TXT-запись хранит произвольный текст в DNS зоне домена, доступный для чтения любому резолверу. Это делает её универсальным инструментом верификации и настройки сервисов, которым нужно убедиться, что запрашивающий действительно управляет доменом.
Основные применения
- SPF (Sender Policy Framework): перечисляет IP-адреса, с которых разрешена отправка почты от имени домена. Пример:
v=spf1 ip4:185.10.20.0/24 include:sendgrid.net ~all - DKIM (DomainKeys Identified Mail): публичный ключ для проверки подписи письма. Хранится в поддомене
selector._domainkey.example.com. - DMARC: политика обработки писем, не прошедших SPF/DKIM. Поддомен
_dmarc.example.com. - Верификация сервисов: Google Search Console, Yandex.Webmaster, Cloudflare, Let's Encrypt DNS challenge.
Технические ограничения
Одна TXT-запись хранит до 255 символов в одной строке. Большие значения (например, длинные DKIM-ключи 2048 бит) разбиваются на несколько строк в одной записи. Длина всей записи — до 65 535 байт. Для одного имени может существовать несколько TXT-записей одновременно.
История
TXT-запись определена в RFC 1035 (1987) как общий механизм хранения текстовых данных в DNS. Первоначально использовалась для хранения описательной информации о хосте. С появлением SPF (RFC 4408, 2006), DKIM (RFC 4871, 2007) и DMARC (RFC 7489, 2015) стала критически важной для email-аутентификации.
TXT в хостинге
Добавление TXT-записи — стандартный способ подтвердить владение доменом для получения SSL-сертификата через DNS-challenge. Let's Encrypt создаёт запись вида _acme-challenge.example.com TXT <token>. После проверки запись можно удалить.
TXT-запись для верификации домена
TXT-запись широко используется для подтверждения владения доменом различными сервисами. Google Search Console: добавить TXT-запись вида google-site-verification=Xxxxxyz в корень домена. Let's Encrypt ACME DNS-01 challenge: добавить TXT _acme-challenge.example.com с токеном — ЦС проверяет запись и выдаёт сертификат. Microsoft 365: TXT-запись для верификации при добавлении домена в tenant.
TXT для email-аутентификации
SPF-запись — TXT-запись вида v=spf1 include:_spf.google.com ~all, перечисляющая авторизованные серверы для отправки почты от имени домена. DKIM — TXT-запись с публичным ключом для проверки подписи письма: selector._domainkey.example.com TXT "v=DKIM1; k=rsa; p=MIGf...". DMARC — TXT-запись вида v=DMARC1; p=reject; rua=mailto:report@example.com на _dmarc.example.com.
Все три (SPF, DKIM, DMARC) реализованы через TXT-записи и критичны для доставляемости почты — без них письма с собственного почтового сервера попадают в спам у Gmail и Outlook.
Ограничения TXT-записей
TXT-запись ограничена 255 символами в одной строке (RFC 1035). Для длинных записей используется конкатенация нескольких строк: "строка1" "строка2" — DNS-резолвер автоматически объединяет их. DKIM-ключи RSA-2048 или RSA-4096 часто превышают 255 символов и требуют разбивки. Некоторые DNS-панели делают это автоматически, некоторые — нет. Неправильное деление ключа → сломанный DKIM → письма в спаме.