Kyberturvallisuus

Mikä on DNS — pk-yrityksen opas ilman insinöörisanastoa

DNS selkokielellä pk-yrittäjälle: mitä A-, MX- ja TXT-tietueet tarkoittavat, miksi sähköposti tai sivu ei toimi, ja miksi propagation-viive on usein myytti. Suomi 2026.

Olli Junes · · 9 min

DNS on yksi niistä asioista jonka pk-yrittäjän on pakko ymmärtää vaikka ei haluaisi. Joka kerta kun sivu ei lataudu, sähköposti ei kulje tai joku väittää että yritykseni nimissä lähetetään huijausviestejä, vastaus löytyy lähes aina DNS-asetuksista. Hyvä uutinen on että perusteet voi oppia parissa kymmenessä minuutissa, eikä insinöörisanastoa tarvita. Käydään läpi mikä DNS on, mitä eri tietuetyypit tekevät ja miten arkipäivän ongelmat liittyvät niihin.

Lyhyt analogia — DNS on internetin puhelinluettelo

Tietokoneet eivät puhu nimillä vaan numeroilla. Kun avaat selaimeen yritys.fi, selain ei oikeasti tiedä mistä sivu löytyy — se tarvitsee IP-osoitteen, joka on muotoa 185.159.159.140. DNS (Domain Name System) on järjestelmä joka kääntää nimet numeroiksi.

Vertaus puhelinluetteloon on tarkka: domain-nimi vastaa yrityksen nimeä, IP-osoite vastaa sen puhelinnumeroa. Ilman luetteloa et soittaisi yhtään numeroa, koska et muistaisi sitä ulkoa. Internet toimii samoin. DNS-järjestelmä on hajautettu kymmenille tuhansille palvelimille ympäri maailmaa, ja jokainen niistä pitää välimuistissa tietoa joka vanhenee säännöllisin väliajoin.

DNS kehitettiin vuonna 1983. Siitä lähtien sitä on rakennettu lisäpaloilla ja paikkauksilla, ja siksi siinä on yhä jälkiä ajalta jolloin tietoturva ei ollut prioriteetti. Oletuksena DNS-kyselyt kulkevat verkossa salaamattomana, eikä vastausten aitoutta voida helposti varmistaa ilman erillistä DNSSEC-laajennusta.

Tärkeimmät tietuetyypit selkokielellä

DNS-tietue (record) on yksi rivi tietoa domainin asetuksissa. Tyyppi kertoo mitä rivi tarkoittaa, ja arvo kertoo mihin se osoittaa. Pk-yrittäjän kannattaa tunnistaa nämä:

A-tietue yhdistää domainin IPv4-osoitteeseen. Tämä on yleisin: kun joku avaa yritys.fi, A-tietue kertoo selaimelle minkä palvelimen IP-osoitteeseen mennä. Esimerkki: yritys.fi → 185.159.159.140.

AAAA-tietue tekee saman IPv6-osoitteille. IPv6 on uudempi standardi jossa osoitteet ovat pidempiä ja sisältävät kirjaimia, esimerkiksi 2001:db8::8a2e:370:7334. Suomessa IPv6-tuki on hyvällä tasolla mobiiliverkoissa, ja moderni webhotelli tarjoaa AAAA-tietueet oletuksena.

MX-tietue (Mail Exchange) kertoo internetille mihin palvelimeen sähköpostit pitää toimittaa. Jos käytät Google Workspacea, MX-tietueesi osoittavat Googlen palvelimiin. Jos käytät Microsoft 365:tä, ne osoittavat Microsoftin. Jos käytät webhotellin sähköpostia, ne osoittavat webhotellin omiin sähköpostipalvelimiin.

CNAME-tietue on alias: se ohjaa yhden nimen toiseen. Tyypillinen esimerkki on www.yritys.fi joka CNAME-tietueella osoittaa yritys.fi:hin. Tämä on miksi sivu yleensä aukeaa sekä www-etuliitteellä että ilman.

TXT-tietue on vapaamuotoista tekstiä. Sitä käytetään nykyään pääasiassa kahteen asiaan: sivuston omistajuuden vahvistamiseen palveluissa (Google Search Console, Microsoft 365) ja sähköpostin tietoturvaan. Sähköpostiin liittyvät TXT-tietueet ovat:

  • SPF (Sender Policy Framework) listaa IP-osoitteet joilla on lupa lähettää sähköpostia yrityksesi nimissä.
  • DKIM (DomainKeys Identified Mail) sisältää julkisen avaimen jolla vastaanottaja varmistaa että viesti on aito eikä peukaloitu.
  • DMARC kertoo vastaanottajalle mitä tehdä viesteille jotka eivät läpäise SPF- tai DKIM-tarkistusta.

NS-tietue (Name Server) kertoo mitkä palvelimet ylläpitävät domainisi DNS-tietueita. Tämä on hierarkian kärki: muutos NS-tietueisiin siirtää koko DNS-hallinnan toiselle palveluntarjoajalle.

SOA-tietue (Start of Authority) sisältää domainin hallinnolliset perustiedot. Sitä ei muokata käsin paitsi erikoistapauksissa.

TTL (Time to Live) on jokaisen tietueen sivuominaisuus. Se kertoo sekunteina kuinka kauan internet-operaattorit pitävät tiedon välimuistissa ennen kuin tarkistavat sen uudelleen. TTL:llä on iso vaikutus siihen kuinka nopeasti muutokset näkyvät, mutta tähän palataan kohta.

Kolme tyypillistä ongelmaa pk-yrittäjälle

1. Miksi sivuni ei lataudu?

Jos sivusto ei aukea ja saat selainvirheen "tämän sivuston IP-osoitetta ei löytynyt" tai "DNS_PROBE_FINISHED_NXDOMAIN", kyse on lähes aina DNS-virheestä. Tyypilliset syyt: A-tietue puuttuu, se osoittaa vanhalle palvelimelle palveluntarjoajan vaihdon jälkeen, tai domain on vanhentunut etkä saanut muistutusviestiä koska se meni roskapostiin.

Tarkista ensin että domain on yhä voimassa (Traficomin WhoIs tai webhotellisi paneeli). Sen jälkeen tarkista A-tietue: jos käytät komentoriviä, dig yritys.fi A kertoo nykyisen osoitteen. Selaimella sama löytyy esimerkiksi mxtoolbox.com-palvelusta. Vertaa tulosta siihen mihin sivuston pitäisi osoittaa.

Yleisin sokea piste on tilanne jossa kotisivu siirretään uuteen webhotelliin mutta A-tietue jää osoittamaan vanhalle. Vanha palvelin on jo sammutettu, joten sivu ei lataudu, vaikka uusi webhotelli on valmis ja odottaa.

2. Mihin sähköposti menee?

Jos asiakkaiden viestit eivät tule perille tai ne kimpoavat takaisin "user unknown" -virheellä, syy on yleensä MX-tietueessa. Sama riski toistuu joka kerta kun joku vaihtaa webhotellia: uusi tarjoaja asettaa omat oletukset MX-tietueille (osoittaen omiin sähköpostipalvelimiinsa), mutta yrityksen sähköpostit kulkevatkin Google Workspacen kautta. Lopputulos: sähköpostit menevät webhotellin tyhjään postilaatikkoon eivätkä koskaan Googlen palvelimille.

Säilytä aina nykyiset MX-tietueet ennen palveluntarjoajan vaihtoa. Kirjoita ne ylös tai ota kuvakaappaus. Vaihdon jälkeen kopioi ne identtisinä uudelle DNS-isännälle, ennen kuin teet muita muutoksia.

3. Miksi nimissämme lähetetään spämmiä?

Tämä on yllättävän yleinen tilanne. Asiakas tai yhteistyökumppani soittaa ja kertoo saaneensa epäilyttävän viestin yrityksesi osoitteesta, vaikka kukaan teiltä ei ole sitä lähettänyt. Syy on lähes aina sama: SPF-, DKIM- ja DMARC-tietueet puuttuvat, joten kuka tahansa internetin rikollinen voi väärentää lähettäjäosoitteen ja vastaanottavat sähköpostipalvelimet uskovat viestin aidoksi.

Korjaus on ilmainen ja kestää pari tuntia. Lisää SPF-tietue joka listaa sähköpostipalvelusi (Google, Microsoft, webhotelli), aktivoi DKIM allekirjoittaminen kyseisestä palvelusta ja lisää DMARC-tietue politiikalla p=quarantine tai p=reject. Tämän jälkeen rikollisten on huomattavasti vaikeampi käyttää domainiasi väärin. PowerDMARC:n helmikuussa 2024 julkaiseman tutkimuksen mukaan 54 prosenttia suomalaisista domaineista on yhä kokonaan ilman DMARC:ia, joten muutos asettaa sinut välittömästi etujoukkoon. Tarkemmat ohjeet löydät artikkelista SPF, DKIM ja DMARC — pk-yrittäjän opas suojattuun sähköpostiin.

Rekisteröijä, DNS-isäntä ja kuka oikeasti hallinnoi

Yksi sekaannuksen aiheuttaja on että DNS-asetusten hallinta voi olla useammassa paikassa kuin pk-yrittäjä luulee. Käytännössä rooleja on kaksi:

Rekisteröijä on taho jolle maksat domainin vuosimaksun. Suomalaisten .fi-domainien kohdalla rekisteröijä on jokin Traficomin hyväksymä välittäjä (esim. Domainkeskus, Hostingpalvelu, Louhi). Rekisteröijän tehtävä Traficomin suuntaan on yksi: ilmoittaa NS-tietueet, eli mistä DNS-tiedot löytyvät.

DNS-isäntä on palvelu jossa varsinaisia A-, MX- ja TXT-tietueita hallitaan. Se voi olla sama kuin rekisteröijä, mutta se voi olla myös täysin erillinen taho. Esimerkiksi yritys voi ostaa domainin Domainkeskukselta mutta hallita DNS-tietueita Cloudflaressa, jolloin Domainkeskuksen NS-tietueet osoittavat Cloudflaren palvelimille.

Tämä jako on tärkeä, koska se selittää miksi DNS-tietueiden muokkaaminen voi tuntua katoavalta. Yrittäjä kirjautuu rekisteröijän paneeliin, muokkaa tietueita, mutta mikään ei muutu. Syy: NS-tietueet osoittavat toiselle palveluntarjoajalle, joten muutos pitää tehdä siellä. Tarkista aina ensin mihin NS-tietueet osoittavat (dig yritys.fi NS) ennen kuin yrität muokata muita tietueita.

Propagation-viive — myytti ja todellisuus

Yleinen neuvo on että DNS-muutokset "vaativat 24–48 tuntia päivittyäkseen koko maailmaan". Tämä on suurelta osin vanhentunutta tietoa, jota toistetaan koska se on turvallinen oletus. Todellisuus määräytyy TTL-arvon mukaan.

Jos vanhan A-tietueen TTL on 86400 sekuntia (24 tuntia), niin operaattorit voivat oikeutetusti pitää vanhaa tietoa välimuistissa kokonaisen vuorokauden. Tällöin muutoksen näkyminen kaikkialle voi todella kestää lähes 48 tuntia, jos huomioidaan eri operaattorien ajoituserot. Jos taas TTL on 300 sekuntia (5 minuuttia), muutos on käytännössä globaali viidessä minuutissa.

Käytännön resepti tärkeää siirtoa varten: vuorokautta ennen palvelimen vaihtoa laske vanhan A-tietueen TTL pieneksi, esimerkiksi 300 sekuntiin. Tieto pienestä TTL:stä leviää maailmaan ensin omalla vanhalla TTL:llään. Kun siirron hetki koittaa, vaihda A-tietueen arvo, ja koko internet näkee muutoksen alle kymmenessä minuutissa. Kun siirto on todettu vakaaksi, voit nostaa TTL:n takaisin tunteihin tai päivään.

Yksittäiset operaattorit rikkovat joskus standardeja ja pitävät tietoja välimuistissaan pidempään kuin TTL antaisi olettaa. Tämä on harvinaista, mutta selittää miksi joku yksittäinen käyttäjä voi yhä päätyä vanhalle sivulle muutaman tunnin ajan.

DNSSEC ja miksi se kannattaa

DNS-vastausten väärentäminen on ollut historiallisesti yksi vakavimmista internet-uhista, koska oletusprotokolla ei sisällä keinoa varmistaa vastauksen aitoutta. Jos hyökkääjä pystyy myrkyttämään operaattorin DNS-välimuistia, hän voi ohjata yrityksesi liikenteen omaan palvelimelleen. Tämä on harvinaista mutta tuhoisaa: hyökkääjä näkee kaiken liikenteen, sähköpostit kulkevat hänen kauttaan, ja sertifikaatteja voidaan myöntää hänen palvelimelleen.

DNSSEC (DNS Security Extensions) lisää DNS-vastauksiin kryptografisen allekirjoituksen. Operaattorit voivat varmistaa että vastaus on oikeasti tullut domainin hallinnoijalta. Suomessa DNSSEC on tuettu .fi-domaineilla, ja sen päälle laittaminen on tyypillisesti yhden napin painallus hallintapaneelissa. Lue tarkemmin: DNS-asetukset ja DNSSEC pk-yritykselle 2026.

Yhteenveto: viisi sääntöä jotka säästävät tuntikausia

Jos muistat nämä viisi asiaa, säästät itseltäsi tunteja vianetsintää tulevaisuudessa:

  1. Tunne MX-tietueesi. Kirjoita ne ylös ja varmista että ne säilyvät jokaisen palveluntarjoajan vaihdon yli.
  2. Aseta SPF, DKIM ja DMARC. Ilman näitä kuka tahansa voi väärentää nimesi sähköposteissa.
  3. Tarkista NS-tietueet ensin. Jos muokkaukset eivät tunnu vaikuttavan, hallinta on todennäköisesti toisaalla.
  4. Laske TTL ennen siirtoa. Vuorokautta etukäteen 5 minuuttiin, niin vältät käyttökatkon.
  5. Aktivoi DNSSEC. Yksi napin painallus, joka sulkee yhden vakavan hyökkäysvektorin.

Kun nämä viisi ovat kunnossa, olet pidemmällä kuin valtaosa suomalaisista pk-yrityksistä. Resahost-paketeissa SPF, DKIM, DMARC ja DNSSEC ovat oletuksena valmiina, ja MX-tietueet siirretään puolestasi vaihdon yhteydessä. Lue lähestymistavasta tarkemmin Yhden oven mallin manifestista.

Aiheeseen liittyviä artikkeleita: SPF, DKIM ja DMARC -opas, Oma domain sähköpostiin — yhdistäminen vaihe vaiheelta ja Kuinka saada yrityksen sähköpostiosoite.