免费 CNAME检查器 — 查找 CNAME记录和 Alias链

立即检查任何主机名的 CNAME记录，跟踪完整的 alias链，并确认最终解析目标。

为什么 CNAME记录很重要

没有 CNAME验证

服务提供商更改后静默 DNS解决失败
悬挂的 CNAMEs创建可利用的子域接管风险
无法查看 CDN 和电子邮件设置中的多跳 alias链
当 ACME 质询 CNAMEs错误时，SSL证书颁发失败

通过 CNAME验证

每次 DNS更改后确认 alias链正确解析
在攻击者利用悬挂记录之前对其进行审核
CDN、SaaS 和电子邮件身份验证设置的全链可见性
在请求 SSL证书之前验证 ACME 质询 CNAMEs

此 CNAME检查器返回什么

我们执行实时 DNS查找并跟踪从主机名到其最终目标的完整 alias链。

完整的 CNAME链（顺序中的每个 alias跳）

最终解析目标（规范主机名）

状态 — CNAME记录是否存在

没有解释开销的原始 DNS记录

常见 CNAME用例

CNAME记录了最现代基础设施的电力。这是您需要验证它们的时候。

CDN 设置验证

CDN 设置 — 验证您的域是否正确指向 Cloudflare、Fastly或 Akamai

电子邮件提供商身份验证

自定义电子邮件域 - SendGrid、Mailgun和 Amazon SES都需要 CNAME验证记录

SSL证书颁发

SSL证书颁发 — ACME DNS挑战使用 CNAME记录进行域控制验证

SaaS 自定义域

子域委托 - 将tracking.yourdomain.com指向分析提供商

子域名接管审计

SaaS 自定义域 - 在自己的子域上使用您的产品的客户需要 CNAME验证

DNS迁移检查

负载均衡器和运行状况检查 - 在生产中进行流量切换之前验证 CNAMEs

DNS只是基础设施。 EmailVerify.io处理电子邮件质量层。

免费试用 EmailVerify.io

如何读取 CNAME结果

了解结果的每个部分的含义有助于您采取正确的行动。

检查链条

该链按顺序显示每个 alias跳。步骤一指向步骤二，步骤二指向下一步，依此类推。按照箭头了解完整的解决路径。

验证最终目标

最终目标是 A 或 AAAA 记录最终所在的规范主机名。确认它与您的 CDN、电子邮件提供商或 SaaS 的预期端点匹配。

未找到意味着没有 CNAME

如果状态为“未找到”，则主机名直接使用 A 记录或不存在。这是根域所期望的 — 只有子域支持真正的 CNAME记录。

错误表示DNS解析失败

检查主机名拼写并确认该记录存在于您的 DNS提供商的仪表板中。最近更改后，传播延迟 (TTL) 也可能会导致暂时失败。

谁使用 CNAME查找

CNAME检查在开发、DevOps、电子邮件和安全工作流程中很常见。

开发商

开发人员为 SaaS 产品设置自定义域

开发运营工程师

DevOps 工程师在流量切换前验证 DNS更改

电子邮件营销人员

电子邮件营销人员为 ESP 设置发送域 CNAMEs

安全研究人员

安全研究人员检查子域接管漏洞

DNS管理员

域管理员在基础架构迁移后审核 DNS

常见问题

常见问题解答

什么是 CNAME记录？

CNAME（规范名称）记录将一个主机名映射到另一个主机名作为 alias。 CNAME不是像 A 记录那样直接指向 IP 地址，而是表示“此主机名是另一个主机名的 alias”。 DNS解析器遵循该链，直到到达具有实际 IP 地址的记录。

这个 CNAME检查器返回什么？

输入任意主机名，该工具将执行实时 DNS查询，跟踪完整的 CNAME链（按顺序的每个 alias跃点），并返回最终目标主机名。如果该主机名不存在 CNAME，该工具将返回“未找到”状态 - 主机名可能直接使用 A 或 AAAA 记录。

为什么我需要验证 CNAME记录？

在为 CDN（Cloudflare、Fastly）、电子邮件提供商（SendGrid、Mailgun、Amazon SES）、SSL证书颁发（ACME DNS挑战）、SaaS 自定义域和子域委托设置自定义域后，需要进行 CNAME验证。不正确或缺失的 CNAME 会导致服务故障，这些故障通常是无声的，并且在不直接 DNS查找的情况下很难诊断。

什么是“悬空 CNAME”以及为什么它存在安全风险？

悬空的 CNAME指向不再存在的主机名 - 例如，如果您在 Heroku、Azure或 AWS上取消配置服务，但将 CNAME留在 DNS中。攻击者可以在该目标主机名上注册已取消配置的服务并控制您的子域。这称为子域接管，是一个严重的安全漏洞。使用此工具审核废弃的 CNAME。

CNAME链可以有多个跃点吗？

是的。 2-4 跳的 CNAME链在 CDN 和反向代理设置中很常见。例如：blog.example.com→example.cdn-provider.net→edge.cdn-provider.com。 DNS解析器自动遵循链。大多数解析器将链限制为 8-10 跳，以防止无限循环。

根域 (apex) 可以使用 CNAME记录吗？

否 — DNS规范 (RFC 1912) 禁止在区域顶端出现 CNAME记录（例如，没有子域的 example.com）。这是因为 apex 必须具有 SOA 和 NS 记录，它们不能与 CNAME共存。解决方法包括 ALIAS记录 (Route 53)、ANAME记录（某些 DNS提供程序）或 CNAME展平 (Cloudflare)。只有子域才能拥有真正的 CNAME记录。

如何为 SendGrid或 Mailgun设置 CNAME？

SendGrid和 Mailgun都需要 CNAME记录进行域身份验证。在 SendGrid中，转到设置 → 发件人身份验证，添加您的域，然后复制提供的三个 CNAME记录。在 Mailgun中，转到发送 → 域，添加您的域，DNS记录将显示在“DNS要添加的记录”下。将它们添加到您的 DNS提供程序，然后使用此 CNAME检查器确认它们正确解析。

新的 CNAME传播需要多长时间？

当 TTL设置为 300 秒（5 分钟）或更低时，对于大多数解析器，DNS传播通常需要 1-15 分钟。 TTL 为 3600–86400 秒的旧版 DNS配置最多可能需要 24–48 小时才能在全球范围内传播。进行更改后立即使用此检查器 - 如果记录尚不可见，请等待旧的 TTL过期。

CNAME和 A 记录有什么区别？

A 记录将主机名直接映射到 IPv4 地址。 CNAME记录将一个主机名映射到另一个主机名。当服务提供商的 IP 地址频繁更改时，首选 CNAME，因为更新一个 CNAME目标主机名会更新指向它的所有别名。 A记录需要直接IP管理。

该工具是否存储我检查的主机名？

不会。所有 DNS查找都是实时执行的，查询完成后不会保留任何主机名数据。