Czy mój dostawca usług internetowych zniekształcił mój rekord wstecznego wyszukiwania DNS dla pojedynczego statycznego adresu IP?

26

Podjąłem się zadania prowadzenia małego serwera e-mail, a świat spamu sprawia, że ​​staje się on trudniejszy dla osoby, ponieważ wiele MTA jest bardzo paranoicznych w zakresie przyjmowania wiadomości e-mail.

Myślę, że skonfigurowałem prawie wszystko, co może być problemem: komercyjny certyfikat SSL, DKIM, odpowiednią domenę i statyczny adres IP. Mój (piddly) e-mail faktycznie wychodzi prawie cały czas. Ale najbardziej paranoiczne MTA wciąż odrzucają mój e-mail - na przykład Craigslist - i wydaje się, że to moje odwrotne wyszukiwanie z winy.

Niedawno zmieniłem mój statyczny adres IP i moją usługę u mojego usługodawcy internetowego. Kiedy to zmienili, próbowałem poprawnie to skonfigurować, ale obawiam się, że tak nie jest. Ale nie jestem w 100% pewien, co jest nie tak lub jak powinien wyglądać mój rekord.

Szczególnie nie chcę zwracać się do mojego dostawcy usług internetowych z postawą „Spójrz, nie wiem na czym polega problem, ale i tak musisz go naprawić”. Jeśli jest jakiś problem, chcę móc dokładnie opisać, co to jest, zanim zadzwonię do NOC. O ile wiem, nie oferują do tego panelu sterowania, więc nie chcę próbować niczyjej cierpliwości z próbą i błędem.

OK, szczegóły, zredagowane i fikcyjne, ale spójne:

Domain:                      funkeedomain.org
Mailserver (DNS MX record):  mx.funkeedomain.org
Static IP address:           111.222.333.444
Static IP address reversed:  444.333.222.111
FQDN originally requested of the ISP for reverse lookups: main.funkeedomain.org

Oto typowe powiadomienie o odrzuceniu z mojego serwera poczty (hMailServer):

Your message did not reach some or all of the intended recipients.

   Sent: Thu, 12 Jan 2017 11:53:50 -0800 (PST)
   Subject: Blah blah blah

The following recipient(s) could not be reached:

[email protected]
   Error Type: SMTP
   Remote server (64.235.154.109) issued an error.
   hMailServer sent: .
   Remote server replied: 550 permanent failure for one or more recipients ([email protected]:550 Sender IP reverse lookup rejected)

hMailServer

Komercyjny moduł sprawdzający wysyłanie wiadomości e-mail mówi mi:

main.funkeedomain.org.333.222.111.in-addr.arpa          Failed - No A Record Found in DNS

Tak dobrze. Co mówią mi narzędzia DNS?

stew@griffin:~$ host 111.222.333.444
444.333.222.111.in-addr.arpa domain name pointer main.funkeedomain.org.333.222.111.in-addr.arpa.

stew@griffin:~$ dig -x 111.222.333.444
; <<>> DiG 9.10.3-P4-Ubuntu <<>> -x 111.222.333.444
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16150
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;444.333.222.111.in-addr.arpa.   IN      PTR

;; ANSWER SECTION:
444.333.222.111.in-addr.arpa. 86365 IN   PTR     main.funkeedomain.org.333.222.111.in-addr.arpa.

;; Query time: 0 msec
;; SERVER: 10.0.0.4#53(10.0.0.4)
;; WHEN: Thu Jan 12 19:09:11 PST 2017
;; MSG SIZE  rcvd: 93

Z lektur przykładów (na przykład http://www.gettingemaildelivered.com/how-to-set-up-reverse-dns-rdns ), mam silne wrażenie, że jest to źle, a mój zapis wsteczny utworzony przez mojego dostawcę usług internetowych powinien być PTR na „main.funkeedomain.org”, NIE „main.funkeedomain.org.333.222.111.in-addr.arpa”.

Czy mam rację, że tak myślę? Czego powinienem się spodziewać w swoim wstecznym zapisie, jeśli nie to, co znajdę?


Dziękuję wszystkim, którzy odpowiedzieli, i mojemu edytorowi gramatyki post-post.

Odpowiedzi zarówno HBruijna, jak i Andrew B. były poprawne, ale wydaje się, że chcą, abym wybrał HBruijna, który jest również krótszy, i tak też mam.

Musiałem zadzwonić nie mniej niż pięć razy, aby rozwiązać ten problem. Posiadanie w 100% dokładnej diagnozy z pewnością było kluczem do pomyślnego przejścia tego na ślepo do 3 poziomów eskalacji - nigdy nie pozwolono mi rozmawiać bezpośrednio z działem DNS.

Jeszcze raz dziękuję.

StewLG
źródło
10
Zasadniczo w przypadku problemów z DNS używanie rzeczywistej domeny pomaga społeczności znacznie łatwiej rozwiązywać problemy.
HBruijn
1
Google weryfikuje również rekord PTR. Nie jestem pewien, dlaczego nazywacie to paranoikiem; zatrzymuje bardzo dużą ilość spamu.
Michael Hampton
1
Dużo się dyskutuje na temat używania oficjalnych domen przykładowych, a nie przypadkowych nazw. Skoro ukrywasz adres IP, zgaduję, że nazwa, której używasz, nie jest też rzeczywistą domeną?
JDługosz
xxxxxxxxxxxxxxx
StewLG

Odpowiedzi:

33

444.333.222.111.in-addr.arpa. 86365 IN PTR main.funkeedomain.org.333.222.111.in-addr.arpa.

Wydaje się, że w danych odwrotnej strefy DNS ktoś zapomniał dodać kropkę końcową .do nazwy hosta, aby wskazać, że jest to w pełni kwalifikowana nazwa hosta. W skróconym DNS do każdej prostej nazwy hosta dołącza się $ ORIGIN.

Prawidłowe dane strefy to

444.333.222.111.in-addr.arpa. 86365 IN   PTR     main.funkeedomain.org.

lub w skrócie DNS możesz opcjonalnie pominąć $ORIGINnp . 333.222.111.in-addr.arpa:

444                           86365 IN   PTR     main.funkeedomain.org.
HBruijn
źródło
49

Przyjrzyj się bliżej sekcji odpowiedzi:

;; ANSWER SECTION:
444.333.222.111.in-addr.arpa. 86365 IN   PTR     main.funkeedomain.org.333.222.111.in-addr.arpa.

W szczególności wartość rekordu PTR:

main.funkeedomain.org.333.222.111.in-addr.arpa.

Twój dostawca Internetu zapomniał dodać kropkę końcową do Twojej nazwy FQDN. Powoduje to, że oprogramowanie DNS dołącza nazwę pliku strefy na końcu danych.

Powiedz im, aby ponownie spojrzeli na twój odwrotny rekord DNS, wspomnij o kropce końcowej, a jeśli będą mieli dla nich jakiś sens, będą dokładnie wiedzieć, co zrobili źle.

Andrew B.
źródło
Jeśli bierzesz udział w pytaniach dotyczących gorącej sieci, proszę głosować HBrujin zamiast tego. Ta odpowiedź jest już w mojej pierwszej piątce wszechczasów i robi się trochę głupia. (@HBrujin w twojej kampanii wojny psychologicznej, abym żałował, że odpowiedziałem na to 60 sekund przed pracą)
Andrew B
Jeśli uważasz, że to źle, spójrz na moje 5 najlepszych odpowiedzi w StackOverflow. Tylko # 2 jest dość interesującym IMHO.
Barmar
@AndrewB Mam już uprawnienia moderatora, możesz wziąć punkty, aby uzyskać własne supermoce następnego poziomu o 20 tys.
HBruijn
1

Oprócz poprawienia wpisu wstecznego (patrz odpowiedzi Andrew B i HBruijna), wygląda na to, że twoje wpisy do przodu mogą być również mylone. Jeśli nazwa hosta serwera to main.funkeedomain.org, nie powinieneś również angażować mx.funkeedomain.org; zamiast tego powinieneś mieć rekord typu „MX” wskazujący od funkeedomain.org do main.funkeedomain.org oraz rekord „A” wskazujący od main.funkeedomain.org do 111.222.333.444. Zasadniczo chcesz, aby wyszukiwania do przodu wyglądały tak:

$ host -t mx funkeedomain.org
funkeedomain.org mail is handled by 10 main.funkeedomain.org.
$ host main.funkeedomain.org
main.funkeedomain.org has address 111.222.333.444

Rekordy w pliku strefy powinny wyglądać mniej więcej tak:

funkeedomain.org.       MX 10 main.funkeedomain.org.
main.funkeedomain.org.  A 111.222.333.444

Lub mogą mieć niejawną nazwę strefy (funkeedomain.org), na co wskazuje brakujący „”. (jak podejrzewa Andrew B problem z zapisem wstecznym):

     MX 10 main.funkeedomain.org.
main A 111.222.333.444

... lub dowolną liczbę innych wariantów.

Gordon Davisson
źródło
MX jest tutaj nieodpowiedzialny, ponieważ dotyczy tylko poczty przychodzącej. Aby zostać uznanym za źródło poczty wychodzącej, PO powinien sprawdzić, czy istnieje zgodność między (1) fqdn jego MTA emitowanym jako powitanie EHLO, (2) fqdn uzyskany z wyszukiwania odwrotnego DNS adresu IP, którego używa MTA oraz (3) adres IP, na który ten fqdn rozpoznaje adres DNS. Aby uniknąć nieporozumień, dodatkowo lepiej jest unikać wielu rekordów PTR i / lub wielu rekordów A związanych z ip / fqdn ...
Hagen von Eitzen