeżeli adres twojego serwera jest IPv6.
• CNAME – pozwala tworzyć przekierowania na poziomie DNS.

Najczęstszym przypadkiem wykorzystania rekordu CNAME jest przypisanie wariantu adresu z prefiksem www do “czystej” domeny, np. www.example.com → example.com.

Rekordy tekstowe (TXT)

Umieszczam je już na drugim miejscu ze względu na ich częste zastosowanie do bardzo różnych celów. Rekord TXT zawiera nic innego jak jakiś ciąg znaków (zwykle maksymalnie 255). Jest wykorzystywany między innymi do:

• Weryfikacji posiadania domeny (np. Google Search Console).
• Dodawania zapisów niezbędnych do dostarczania wiadomości e-mail (SPF, DKIM…).

Jest to często rekord służący do weryfikacji, czy rzeczywiście mamy prawo do legitymowania się daną domeną.

Przykładowa “rozmowa” z jakimś serwisem:

• Hej, moja domena to andrzejrusinowski.pl.
• OK, jeśli to prawda, to dodaj rekord TXT dla moja_usluga.andrzejrusinowski.pl o wartości "unikalny_ciag_znakow_12345".

Serwis sprawdza, czy taki rekord się pojawi. Jeżeli to się stanie, nie musi już wierzyć nam na słowo, że posiadamy taką domenę.

Poczta e-mail (MX, TXT)

Poczta przychodząca i wychodząca przechodzi przez nieco inną drogę, co jest kluczowe do zrozumienia tych zagadnień.

Poczta przychodząca

MX – rekordy wskazują na adresy serwerów odpowiedzialnych za odbieranie poczty. Jest ich kilka, ponieważ uwzględnione są adresy zapasowe (z priorytetami) na wypadek przeciążenia lub awarii – wszystko po to, aby poczta mogła dotrzeć.

Rekord MX wskazuje na adres twojego serwera pocztowego (albo od dostawcy hostingu, albo dedykowanego operatora jak Google Workspace, Zoho czy Proton). Rekordy MX odpowiadają tylko za maile przychodzące i nie są w żaden sposób powiązane ze ścieżką, którą podążają maile wychodzące z twojej domeny.

Wiadomości e-mail są kierowane do jednego dostawcy naraz. Nie ma możliwości kierowania wiadomości w kilka miejsc jednocześnie na poziomie rekordów DNS.

Poczta wychodząca

Poczta wychodząca nie ma dedykowanego typu rekordu. Ścieżka wiadomości przebiega od serwera nadającego wiadomość do serwera określonego przez rekordy MX w domenie adresata, gdzie jest już (zwykle) rozdzielana do konkretnego konta pocztowego. Można więc wyjść od pytania:

Co sprawia, że nie każdy może wysyłać wiadomości w moim imieniu?

Okazuje się, że odpowiedzialność spada na serwer odbierający pocztę – to on musi zweryfikować, czy wiadomość, która do niego dotarła, pochodzi rzeczywiście z danej domeny.
Zapewne pamiętasz, że do takich celów wykorzystuje się rekordy typu TXT. Weźmy pod lupę pierwszy z protokołów weryfikacji:

SPF (Sender Policy Framework)

W tym zapisie (w rekordzie typu TXT) znajdziemy informację o serwerze lub serwerach, które mogą wysyłać wiadomości w imieniu danej domeny. Serwer po otrzymaniu koperty sprawdza, czy adres, z którego wysłano wiadomość, widnieje na liście opublikowanej w rekordzie.

W SPF adres może być podany zarówno w formie adresu IP, jak i domenowej. Czasem jego adres jest taki sam jak ten od poczty odbieranej i wskazuje na jeden z rekordów MX (pod którymi ostatecznie i tak znajduje się adres IP).

Przykład struktury: v=spf1 mx a include:_spf.google.com ~all

Jak widać, na tym etapie łatwo można określić kilka serwerów, które mogą wysyłać maile w naszym imieniu. Możemy do bieżącej komunikacji stosować serwery Google Workspace, a do wysyłania newslettera – innego dostawcę, na przykład MailerLite. Ważne, żeby odpowiednio połączyć wpisy dostarczone przez różnych dostawców usług, żeby nie zablokować sobie możliwości wysyłania z pozostałych serwerów.

DKIM (DomainKeys Identified Mail)

Działa w oparciu o klucz publiczny opublikowany pod jakimś selektorem w rekordzie TXT, na przykład google._domainkey.andrzejrusinowski.pl lub mailerlite._domainkey.andrzejrusinowski.pl (tyle, ilu dostawców, tyle selektorów).
Drugą częścią jest klucz prywatny, wykorzystywany przez nadawcę do stworzenia cyfrowego podpisu załączanego do nagłówka wiadomości e-mail.
Gwarantuje to, że ani część nagłówka, ani treść wiadomości nie zostały podmienione i że zostały wysłane z autoryzowanego źródła. W nagłówku wiadomości e-mail przesyłana jest także informacja o tym, z jakiego selektora ma skorzystać odbiorca do odczytania klucza publicznego.

Kilku nadawców to kilka selektorów. Ich nazwy nie są sztywno ustalone – jedynie nazwa selektora musi być jednakowa u dostawcy i w naszej strefie DNS, np. to_jest_selektor._domainkey.andrzejrusinowski.pl.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

Nie jest to kolejny protokół, a zbiór reguł postępowania i raportowania w przypadku, gdy coś się nie zgadza. W rekordzie pod adresem _dmarc.andrzejrusinowski.pl zawarte są reguły postępowania i adres do raportowania.
Dzięki temu rekordowi skrzynka odbiorcy wie, co zrobić w przypadku, gdy na przykład dostarczona wiadomość została zmieniona.

Takie wiadomości mogą zostać od razu usunięte, poddane kwarantannie (wrzucone do spamu) lub zaakceptowane pomimo nieścisłości.

Rada: Do skonfigurowania adresu raportowania nie podawaj swojej zwykłej skrzynki pocztowej. Skorzystaj z dedykowanego rozwiązania przeznaczonego do przyjmowania raportów. Łatwo zrobisz to w Cloudflare, gdzie niezbędne rekordy DNS zostaną dodane automatycznie po włączeniu opcji w panelu.

Przekierowanie na inny serwer nazw (NS)

Przypuśćmy, że planujesz stworzenie subdomen dla swojej domeny, ale nie chcesz zarządzać wszystkimi w jednej strefie DNS. Załóżmy, że chcesz, żeby adresem sklep.andrzejrusinowski.pl zarządzał twój pracownik odpowiedzialny za sklep. Chcesz, żeby mógł dodawać odpowiednie rekordy, ale żeby nie miał dostępu do twojej głównej strefy DNS.

W takim przypadku wykorzystamy rekord NS, który jest skrótem od Name Server. W ten sposób przekieruje my wszystkie zapytania skierowane do adresów w danej subdomenie do innej strefy DNS.

Konfiguracja tych adresów jest analogiczna jak w przypadku definiowania adresów do naszej oryginalnej strefy DNS, z tą różnicą, że adresy serwera nazw subdomeny dodajemy jako rekordy typu NS.

Propagacja DNS i TTL – dlaczego zmiany nie działają od razu?

Zmiany w DNS nie wchodzą w życie od razu – i nie, to nie czary! Kluczowy jest tu parametr TTL (Time To Live), który określa, jak długo (w sekundach) dane z rekordu DNS są uznawane za aktualne przez serwery i przeglądarki.

TTL jest ściśle związany z pamięcią podręczną, czyli cache’em – a cache to po prostu szybkość. Popularna wartość TTL to 3600 sekund (godzina), ale może być różna w zależności od ustawień.

Tip: Planujesz zmiany w DNS i testujesz różne ustawienia? Ustaw krótszy TTL, np. 300 sekund (5 minut). Dzięki temu zmiany będą widoczne szybciej, bez czekania godzinami.

Do sprawdzania, czy twoje zmiany w DNS już się rozeszły po internecie, polecam narzędzie dnschecker.org.

Uwaga: Nawet jeśli dnschecker pokazuje nowe rekordy, twoja przeglądarka może wciąż używać starej wersji z lokalnego cache’u. W takim przypadku otwórz stronę w trybie incognito – to omija lokalną pamięć podręczną i pokazuje aktualne dane.

Pozostałe rodzaje rekordów, którymi raczej nie musisz znać

Oprócz podstawowych rekordów, o których pisałem wyżej, DNS oferuje wiele innych typów, ale dla typowej strony internetowej lub poczty nie są one niezbędne. Oto krótki przegląd tych mniej powszechnych – możesz je pominąć, chyba że masz specyficzne potrzeby:

• SRV (Service): Służy do wskazywania usług sieciowych, np. dla VoIP (jak SIP) lub Minecrafta. Określa port, protokół i priorytet serwera. Przykład: _sip._udp.example.com wskazujący na serwer do połączeń głosowych.
• PTR (Pointer): Używany do reverse DNS lookup, czyli tłumaczenia adresu IP z powrotem na domenę. Przydatne w walidacji e-maili antyspamowych, ale zwykle zarządzane przez dostawcę hostingu.
• SOA (Start of Authority): To rekord “metadanych” strefy DNS – zawiera informacje o administratorze, numer seryjny strefy i czasy odświeżania. Jest obowiązkowy, ale automatycznie generowany przez większość paneli DNS.
• CAA (Certification Authority Authorization): Określa, które urzędy certyfikacji (CA) mogą wydawać certyfikaty SSL dla twojej domeny. Pomaga w bezpieczeństwie, zapobiegając nieautoryzowanym certyfikatom.
• TLSA (TLSA): Używany z DANE (DNS-based Authentication of Named Entities) do weryfikacji certyfikatów TLS, np. dla bezpieczniejszego SMTP lub HTTPS.
• NAPTR (Naming Authority Pointer): Zaawansowany rekord dla usług jak ENUM (tłumaczenie numerów telefonów na URI), rzadko spotykany w codziennym użytku.

Jeśli nie zajmujesz się zaawansowanymi konfiguracjami (np. chmurą, IoT czy telefonią), te rekordy możesz bezpiecznie zignorować. Jeśli coś pójdzie nie tak z DNS, zawsze sprawdź propagację zmian za pomocą narzędzi jak dig lub dnschecker.org. – zmiany mogą trwać do 48 godzin.

Podsumowanie

DNS to nie magia, a narzędzie do kierowania ruchem w internecie. Rozważ zmianę na cloudflare, skonfiguruj podstawowe rekordy i ciesz się własnym miejscem w sieci

Powodzenia!