Обратная зона ДНС. Так ли она нужна в современных реалиях?
GNU/Linux, UNIX, Open Source → Программное обеспечение
В интернетах пишут, что крайне необходима, но примеры намекают об обратном…
пример: Берем некий абстрактный контакт root at nixp dot ru;). И смотрим, у него почта в домене nixp.ru
Ага определяем имя почтовика:
dig mx nixp.ru +short 10 mail.server.homestyle.ru.
Выясняем адрес почтового сервера
dig mail.server.homestyle.ru +short 212.158.169.249
Проверяем обратную зону
dig 249.169.158.212.in-addr.arpa
; <<>> DiG 9.9.5-3ubuntu0.6-Ubuntu <<>> 249.169.158.212.in-addr.arpa ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39255 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;249.169.158.212.in-addr.arpa. IN A
;; AUTHORITY SECTION: 169.158.212.in-addr.arpa. 1799 IN SOA ns.caravan.ru. dnsmaster.caravan.ru. 2008071052 7200 3600 43200 3600
;; Query time: 138 msec ;; SERVER: 127.0.1.1#53(127.0.1.1) ;; WHEN: Tue Jan 12 16:32:26 MSK 2016 ;; MSG SIZE rcvd: 116
В ответ получаем, что prt записи в зоне 169.158.212.in-addr.arpa которой заведует caravan.ru обратной записи для этого почтовика(ip адреса) нет…
Прочие тесты которые влияют на лояльность приема почты другими серверами:
dig txt nixp.ru +short "v=spf1 ip4:217.23.150.55 mx:mail.server.homestyle.ru -all"
dig txt _domainkey.nixp.ru +short (записи соответствующие запросу отсутствуют) dig txt mail._domainkey.nixp.ru +short (записи соответствующие запросу отсутствуют)
Следовательно, почтовик работает и по всей видимости не только для домена nixp.ru и логично предположить проблем с ним нет (иначе пользователи были б расстроены).
Планирую замутить всвой сервак и внедрить DKMI и SPF, но достаточно ли этого будет? Не хочется пускаться во все тяжкие с провайдером…
Последние комментарии
- OlegL, 17 декабря в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
Многие сервера, при получении почты и неработающей PTR записи на этот домен — автоматом считают сообщение спамом. По крайней мере считали пару лет назад.
Пару лет назад, я тоже это знал твердо. Но может с внедрением DKIM что-то изменилось?
Ладно… Будем попробывать на своем примере, ктому-же запрос на PTR уже отправлен, только не известно сколько ответа ждать. Может успею и без нее потестить…
Если бы не было правил, то был бы хаос, это лирика, к тому что надо начинать построение емайл сервера с тщательного чтения документации а не методом тыка. Если хотите нормальный сервак, то следуйте rfc5321 и особенно тщательно к вашему вопросу: rfc1912 секция 2.1
Как админ емайл серверов могу вас уверить, что попытки отправки почты на легитимные серваки с IP без PTR будут отвергнуты даже без анализа почты. Кстати Гугл начиная с лета 2015 года отказывается принимать почту с IP без корректной реверс зоны даже с IPv6.
В уважающих себя организациях, которые не скупятся на дипломированных специалистов требования к емайл сервакам еще более жестче — если прямая и обратная зона IP не совпадает, то подключающийся IP идет лесом и после многократных попыток идет а бан фаервола.
DKIM и SPF и DMARC — это средство борьбы со спамом и обманом и никак не относится к правилам обмена почтой.
Согласно логам, ~80% спама идет именно с IP у которых нет прямой и/или обратной DNS записи что обычно справедливо для PBL зоны (то есть residential IP- зараженые домашние компы)
Кстати, диамические IP тоже идут лесом…
Может проканать на бесплатных почтовиках, т.к. им плевать на правила, лишь бы как можно больше людей не переживающих за то что их просто трэкают как лаборатоных мышей, но в корпоративах и интерпрайзах — не проканает.
P.S.
Кстати ваш анализ реверс зоны NIXP.RU не верен, ШЗ емайл сервака отвечающего за почту nixp.ru нормално резолвиться:
nslookup 212.158.169.249
Server: 213.186.33.99
Address: 213.186.33.99#53
Non-authoritative answer:
249.169.158.212.in-addr.arpa name = mail.server.homestyle.ru.
Authoritative answers can be found from:
169.158.212.in-addr.arpa nameserver = ns.caravan.ru.
169.158.212.in-addr.arpa nameserver = ns2.caravan.ru.
ns.caravan.ru internet address = 217.23.128.1
ns2.caravan.ru internet address = 217.23.146.1
Используйте nslookup ip.ip.ip.ip
или
dig -x ip.ip.ip.ip
для поиска PTR
Да, rfc вещь обязательная. Просто, уточняю, может что-то упустил. А с почтовиком из примера, немного подумав понял, что почта на нем нужна только для приема входящих сообщений. Отправка с него будет проблематична.