DNS er internettets telefonbog. Det er det system, der sørger for, at når nogen skriver din virksomheds domæne i browseren, lander de på din hjemmeside — og at dine e-mails finder vej til de rigtige indbakker.
Det er også et system, som de fleste virksomhedsejere aldrig tænker over. DNS blev sat op engang, det virker, og så rører man det ikke. Problemet er bare, at DNS-fejl sjældent annoncerer sig selv. De arbejder i det stille. Dine mails ender i spam uden at du ved det. Din hjemmeside loader langsomt fra bestemte lokationer. Dine sikkerhedsforanstaltninger har huller, du ikke kan se.
Her er de hyppigste DNS-fejl, der koster danske virksomheder kunder — og hvad du kan gøre ved dem.
E-mail-leveringen: Når dine mails aldrig når frem
De fleste DNS-relaterede problemer, der rammer virksomheder, handler om e-mail. Ikke fordi e-mail-systemet er nede, men fordi det *næsten* virker — nok til at du ikke opdager problemet, men ikke nok til at dine mails konsekvent når modtagerens indbakke.
Manglende eller forkert SPF-record. SPF (Sender Policy Framework) fortæller modtagende mailservere, hvilke servere der har lov til at sende mail på vegne af dit domæne. Uden en korrekt SPF-record kan din mail blive afvist eller markeret som spam. En typisk fejl er at glemme at tilføje alle de tjenester, der sender mail for dig — dit nyhedsbrevssystem, dit CRM, dit fakturasystem. Hver gang du tilføjer en ny tjeneste, skal SPF-recorden opdateres.
Manglende DKIM-signering. DKIM (DomainKeys Identified Mail) tilføjer en kryptografisk signatur til dine udgående mails. Det beviser, at mailen faktisk kommer fra dit domæne og ikke er blevet ændret undervejs. Mange virksomheder springer DKIM over, fordi det kræver, at man tilføjer en specifik DNS-record og aktiverer signeringen hos sin mailudbyder. Men uden DKIM mister du troværdighed hos modtagerens spamfilter.
Ingen DMARC-politik. DMARC bygger oven på SPF og DKIM og fortæller modtagende servere, hvad de skal gøre med mails, der fejler kontrollen. Uden DMARC er der ingen instruks — og de fleste servere vælger oftest at levere mailen til spam eller blokere den helt. En korrekt DMARC-record giver dig også rapporter om, hvem der forsøger at sende mail fra dit domæne, hvilket er uvurderligt i forhold til at opdage misbrug.
Resultatet af disse tre fejl tilsammen? Dine tilbud, ordrebekræftelser og kundesvar ender i spam hos Gmail, Outlook og andre store mailudbydere. Du mister kunder uden at vide det, fordi de aldrig ser din mail.
Hjemmesiden: Når den er langsom — eller helt væk
DNS-fejl, der påvirker din hjemmeside, er typisk mere synlige, men ikke altid.
Forkerte A- eller CNAME-records. Hvis din A-record peger på en forkert IP-adresse — for eksempel en gammel server, du er flyttet væk fra — viser din hjemmeside enten ingenting eller en gammel version. Det sker oftest i forbindelse med serverskift eller hosting-ændringer, hvor DNS-opdateringen bliver glemt eller udført forkert.
For høje TTL-værdier. TTL (Time To Live) bestemmer, hvor længe DNS-opslag caches, før de opdateres. En TTL på 86.400 sekunder (24 timer) betyder, at hvis du laver en ændring, kan det tage op til et døgn, før alle besøgende ser den. Det er uproblematisk til daglig, men ved en akut fejl — eksempelvis et serverskift under nedetid — kan en høj TTL betyde, at din side er utilgængelig i timer, selv efter du har rettet fejlen.
Manglende redundans. Hvis du kun har én nameserver konfigureret, og den går ned, er dit domæne uopløseligt. Ingen hjemmeside, ingen mail, ingenting. De fleste professionelle udbydere kører mindst to nameservere, men det er værd at verificere.
Sikkerhed: De åbne døre, du ikke kan se
DNS-sikkerhed bliver ofte overset, fordi angreb mod DNS sjældent er synlige for slutbrugeren — indtil skaden er sket.
Manglende DNSSEC. DNSSEC beskytter mod DNS-spoofing, hvor en angriber omdirigerer trafik fra dit domæne til en ondsindet server. Uden DNSSEC kan dine kunder i teorien sendes til en falsk version af din hjemmeside uden at vide det. For .dk-domæner understøtter Punktum dk DNSSEC, men det kræver, at din udbyder også understøtter det og har aktiveret det korrekt.
Eksponerede interne records. Nogle virksomheder har DNS-records, der afslører intern infrastruktur — servernavne, IP-adresser på interne systemer, testmiljøer. Det er ikke en direkte sårbarhed, men det giver potentielle angribere et kort over din infrastruktur, som de ikke burde have.
Ubrugte records, der ikke er ryddet op. Gamle MX-records, der peger på servere, du ikke længere kontrollerer. CNAME-records til tjenester, du har opsagt. Disse efterladte records kan i værste fald udnyttes til at opsnappe mail eller overtage subdomæner.
DNS-tjekliste: Det bør du verificere
En årlig gennemgang af din DNS-opsætning tager typisk under en time og kan spare dig for problemer, der ellers vokser i det stille. Her er hvad du bør kontrollere:
E-mail-autentificering: – SPF-record er til stede og inkluderer alle tjenester, der sender mail for dig – DKIM er aktiveret og DNS-recorden matcher din mailudbyder – DMARC-record er sat op med minimum `p=none` for at modtage rapporter
Hjemmeside og drift: – A- og CNAME-records peger på de korrekte, aktuelle servere – TTL-værdier er sat fornuftigt (3.600 sekunder er en god standard) – Mindst to nameservere er konfigureret
Sikkerhed: – DNSSEC er aktiveret hos både registrar og nameserver-udbyder – Ingen gamle, ubrugte records ligger og samler støv – Ingen interne servernavne eller testmiljøer er eksponeret
De fleste af disse punkter kan du tjekke via gratis onlineværktøjer som MXToolbox eller DNSChecker. Men selve ændringerne kræver adgang til en DNS-administrationsgrænseflade, der giver dig fuld kontrol — noget du eksempelvis finder hos udbydere som netsite.dk/domaene/
, der tilbyder detaljeret DNS-styring direkte i kontrolpanelet.
DNS er ikke noget, du sætter op én gang
DNS-opsætningen er ikke statisk. Hver gang du skifter mailudbyder, tilføjer en ny tjeneste, ændrer hosting eller opdaterer din infrastruktur, skal DNS-records opdateres tilsvarende. Og hver gang de ikke gør det, risikerer du de stille fejl, der koster kunder uden at give dig en fejlmeddelelse.
Sæt en årlig DNS-gennemgang i kalenderen. Behandl det som du behandler andre kritiske systemer i din virksomhed — med opmærksomhed og regelmæssig vedligeholdelse. Det tager kort tid, og det kan spare dig for problemer, der ellers er svære at diagnosticere, når de først opstår.