DNS 記錄白話教學:A、CNAME、MX、TXT、SPF、DKIM 完全拆解(附 Exchange Online 配置範例)
搞網絡管理或者 IT 基建,一定會遇到 DNS 設定。但 A record、CNAME、MX、TXT、SPF、DKIM 呢堆術語,搞到好多人頭都大晒。今日就用最貼地嘅比喻,一次過講清楚每種 DNS 記錄係咩嚟,再用配置 Microsoft Exchange Online 做實例,等大家明白點樣應用。
👉 延伸閱讀:Microsoft 365 E7 全面解構:十年最大授權變革、Copilot + Agent 365 捆绑方案全分析
## 0️⃣ Name Server(NS Record)— 地址簿管理員
### 白話解釋
「邊個地址簿講嘅先算數」。Name Server 係整個 DNS 系統嘅起點,負責儲存你個域名嘅所有 DNS 記錄(A、CNAME、MX、TXT 等等)。
### 實際比喻
想像你想搵某間公司嘅資料:
– 你先問「邊本地址簿有呢間公司嘅資料?」
– Name Server 就話你知:「去某某圖書館搵啦」
– 你再去某某圖書館,先搵到具體門牌地址(A record)、郵局地址(MX record)等等
### Exchange Online 應用
當你註冊一個域名(例如 contoso.com),你要指定 Name Server:
“`
類型:NS
主機:@
指向:ns1.godaddy.com
指向:ns2.godaddy.com
“`
或者如果你用 Azure DNS:
“`
類型:NS
主機:@
指向:ns1-01.azure-dns.com
指向:ns2-01.azure-dns.net
“`
### 常見 Name Server 供應商
| 供應商 | NS 地址例子 |
|——–|————-|
| GoDaddy | ns01.domaincontrol.com, ns02.domaincontrol.com |
| Cloudflare | alex.ns.cloudflare.com, lara.ns.cloudflare.com |
| Azure DNS | ns1-01.azure-dns.com, ns2-01.azure-dns.net |
| AWS Route 53 | ns-123.awsdns-01.com |
| 香港寬頻 | ns01.hkbnes.net |
### ⚠️ 重要提醒:改 NS 記錄的影響
– 改 Name Server = 換地址簿
– 新地址簿必須包含晒所有 DNS 記錄(A、MX、CNAME 等),否則會斷服務!
– 傳播時間最長(24-48 小時),因為要全球 DNS 伺服器更新
### 配置 Exchange Online 時的 Name Server
如果你跟 Microsoft 指引設定 DNS,但發現 MX、CNAME 記錄「改唔到」,好大可能係你冇權限改現有嘅 Name Server。要:
1. 登入你買域名嘅地方(GoDaddy、HKDNR 等)
2. 改 NS 記錄指向你用緊嘅 DNS 供應商
3. 先至可以喺該度加 MX、CNAME 等記錄
—
## DNS 係咩?簡單比喻:互聯網地址簿
想像你要寄信去一間公司,但你淨係知道公司名,唔知實際地址點去。DNS(Domain Name System)就係幫你將「公司名」(域名)翻譯成「門牌地址」(IP 地址)嘅系統。當你打 www.google.com,DNS 就會話俾你知要去邊個 IP 地址搵部伺服器。
## 1️⃣ A Record(Address Record)— 門牌號
### 白話解釋
將域名直接指向一個 IP 地址(一串數字)。最基礎、最直接嘅「地址對應」。
### 實際例子
“`
www.contoso.com → 40.112.72.205
“`
當用戶打開瀏覽器入 www.contoso.com,電腦就會連去 40.112.72.205 呢個伺服器。
### Exchange Online 應用
雖然 Exchange Online 唔會直接用 A record 指去郵件伺服器(因為用 CNAME 同 MX),但如果你有公司網站,就會用 A record 指向 Web server:
“`
@ (根域名)→ 40.112.72.205
www → 40.112.72.205
“`
## 2️⃣ CNAME(Canonical Name)— 暱名 / 別名
### 白話解釋
一個域名跳轉去另一個域名,唔係直接指 IP,而係指「另一個域名」。
### 實際例子
“`
autodiscover.contoso.com → autodiscover.outlook.com
mail.contoso.com → contoso.mail.protection.outlook.com
“`
### Exchange Online 應用(重點!)
**Autodiscover CNAME** — Outlook 自動設定必備:
“`
類型:CNAME
主機:autodiscover
指向:autodiscover.outlook.com
TTL:3600
“`
用戶開 Outlook 設定電郵戶口時,唔使手動入伺服器地址,Outlook 會自動搵到正確嘅 Microsoft 365 伺服器。
## 3️⃣ MX Record(Mail Exchange)— 郵局地址
### 白話解釋
專門指定「收信地址」。告訴全世界:「寄畀我哋公司嘅電郵,請送去邊個郵局(伺服器)」。
### 實際例子
“`
contoso.com → contoso-com.mail.protection.outlook.com
優先級:0
“`
### Exchange Online 應用(關鍵!)
“`
類型:MX
主機:@
指向:contoso-com.mail.protection.outlook.com
優先級:0
TTL:3600
“`
**優先級數字**:數字越小越優先。通常會設兩個 MX 記錄做備援:
– Priority 0:主要伺服器
– Priority 10:後備伺服器(主要故障時先用)
當有人寄信去 someone@contoso.com,郵件會自動轉送去 Microsoft 365 嘅郵件閘道處理。
## 4️⃣ TXT Record(Text Record)— 備註欄
### 白話解釋
放文字資料嘅欄位,主要用於驗證同安全設定。
### Exchange Online 應用
**A. 域名擁有權驗證(設 Exchange Online 第一步)**:
“`
類型:TXT
主機:@
值:MS=ms12345678
TTL:3600
“`
Microsoft 會俾你一串獨特號碼,證明你真係擁有 contoso.com 呢個域名。
**B. SPF 記錄(見下面)**
## 5️⃣ SPF(Sender Policy Framework)— 寄件人白名單
### 白話解釋
「呢啲郵局先可以代表我哋公司寄信」。防止人扮你公司發 phishing 郵件嘅安全機制。
### 運作原理
當 Gmail 收到一封聲稱來自 contoso.com 嘅郵件,會查 DNS:
– ✅ 如果係授權伺服器寄出 → 通過
– ❌ 如果係可疑伺服器寄出 → 標記為垃圾郵件
### Exchange Online 配置
“`
類型:TXT
主機:@
值:v=spf1 include:spf.protection.outlook.com -all
TTL:3600
“`
**拆解**:
– `v=spf1`:SPF 版本 1
– `include:spf.protection.outlook.com`:允許 Microsoft 365 伺服器代寄
– `-all`:其他所有來源都拒絕(防止冒充)
**常見錯誤**:唔好超過 10 個 DNS lookup,否則會有「SPF PermError」!
## 6️⃣ DKIM(DomainKeys Identified Mail)— 數碼簽名 / 防偽印章
### 白話解釋
幫封郵件「蓋火漆印」:
1. 證明封信真係你寄(身份驗證)
2. 證明封信中途冇俾人開過或改過(完整性)
### 運作原理
“`
寄件:你的伺服器 → 幫郵件「蓋印」(數碼簽名)→ 寄出
收件:對方伺服器 → 檢查「火漆印」→ 用「印鑑簿」(Public Key)核對
“`
「印鑑簿」儲存在你嘅 DNS 入面,任何人都可以查閱。
### Exchange Online 配置(兩步驟)
**第一步:Admin Center 啟用 DKIM**
1. 登入 Microsoft 365 Defender portal
2. Email & Collaboration → Threat Policies → DKIM
3. 揀你的域名 → Enable
**第二步:加 DKIM CNAME 記錄(DNS)**
**Selector 1**:
“`
類型:CNAME
主機:selector1._domainkey
指向:selector1-contoso-com._domainkey.microsoft.com
TTL:3600
“`
**Selector 2**:
“`
類型:CNAME
主機:selector2._domainkey
指向:selector2-contoso-com._domainkey.microsoft.com
TTL:3600
“`
**點解有兩條?** 輪流使用,更新時唔會斷服務。
## 📋 Exchange Online 完整 DNS 配置表
| 類型 | 名稱 | 值 / 指向 | 用途 |
|——|——|———–|——|
| **NS** | @ | `ns1.godaddy.com`, `ns2.godaddy.com` | 指定邊個 DNS 伺服器管理你個域名 |
| **TXT** | @ | `MS=ms12345678` | 驗證域名擁有權 |
| **MX** | @ | `contoso-com.mail.protection.outlook.com` (Priority 0) | 指定收信伺服器 |
| **CNAME** | autodiscover | `autodiscover.outlook.com` | Outlook 自動設定 |
| **TXT** | @ | `v=spf1 include:spf.protection.outlook.com -all` | 防止冒充寄件人 |
| **CNAME** | selector1._domainkey | `selector1-contoso-com._domainkey.microsoft.com` | DKIM 公鑰 1 |
| **CNAME** | selector2._domainkey | `selector2-contoso-com._domainkey.microsoft.com` | DKIM 公鑰 2 |
## 🔧 進階:DMARC(可選但強烈建議)
SPF + DKIM 做好之後,加埋 DMARC 先係完整:
“`
類型:TXT
主機:_dmarc
值:v=DMARC1; p=quarantine; rua=mailto:dmarc@contoso.com
TTL:3600
“`
**解釋**:
– `p=quarantine`:驗證失敗就放去垃圾郵件箱
– `p=reject`:更嚴格,直接拒收
– `rua=`:定期寄報告去指定電郵
## ⚠️ 重要提醒
### DNS 傳播時間
改完 DNS **唔係即刻生效**!要等 5 分鐘至 48 小時(視乎 TTL 設定)。如果啱啱改完就測試,可能會以為設定錯咗。
### 驗證工具
– MXToolbox(https://mxtoolbox.com/)— 檢查 MX、SPF、DKIM、DMARC
– Google Admin Toolbox — 檢查郵件 headers
– Microsoft 365 系統管理員中心 — 內建域名健康檢查
### 常見錯誤
1. **改錯 Name Server**:改完 NS 記錄,但新 DNS 供應商冇加晒所有記錄,搞到斷服務
2. **SPF 太長**:超過 10 個 DNS lookup 會出 PermError
3. **DKIM Selector 錯字**:複製貼上時容易打錯,要仔細核對
4. **MX 優先級**:數字越小越優先,唔好搞亂
5. **CNAME 衝突**:一個域名唔可以同時有 CNAME 同其他記錄(如 MX)
## 🎯 總結
| 記錄 | 比喻 | 主要用途 |
|——|——|———|
| **NS** | 地址簿管理員 | 指定邊個 DNS 伺服器講嘅先算數 |
| **A** | 門牌號 | 網站 → IP 地址 |
| **CNAME** | 暱名 | 跳轉去另一個域名 |
| **MX** | 郵局地址 | 指定收信伺服器 |
| **TXT** | 備註欄 | 驗證、說明 |
| **SPF** | 寄件人白名單 | 防止冒充 |
| **DKIM** | 火漆印 | 驗證身份 + 完整性 |
搞掂 DNS 設定,Exchange Online 就成功一半!希望呢篇教學幫到大家。
—
**延伸閱讀:**
– [Microsoft 365 DNS 設定官方指南](https://docs.microsoft.com/microsoft-365/admin/get-help-with-domains/create-dns-records-at-any-dns-hosting-provider)
– [SPF 記錄語法詳解](https://mxtoolbox.com/spf.aspx)
– [DKIM 驗證工具](https://mxtoolbox.com/dkim.aspx)
**相關產品:** Microsoft 365 Business Standard | Exchange Online | Azure DNS | GoDaddy DNS | Cloudflare DNS
#DNS #ExchangeOnline #Microsoft365 #SPF #DKIM #MX #CNAME #NS #NameServer #IT教學 #網絡管理 #域名設定
