網域名稱系統(DNS,Domain Name System)是一套分散式的命名系統,負責把人類好記的網域名稱(例如 www.example.com)轉換成電腦可讀的 IP 位址(例如 203.0.113.10 或 2001:db8::1),讓使用者只要輸入網址就能連到網站,不必背一長串數字。DNS 是整個網際網路運作的基石,也與網站速度、電子郵件、SSL 憑證與資安息息相關。本文將從運作原理、記錄類型、重要性到 DNSSEC 與加密查詢等最新發展完整說明,並補充台灣中小企業實際會遇到的設定情境。
一、什麼是 DNS?
DNS(網域名稱系統)是一套分散式的命名系統,作用是把人類好記的網域名稱轉換成電腦實際用來連線的 IP 位址。您可以把它想成網際網路的電話簿:人記得住的是「公司名稱」(網域名稱),但電話系統真正撥接的是「電話號碼」(IP 位址),而 DNS 就是負責查號的那本簿子。
當您在瀏覽器輸入一個網址,DNS 會在背後查出該網域名稱對應的 IP 位址,再把結果交給瀏覽器,瀏覽器才能連到正確的伺服器。IP 位址有兩種格式:較舊但仍最普遍的 IPv4(例如 203.0.113.10),以及位址數量近乎無限的 IPv6(例如 2001:db8::1)。
203.0.113.10 與 2001:db8::1 是專供文件示範用的保留位址,並非真實網站。要特別留意,像 192.168.x.x、10.x.x.x 這類是「私有位址」,只能在家用或公司內網使用,無法直接對應到對外公開的網站。
二、DNS 如何運作?
一次完整的 DNS 查詢,是由遞迴解析器依序向根伺服器、TLD 伺服器、權威伺服器逐層詢問,最後取得 IP 位址的過程。整個流程通常在數十毫秒內完成,使用者完全感覺不到。以下是查詢 www.example.com 時背後發生的四個步驟:
- 遞迴解析器(Recursive Resolver)當您輸入網址時,由電信業者或公共 DNS(如 Google 8.8.8.8、台灣 TWNIC 的 Quad 101)提供的遞迴解析器負責代為查詢,並把最終結果回傳給您。
- 根名稱伺服器(Root Nameserver)解析器先詢問根伺服器。根伺服器不知道完整答案,但知道該往哪個頂級網域(如
.com、.org、.tw)伺服器去問。 - TLD 名稱伺服器根伺服器把請求導向對應的 TLD(頂級網域)伺服器,例如負責
.com或.tw的伺服器,它會指出該網域的權威伺服器位置。 - 權威名稱伺服器(Authoritative Nameserver)最後由權威伺服器給出
www.example.com真正對應的 IP 位址,解析器取得後回傳給瀏覽器,連線即可建立。
三、常見的 DNS 記錄類型
DNS 透過不同的「記錄類型」來描述各種設定,網站經營最常用到的是 A、AAAA、CNAME、MX、TXT、NS 與 CAA 七種。了解這些記錄,在換主機、設定郵件或申請 SSL 憑證時就能看懂設定畫面在做什麼。
| 記錄類型 | 用途說明 | 常見情境 |
|---|---|---|
| A 記錄 | 把網域名稱指向一個 IPv4 位址。 | 把 example.com 指到網站主機。 |
| AAAA 記錄 | 把網域名稱指向一個 IPv6 位址。 | 支援 IPv6 的主機環境。 |
| CNAME 記錄 | 把一個網域名稱指向「另一個網域名稱」。 | 把 www 指向主網域、串接 CDN 服務。 |
| MX 記錄 | 指定負責收發該網域電子郵件的郵件伺服器。 | 設定 Google Workspace、Microsoft 365 收信。 |
| TXT 記錄 | 儲存文字資訊,常用於網域驗證與郵件防偽。 | SPF、DKIM、DMARC 防詐騙、平台所有權驗證。 |
| NS 記錄 | 指定該網域的權威名稱伺服器是哪幾台。 | 把網域 DNS 託管轉到 Cloudflare 等服務。 |
| CAA 記錄 | 指定哪些憑證機構(CA)才能為此網域簽發 SSL 憑證。 | 強化 HTTPS 安全、防止憑證被冒簽。 |
四、DNS 對網站經營的重要性
DNS 不只是「查 IP」,它同時支撐了網站連線、電子郵件、負載平衡與資安,是中小企業日常維運中容易忽略卻牽一髮動全身的環節。以下幾個常見情境,是台灣中小企業最常實際碰到 DNS 的時候。
1. 更換網站主機
當您把網站搬到新主機,必須在 DNS 把 A 記錄(或 NS 記錄)改成新主機的位址。由於有 TTL 快取與傳播時間,建議在搬遷前先把 TTL 調短,並預留數小時到一天的緩衝,避免部分使用者連到舊主機。
2. 電子郵件能否正常收發
公司信箱(如使用 Google Workspace 或 Microsoft 365)能否收信,取決於 MX 記錄是否設定正確;而要避免公司網域被冒名寄詐騙信、提升信件送達率,則需要正確設定 SPF、DKIM、DMARC 等 TXT 記錄。
3. 用 BIMI 在收件匣顯示品牌標誌
BIMI(Brand Indicators for Message Identification,品牌指示訊息識別)是一種以 DNS 記錄為基礎的電子郵件標準,能讓您的品牌標誌顯示在 Gmail、Apple Mail、Yahoo 等支援的收件匣中,出現在寄件者名稱旁,取代原本的空白頭像,藉此提升信任感與開信率。它建立在前述的 DMARC 之上——必須先把 DMARC 政策設為強制執行(p=quarantine 或 p=reject),再發布指向 SVG 標誌的 BIMI 記錄;要在 Gmail 顯示標誌(含藍色驗證勾號)還需取得 VMC 或 CMC 認證憑證。對重視品牌、電子報或交易信量大的中小企業,BIMI 是值得評估的進階選項。
4. 速度、穩定與資安
DNS 的分散式與 Anycast 架構,讓查詢能就近回應、分散流量,提升速度與抗 DDoS 攻擊的能力。許多 CDN 與防護服務也是透過 DNS(CNAME 或 NS)串接。值得一提的是,在 AI 搜尋時代,ChatGPT、Perplexity 等服務的爬蟲與一般使用者一樣,都得先靠 DNS 解析才能連到您的網站;DNS 一旦不穩,使用者與 AI 爬蟲都會吃閉門羹。對需要長期經營品牌的網站而言,穩定可靠的 DNS 是基礎建設。
五、DNS 的最新發展與安全趨勢
近年 DNS 的發展重心在「防偽造」與「保護隱私」,主要包含 DNSSEC、加密查詢(DoH/DoT)以及更安全的網域管理機制。傳統 DNS 查詢以明文傳輸、也缺乏來源驗證,因此容易被竄改或竊聽,這些新技術正是為了補足這些缺口。
1. DNSSEC:防止 DNS 被竄改
DNSSEC(DNS 安全擴充)替 DNS 回應加上數位簽章,讓解析器能驗證資料確實來自正牌權威伺服器,未被中途竄改,可有效防範「DNS 快取污染」與網域劫持。台灣的 .tw 網域由 TWNIC(財團法人台灣網路資訊中心)管理,已支援 DNSSEC,建議向您的 DNS 服務商確認是否已啟用。
2. 加密查詢 DoH 與 DoT:保護查詢隱私
傳統 DNS 查詢是明文,路徑上的人能看到您正在連哪些網站。DoH(DNS over HTTPS)與 DoT(DNS over TLS)把查詢內容加密,防止竊聽與中間人竄改。目前 Chrome、Firefox 等主流瀏覽器都已預設或內建支援 DoH,這也是整個網路朝「全程加密」演進的一環。
3. 新型 HTTPS/SVCB 記錄:更快、更安全的連線
HTTPS 與 SVCB 是近年才標準化的新型 DNS 記錄(RFC 9460),也是 DNS 二十多年來首批全新的記錄類型。傳統上瀏覽器只能先查 A/AAAA 記錄拿到 IP,再逐步協商連線方式;HTTPS 記錄則讓 DNS 在連線「之前」就一次告知更多資訊,例如直接啟用 HTTP/3(QUIC)、把 http 升級為 https、攜帶 ECH(加密用戶端問候)金鑰,甚至在主網域層級做別名指向(這是 CNAME 做不到的)。結果是更少往返、更快的連線速度與更好的隱私。目前 Chrome、Firefox、Safari 等主流瀏覽器都已支援,許多 CDN 與主機商也開始提供,是 DNS 與 HTTPS 一同朝「更快、更私密」演進的代表。
4. 更安全的網域管理
除了協定層的強化,網域管理本身也越來越重視防護。例如 Registry Lock(註冊鎖)可防止網域記錄被未經授權地修改;搭配第三章提到的 CAA 記錄限制憑證簽發,能進一步降低網域與品牌被冒用的風險。
