DNSSECチェッカー:
ドメインのセキュリティを検証

ドメインのDNSSECステータスを数秒以内に確認できます!

DNSSECレコードチェッカー

このツールを使用して、DNSSECレコードを検索し、検証します。

有効なドメイン名を入力してください(http:// プレフィックスなし)。

DNSSECステータス

無効化

レジストラにおけるDNSSEC

無効化

ネームサーバーにおけるDNSSEC

無効化
結果詳細
レジストラのステータス

PowerDMARCでDNSSECを正しく分析する

DNSSECを理解する

DNSSEC(Domain Name System Security Extensions)とは、ウェブサイトの認証シールのような役割を果たすセキュリティ拡張機能です。ブラウザ(例:www.adomainname.com)にウェブアドレスを入力するたびに、不正なウェブサイトではなく、正しいウェブサイトにリダイレクトされることを保証します。

単一のレコードタイプではなく、既存のDNSレコードに暗号署名を追加する拡張機能群である。これにより、DNSデータの信頼性と完全性を確保し、DNSポイズニングやスプーフィングなどのさまざまな攻撃から保護することができます。

以下は主なDNSSECレコードタイプです:

DNSKEY:ゾーン内の他のDNSSECレコードの電子署名を検証するために 使用する公開鍵を含む。   

RRSIG:特定のレコードセット(A、MXなど)のデジタル署名を含む。   

DS:DNSKEYレコードのハッシュ化されたバージョンが含まれ、 委任とトラストアンカーに使用される。   

これらのレコードタイプをDNSゾーンに追加することで、DNSSECはリゾルバがDNS応答の信頼性を検証することを可能にし、ドメイン名解決に高いレベルのセキュリティを提供します。

DNSSEC設定の重要性

DNSSECを使用しないリスク

なりすましのリスク

DNSSECが無効になっているドメインは、ハッカーにとってなりすましの標的になりやすい。

サイバー攻撃のリスク

DNSSECが無効になっているドメインは、DNSスプーフィングや中間者攻撃のようなサイバー攻撃に対してはるかに脆弱です。

評判低下のリスク

DNSSECなしでは、ドメインは風評被害を受けやすく、ユーザーの不信を招きやすい。

DNSSECステータスの確認方法:ステップバイステップ

DNSSECチェッカーツールの使用

当社のDNSSECアナライザツールを使用して、DNSSECがドメインで有効になっているかどうかを簡単に確認できます。DNSSECルックアップのためのこのプロセスは、インスタントで、エラーがなく、当社のツールで最も便利です - 毎回正確な結果を提供します! 

  1. ドメイン名を入力(例:company.com)
  2. 検索」ボタンを押す 
  3. DNSSECの検証結果の分析

コマンドラインツールによるDNSSECのチェック

のようなコマンドラインツールを使うことができる。 Digのようなコマンドラインツールを使ってDNSSECの状態をチェックできますが、このDNSSECのルックアップ処理は自動化ツールを使うよりも少し複雑です。

  1. DigがOSにプリインストールされていない場合はインストールする。
  2. digコマンドプロンプトを開く 
  3. 以下のコマンドを実行する:
    dig +dnssec +multi
  4. アウトプットを分析する

DNSSECが正しく動作していることを確認する

DNSSEC検証結果の解釈

結果 有効

  • DNSSECのステータス有効

  • レジストラのDNSSEC有効(完全署名)

  • ネームサーバーのDNSSEC:有効

説明:このドメインのDNSSECセットアップですべてが実行されているようです。DNSSECはレジストラとネームサーバーの両方のレベルで有効化され、ドメインはDNSSEC署名で保護されています。これは、このドメインに対するすべてのDNSリクエストが正確に認証され、応答が本物で信頼できることを保証していることを示しています。

結果 無効

  • DNSSECのステータス:無効

  • レジストラのDNSSEC無効(符号なし)

  • ネームサーバーのDNSSEC:無効

説明:レジストラとネームサーバーの両方のレベルで無効になっているため、ドメインのDNSSEC設定が正しく機能していません。このドメインには、DNSクエリの真正性を検証するためのDNSSEC署名がありません。ドメインのDNSシステムのセキュリティを強化するには、DNSSECを有効にすることをお勧めします。

DNSSEC検証の失敗と解決策

1.記録の欠落または誤り

あなたの公開SPFレコードの存在をチェックする。

問題:DS (Delegation Signer)レコードまたはDNSKEYレコードが見つからない、設定ミス、またはエラーが含まれている。これは信頼の連鎖の破壊につながり、結果としてDNSSECの検証失敗の原因となる。

ソリューション:エラーのないDSレコードとDNSKEYレコードを編集して設定してください。

2.DNSSECが正しく設定されていない

複数ルックアップの検出

問題:DNSSECはレジストラとネームサーバーの両方で正しく設定されている必要があります。どちらかで設定されていない場合、DNSSECの検証は失敗し、ドメインのDNS解決の問題を引き起こす可能性があります。

ソリューション:レジストラとネームサーバーの両方でDNSSECを確認し、設定する。

3.期限切れのDNSSEC署名

構文エラーを通知

問題:DNSSEC署名(RRSIG)の有効期限が過ぎ、検証に失敗しました。

ソリューション:自動化されたソフトウェアツールを使用して、有効期限が切れる前にDNSレコードに再署名する。

4.不一致のDSレコード

エラーの迅速な修正を支援

問題親ゾーンと子ゾーンのDNSKEYのDSレコードが不一致で、DNSSECの検証に失敗する。

ソリューション:両方のゾーンのDSレコードが一致し、整列していることを確認してください。

DNSSEC実装を成功させるためのその他のヒント

スムーズなロールアウトのために、以下の追加ヒントを考慮することができます:

  • まずダミー環境でDNSSECのセットアップをテストする

  • 重要でないドメインには、初期段階でDNSSECを導入する。

  • 非推奨のDNSSECアルゴリズムを使用しない

  • オンラインツールでキーローテーションを自動化

  • DNSSECを定期的にテストし、正しく機能していることを確認する。

ブランドの乱用や詐欺を防ぎ、メールチャネルを完全に把握する準備はできていますか?