DNS 迁移复盘:避免“复写事故”
DNS 迁移最常见的事故是“把 TXT 复写/截断”,导致 SPF 失效、DMARC 丢失或 DKIM 选择器缺失。 下面是一份可直接执行的 SOP:逐条迁移、双向比对、可回滚。
迁移前后验证(3 秒)
先跑一次体检;迁移完成后再次体检,对比分数与五徽章,并生成 PDF 证据。
Pre‑cut:导出现状与冻结窗口
- 导出 TXT(含子域):避免换行/引号造成格式错误;保存原始快照。
- 冻结窗口:对营销/系统团队设定变更冻结,避免并发修改。
- 设定回滚点:旧供应商配置保留 48–72h 不删。
# 导出关键 TXT(示例)
dig +short TXT example.com
dig +short TXT _dmarc.example.com
dig +short TXT s1._domainkey.example.com
dig +short TXT s2._domainkey.example.com
Cut & Verify:最小变更,逐条验证
- 先创建新记录(SPF/DKIM/DMARC/退订),确认生效,再删除旧记录。
- 对 SPF 使用“受控扁平化”,保持总查询 ≤ 10;对 DKIM 发布双选择器。
- 每条记录完成后,立刻体检并拍下证据(scanId/sha256)。
Post‑cut:观察与回滚
- 传播观察 24–48h:如果地区性解析不一致,延迟清理旧供应商。
- 异常立即回滚:保留的旧记录随时可恢复;配合队列降流。
- 总结“截断/引号/转义”坑位,加入变更清单模板。