SOA: el documento de identidad de la zona DNS
El registro SOA (Start of Authority) es el primer y más importante registro de cada zona DNS. Contiene los metadatos fundamentales que gobiernan el funcionamiento de la zona: quién es el nameserver primario, quién es el administrador, el número de serie que rastrea los cambios, y los parámetros que regulan la sincronización entre nameserver primario y secundarios. Cada zona DNS debe tener exactamente un registro SOA — es obligatorio según las especificaciones RFC.
Aunque a menudo es ignorado por los administradores que se centran en registros A, MX y CNAME, el registro SOA tiene un impacto directo en la velocidad de propagación de los cambios DNS y en la resiliencia del sistema. Parámetros SOA mal configurados pueden causar retrasos en la propagación, zonas DNS desactualizadas en los nameservers secundarios, y en casos extremos la pérdida de autoridad de los nameservers secundarios.
Anatomía del registro SOA
El número de serie es un contador que se incrementa con cada modificación a la zona. Los nameservers secundarios comparan el serial del primario con el suyo: si el del primario es mayor, descargan la nueva versión de la zona (transferencia de zona). La convención más extendida es el formato YYYYMMDDNN (fecha + número secuencial), pero cualquier número entero creciente funciona. Si olvidas incrementar el serial después de una modificación, los secundarios no se actualizan.
Refresh indica cada cuántos segundos el nameserver secundario verifica si el serial del primario ha cambiado. Retry es el intervalo entre intentos si el refresh falla. Expire es el tiempo máximo tras el cual, si el primario es inalcanzable, el secundario deja de responder por la zona (considerándola obsoleta). El campo Minimum TTL (o Negative Cache TTL) indica durante cuánto tiempo los resolvers almacenan en caché las respuestas negativas (NXDOMAIN — dominio inexistente).
Valores SOA recomendados
Los valores óptimos dependen del contexto. Para zonas con cambios frecuentes: Refresh 300-900s, Retry 60-300s. Para zonas estables: Refresh 3600-7200s, Retry 900s. Expire debe ser siempre mucho mayor que Refresh (7-14 días) para garantizar que los secundarios sigan sirviendo la zona durante interrupciones prolongadas del primario. Un Negative Cache TTL de 3600s es un buen valor predeterminado — demasiado alto y los subdominios eliminados permanecen como "fantasmas" demasiado tiempo.
Usa SOA Lookup para verificar los parámetros de tu zona y compararlos con las mejores prácticas. Combina la verificación con NS Lookup para comprobar que los nameservers listados en el SOA coincidan con los efectivamente delegados, y con DNS Health Check para un control completo de la coherencia de la zona. El SOA rara vez es la causa directa de problemas visibles para los usuarios, pero parámetros incorrectos pueden amplificar el impacto de otros problemas.
Un detalle que a menudo confunde es el formato del correo del administrador en el SOA: admin.ejemplo.com no es una URL sino una dirección de correo electrónico donde el primer punto sustituye a la @. Así, admin.ejemplo.com corresponde a admin@ejemplo.com. Si la dirección contiene un punto antes de la @, se escapa con barra invertida: mario\.rossi.ejemplo.com corresponde a mario.rossi@ejemplo.com. Este formato heredado es una de las peculiaridades del DNS heredadas de los años 80.