What is a DNS A record?

An A record (Address record) maps a domain name to an IPv4 address. When you type a URL, your browser performs a DNS lookup to find the A record and connect to that IP address.

What is the difference between A and AAAA records?

A records map to IPv4 addresses (e.g., 93.184.216.34). AAAA records map to IPv6 addresses (e.g., 2606:2800:220:1:248:1893:25c8:1946). Most modern websites have both.

What is a CNAME record used for?

A CNAME (Canonical Name) record aliases one domain name to another. For example, www.example.com might CNAME to example.com. The browser then looks up the target domain's A record to find the IP address.

Is this tool free to use?

Yes, this tool is completely free with no hidden charges, sign-up requirements, or usage limits. Use it as often as you need.

Questo strumento funziona offline?

No. DNS lookups require a live network connection to the Cloudflare DNS-over-HTTPS endpoint. The UI itself runs in your browser, but the actual DNS query needs internet access.

Ricerca DNS

Interroga i record DNS di qualsiasi dominio tramite DNS-over-HTTPS di Cloudflare.

Nome di dominio

Tipi di record DNS spiegati

A · associa un dominio a un indirizzo IPv4

AAAA · associa un dominio a un indirizzo IPv6

CNAME · alias che punta a un altro dominio

MX · server di scambio email (con priorità)

TXT · testo arbitrario (SPF, DKIM, verifica del dominio)

NS · server di nomi autoritativi per il dominio

SOA · Start of Authority, info del server di nomi principale

PTR · DNS inverso, associa un IP a un dominio

Come funziona

Inserisci un dominio: digita un nome di dominio, inclusi i sottodomini, nel campo.
Seleziona i tipi di record: scegli quali tipi di record DNS interrogare: A, AAAA, MX, CNAME, TXT, NS, SOA o tutti.
Visualizza i risultati: i risultati vengono recuperati da un fornitore DNS-over-HTTPS pubblico e mostrati con i valori TTL e i dati dei record.
Diagnostica problemi: confronta i risultati di diversi tipi di record per identificare configurazioni errate, ritardi di propagazione o record mancanti.

Perché usare il lookup DNS?

I problemi DNS sono tra le cause più comuni di indisponibilità di siti web, fallimenti di consegna email e problemi di migrazione di dominio. Poter interrogare i record DNS direttamente dal browser, senza ricorrere a strumenti da riga di comando come dig o nslookup, è prezioso per sviluppatori, ingegneri DevOps e amministratori di sistema. Questo strumento interroga i record tramite DNS-over-HTTPS per privacy e bypass dei firewall. Usalo per verificare i record MX dopo un cambio di provider email, confermare i record A/CNAME dopo una migrazione DNS, controllare i record TXT per l'autenticazione SPF/DKIM e diagnosticare ritardi di propagazione.

Tipi di record DNS

A, indirizzo IPv4 di un dominio
AAAA, indirizzo IPv6 di un dominio
MX, record dei server di posta per il routing email
CNAME, alias di nome canonico che punta a un altro dominio
TXT, record di testo per SPF, DKIM, verifica del dominio
NS, server di nomi autoritativi per il dominio

40 anni di DNS: da RFC 882 a DNS over QUIC

Il Domain Name System è stato progettato da Paul Mockapetris alla USC/ISI e specificato in RFC 882 e RFC 883 (novembre 1983), sostituendo il file piatto HOSTS.TXT che ARPANET aveva superato. Il sistema è stato rivisto e formalizzato in RFC 1034 e RFC 1035 (novembre 1987), i documenti ancora citati oggi. Jon Postel ha coordinato l'assegnazione dei 13 nameserver root originali, etichettati da a.root-servers.net a m.root-servers.net, un numero fissato non dalla capacità ma dal limite di dimensione del pacchetto UDP di 512 byte dell'epoca. Due grandi shock hanno rimodellato il DNS in questo secolo. Nel luglio 2008, Dan Kaminsky ha divulgato un attacco di cache-poisoning che permetteva agli attaccanti di iniettare record falsificati nei resolver in pochi secondi. L'industria ha risposto con una patch coordinata (randomizzazione della porta di origine) e rinnovato interesse per DNSSEC (RFC 4033-4035, marzo 2005), che firma i record crittograficamente. Il secondo shock è stata la privacy: le query viaggiavano in chiaro sulla porta UDP 53 per 35 anni. DNS over TLS (DoT, RFC 7858, maggio 2016) avvolge le query in TLS sulla porta 853. DNS over HTTPS (DoH, RFC 8484, ottobre 2018) incapsula le query attraverso HTTPS sulla porta 443, nascondendo persino il fatto che il DNS sta avvenendo. DNS over QUIC (RFC 9250, maggio 2022) è il più recente, utilizzando lo stesso trasporto che alimenta HTTP/3. I resolver pubblici 1.1.1.1 (Cloudflare, lanciato il 1° aprile 2018), 8.8.8.8 (Google Public DNS, dicembre 2009) e 9.9.9.9 (Quad9, novembre 2017) supportano tutti DoH e DoT oggi.

Tipi di record in profondità

A (RFC 1035). Indirizzo IPv4 a 32 bit. Un dominio può avere molti record A per il bilanciamento del carico; i resolver ruotano tra di essi (DNS round-robin).
AAAA (RFC 3596, 2003). Indirizzo IPv6 a 128 bit. Pronunciato «quad-A». A partire dal 2024, circa il 45% del traffico di Google è IPv6.
CNAME (RFC 1035). Alias: «segui questo nome e cerca i suoi record invece». Non può coesistere con nessun altro record allo stesso nome. È per questo che example.com non può avere sia un CNAME che un MX o A all'apice; le alternative moderne usano ALIAS o ANAME (specifici del fornitore) o record HTTPS (RFC 9460, 2023).
MX (RFC 1035, aggiornato da RFC 7505 «null MX»). Server di scambio mail con un valore di priorità. Una priorità inferiore è preferita; le parità sono randomizzate. 0 . (RFC 7505, giugno 2015) dice esplicitamente «questo dominio non riceve mail», bloccando lo spam ai domini senza casella postale.
TXT (RFC 1035). Stringhe di testo a formato libero. Ora porta autenticazione critica: SPF (RFC 7208, 2014), DKIM (RFC 6376, 2011), DMARC (RFC 7489, 2015), e verifica della proprietà per Google Search Console, Microsoft 365, sfide ACME (Let's Encrypt) DNS-01.
NS (RFC 1035). Nomi dei nameserver autoritativi. Sempre almeno due per la ridondanza. I «glue record» nella zona padre forniscono IP così un resolver ricorsivo può raggiungere il nameserver senza ricerche circolari.
SOA (RFC 1035). Start of Authority. Singolo record per zona che elenca il nameserver primario, l'email dell'admin (con il primo . sostituito da @), il numero seriale (incrementato sulle modifiche), refresh, retry, expire e TTL minimo.
CAA (RFC 8659, 2019; originariamente RFC 6844, 2013). Certificate Authority Authorisation. Elenca quali CA sono autorizzate a emettere certificati per il dominio. Controllo obbligatorio per i requisiti baseline del CA/Browser Forum da settembre 2017.
SRV (RFC 2782, 2000). Localizzazione del servizio: protocollo, priorità, peso, porta, host di destinazione. Microsoft Active Directory, XMPP, SIP, federazione Matrix utilizzano tutti record SRV per la scoperta del servizio.
PTR (RFC 1035). DNS inverso. Mappa un IP indietro a un dominio. Vive nelle zone in-addr.arpa (IPv4) o ip6.arpa (IPv6). Richiesto da molti mail server per accettare email; un PTR mancante è un segnale spam comune.
DNSKEY / DS / RRSIG (RFC 4034-4035). Impianto DNSSEC. Il DNSKEY pubblica le chiavi di firma della zona; DS nella zona padre è il puntatore crittografico «ecco il prossimo anello della catena»; RRSIG porta la firma effettiva per ogni set di record.

Dove il DNS lookup aiuta davvero

Configurazione email su un nuovo dominio. Verifica che i record MX puntino al provider giusto (Google Workspace aspmx.l.google.com, Microsoft 365 example-com.mail.protection.outlook.com, Fastmail, ProtonMail). Controlla SPF (v=spf1 include:_spf.google.com ~all), DKIM (selector._domainkey), DMARC (_dmarc TXT).
Migrazione del dominio e propagazione. Dopo aver aggiornato i nameserver presso il registrar, interroga sia i vecchi che i nuovi server autoritativi per confermare che la modifica si sia propagata globalmente. Resolver diversi memorizzano nella cache per durate diverse (il TTL è un suggerimento, non un contratto).
Risoluzione dei problemi di certificato TLS / SSL. La sfida ACME DNS-01 usata da Let's Encrypt e simili richiede di posizionare un record TXT su _acme-challenge.example.com. Controlla il valore prima di attivare l'emissione del certificato per evitare sprechi di tentativi di rate-limit.
Rilevamento del rischio di subdomain takeover. Un CNAME che punta a un servizio non registrato (app Heroku eliminata, bucket S3 rilasciato) permette agli attaccanti di registrarlo e servire contenuti sul tuo sottodominio. Un audit CNAME veloce cattura i puntatori penzolanti.
Verifica CDN e bilanciatore di carico. Conferma che un dominio CNAME al giusto endpoint Cloudflare, Fastly, Akamai, CloudFront o Vercel dopo il deploy. Rileva quando staging punta accidentalmente alla produzione.
Confronto DNS geografico. Alcuni siti servono record A diversi per regione (GeoDNS). Interrogare da endpoint DoH diversi (Cloudflare 1.1.1.1 vs Google 8.8.8.8) suggerisce come un utente a Francoforte vs Mumbai vede il sito.
Sicurezza e risposta agli incidenti. Cerca record NS inaspettati (sequestro del registrar), record TXT sospetti o record MX aggiunti recentemente. Usa il numero seriale SOA per tracciare quando una zona è cambiata l'ultima volta.

Errori DNS che rompono siti ed email

CNAME all'apice. RFC 1034 proibisce di mettere un CNAME su example.com stesso (solo su sottodomini come www.example.com). Cloudflare, Route 53, DNSimple lo aggirano con CNAME flattening o record ALIAS; Vercel, Netlify usano record di binding di servizio HTTPS (RFC 9460). Provarlo sul pannello DNS di un registrar basic rompe silenziosamente l'email.
Dimenticare di abbassare il TTL prima di una migrazione. Se il tuo record A ha TTL 86400 (24 ore) e lo cambi la mattina del passaggio, i resolver in tutto il mondo continueranno a distribuire il vecchio IP fino a un giorno. Abbassa i TTL a 300 secondi alcuni giorni prima del cambio.
Record SPF con troppi lookup DNS. RFC 7208 limita SPF a 10 lookup DNS per valutazione. Concatena troppe direttive include: e il tuo record SPF fallisce con permerror, che DMARC tratta come fallimento. Appiattisci o consolida con strumenti come SPF Surveyor.
CNAME penzolante dopo lo smantellamento del servizio. Eliminata l'app Heroku ma il CNAME app.example.com punta ancora a example.herokuapp.com? Chiunque può registrare quel nome di app e ospitare il suo contenuto sul tuo sottodominio. Audita e rimuovi i CNAME orfani.
Nessun record CAA. Senza un record CAA, qualsiasi CA nel WebPKI (~50 in tutto il mondo) può emettere un certificato per il tuo dominio. Blocchialo a una o due CA fidate: 0 issue "letsencrypt.org". Controllo CA obbligatorio da settembre 2017.
Record wildcard che mascherano voci mancanti. Un record A *.example.com fa risolvere ogni sottodominio con errore di battitura, nascondendo errori di configurazione reali. Combina attentamente con regole MX esplicite per evitare spam agli indirizzi con errori di battitura.
Mescolare DNSSEC e zone non firmate durante il cutover. Abilitare DNSSEC presso il registrar prima che i nuovi nameserver servano record firmati produce SERVFAIL per ogni resolver di validazione (Cloudflare 1.1.1.1, Quad9). Firma sempre prima, poi pubblica il record DS.

Altre domande frequenti

Perché questo strumento a volte restituisce risultati diversi da dig?

Due ragioni principali. Primo, questo strumento interroga via DNS over HTTPS attraverso il resolver 1.1.1.1 di Cloudflare, mentre dig sul tuo laptop interroga qualsiasi resolver hai configurato (spesso il tuo ISP). Resolver diversi memorizzano nella cache per durate diverse e possono avere dati obsoleti. Secondo, EDNS Client Subnet (ECS, RFC 7871) invia un suggerimento sulla tua rete ai server autoritativi, che possono restituire risposte personalizzate GeoDNS; Cloudflare 1.1.1.1 rimuove esplicitamente ECS per la privacy, quindi il geo-targeting ti vede come «proveniente da Cloudflare» piuttosto che dalla tua posizione reale. dig +short su un ISP residenziale vedrà spesso il risultato GeoDNS personalizzato.

Qual è la differenza tra resolver autoritativi e ricorsivi?

I resolver autoritativi detengono la copia master di una zona (Cloudflare DNS, Route 53, DigitalOcean DNS, ecc.) e rispondono solo per i domini per cui sono configurati. I resolver ricorsivi (1.1.1.1, 8.8.8.8, il tuo ISP) prendono query dai client e percorrono l'albero DNS per loro conto: root → TLD → autoritativo. Memorizzano nella cache le risposte fino al TTL, ed è per questo che un cambio di record può richiedere tempo per «propagarsi». Questo strumento parla con un resolver ricorsivo (Cloudflare 1.1.1.1), quindi la risposta che vedi è la vista in cache che quel resolver ricorsivo detiene attualmente.

Quanto tempo richiede effettivamente la propagazione DNS?

«Propagazione» è un termine improprio: il DNS non spinge aggiornamenti, i resolver ricorsivi in tutto il mondo semplicemente mantengono copie in cache fino alla scadenza del loro TTL. Se il tuo record A esistente aveva un TTL di 300 secondi, ogni cache si rinfrescherà entro 5 minuti. Se era 86400 (24 ore, un default comune), il caso peggiore è 24 ore. Alcuni resolver mal comportati ignorano il TTL e memorizzano nella cache più a lungo; alcuni browser e sistemi operativi troppo zelanti memorizzano anche localmente (la cache DNS interna di Chrome dura 1 minuto). Abbassa il TTL prima di un cambio pianificato, poi rialzalo dopo.

Il DNS over HTTPS è davvero «privato»?

Nasconde le query al tuo ISP e agli osservatori sul percorso sul Wi-Fi, ma il resolver che scegli può ancora vedere ogni query. La fiducia si sposta dal tuo ISP a chiunque gestisca l'endpoint DoH (Cloudflare, Google, Quad9, NextDNS). Alcuni, come Cloudflare 1.1.1.1, pubblicano audit indipendenti della loro politica no-logs; altri no. DoH non nasconde nemmeno l'indirizzo IP a cui ti connetti alla fine, il campo SNI del tuo successivo handshake TLS rivela il dominio di destinazione agli osservatori di rete, finché ECH (Encrypted Client Hello, RFC 9180) non sarà universalmente distribuito. Al 2024, ECH è supportato da Cloudflare, Firefox, Chrome (dietro un flag) ma non ancora onnipresente.

Perché ho bisogno di una connessione di rete se questo è uno strumento «basato su browser»?

L'interfaccia utente funziona interamente nel tuo browser (nessun codice proprietario sul nostro server), ma il DNS lookup in sé è per definizione un'operazione di rete: interroga un nameserver autoritativo o ricorsivo remoto. Questo strumento invia una singola richiesta HTTPS per lookup all'endpoint DoH pubblico 1.1.1.1 di Cloudflare a cloudflare-dns.com/dns-query. Il dominio che interroghi è visibile a Cloudflare; nient'altro (nessun IP, nessuna impronta) viene inviato.