DNS Health Check: Diagnóstico Completo de la Configuración DNS

Por qué un DNS Health Check regular es esencial

La configuración DNS es como los cimientos de un edificio: cuando funciona, nadie se da cuenta, pero cuando falla, todo deja de funcionar. Un problema DNS puede hacer inaccesible el sitio web, bloquear la entrega de correos, impedir el funcionamiento de las APIs y comprometer el acceso a cualquier servicio dependiente del dominio. El DNS Health Check analiza sistemáticamente cada aspecto de la configuración DNS, identificando problemas potenciales antes de que causen impactos visibles.

Los problemas DNS son a menudo insidiosos: pueden ser intermitentes (dependen de qué nameserver se consulta), geográficamente limitados (un problema visible solo desde ciertas regiones), o latentes (configuraciones erróneas que funcionan por coincidencia pero que se manifestarán en el próximo cambio). Un chequeo regular, idealmente automatizado y al menos mensual, es la mejor prevención contra interrupciones DNS imprevistas.

Qué verifica el DNS Health Check

$ dns-check --domain esempio.com

[NS]     ✓ 3 nameserver attivi, tutti rispondono
[SOA]    ✓ Serial coerente su tutti i NS
[A]      ✓ Record A presente, TTL 3600
[MX]     ✓ 2 mail server, priorità corrette
[SPF]    ✓ Record SPF valido, 6/10 DNS lookup
[DMARC]  ✓ Policy p=reject attiva
[DNSSEC] ✗ DNSSEC non configurato
[GLUE]   ✓ Glue record coerenti
[OPEN]   ✓ Nameserver non sono open resolver

Score: 92/100 — Buono (DNSSEC consigliato)

El chequeo analiza múltiples aspectos: verifica que todos los nameservers respondan y devuelvan los mismos registros (coherencia), comprueba que la delegación en el TLD coincida con los NS en la zona, verifica el número de serie SOA en todos los NS, comprueba la presencia de registros esenciales (A, MX, SPF, DMARC), evalúa la configuración DNSSEC, e identifica configuraciones potencialmente riesgosas como nameservers que actúan como open resolvers.

Resolver los problemas identificados

Para los problemas de coherencia entre nameservers, verifica que la sincronización entre primario y secundario funcione comprobando los parámetros SOA con SOA Lookup. Si el número de serie es diferente entre los NS, la transferencia de zona podría estar bloqueada por un firewall o una configuración AXFR/IXFR errónea. Para la delegación incorrecta, actualiza los registros NS en el registrar del dominio y verifica que la propagación se complete con DNS Propagation.

DNSSEC siempre se señala como advertencia si no está configurado. DNSSEC añade firmas criptográficas a los registros DNS, previniendo el envenenamiento de caché y la suplantación DNS. La implementación requiere la generación de claves, la firma de la zona y la publicación de registros DS en el TLD. Muchos proveedores DNS gestionan DNSSEC automáticamente con un solo clic. El riesgo principal es una rotación de claves mal gestionada que invalida toda la zona — por eso muchos operadores prefieren no activarlo en dominios no críticos.

Integra el DNS Health Check con Domain Health para un control que cubra no solo DNS sino también correo, SSL, cabeceras de seguridad y rendimiento web. Un dominio sano necesita cimientos DNS sólidos, y el DNS Health Check es la herramienta específica para garantizarlos. Después de cada migración, actualización de nameservers o cambio significativo, ejecuta un chequeo completo para confirmar que todo esté en orden.