Ist es schlecht, wenn das Reverse-DNS für zwei IPs auf denselben Domainnamen verweist?

9

Ich bin gerade dabei, einen neuen Server für meine Webanwendung einzurichten (die Site wird verschoben, nicht für den Lastenausgleich oder ähnliches), der eine andere IP-Adresse als mein vorhandener Server hat. Auf meinem aktuellen Server ist ein Reverse-DNS-PTR-Eintrag eingerichtet, der seine IP auf mydomain.com verweist. Ist es schlecht, einen Reverse-DNS-PTR-Eintrag für die neue IP einzurichten, die auch auf mydomain.com verweist? Oder sollte ich warten, bis ich meine Migration durchgeführt habe, um den Datensatz einzurichten?

Update : Ich habe vergessen zu erwähnen, dass der A-Eintrag für mydomain.com auf die IP-Adresse des alten Servers verweist, nicht auf die neue, wenn es darauf ankommt.

Daniel Vandersluis
quelle
Mir ist nicht klar, welchen Dienst Ihr System gerade ausführt. Sie sagen Domain, sprechen Sie von einem Webserver? Der PTR-Datensatz wird für HTTP kaum verwendet, daher spielt es wahrscheinlich überhaupt keine Rolle. Eine falsche OTOH-PTR-Konfiguration kann E-Mails ernsthaft beschädigen.
Zoredache
Beide Server sind Webserver, die auch E-Mails senden und empfangen (weshalb ich gefragt habe)
Daniel Vandersluis
2
Ausgehende E-Mails vom neuen Server ziehen Spam-Punkte an. Zum Beispiel markiert SpamAssasin E-Mails mit "RDNS_NONE" (Wird von einem Host ohne rDNS an das interne Netzwerk übermittelt). Dies ist sogar dann der Fall, wenn der neue Server, der eine E-Mail sendet, über die richtigen umgekehrten DNS verfügt. Der Grund dafür ist, dass die URL dieser IP nicht zugeordnet ist.
Robino
Zu Ihrer Information, die Punktzahl, die Sie dafür erhalten, ist -1,274. Wenn Ihre E-Mails also auf keine andere Weise Spam sind, werden Sie es wahrscheinlich nicht einmal bemerken.
Robino

Antworten:

9

Wenn es für Sie als vorübergehende Lösung geeignet ist, sollte es durchaus akzeptabel sein. Ich kann mir nicht viele Szenarien vorstellen, in denen mehrere PTR-Einträge mit demselben Hostnamen technische Probleme verursachen.

Ein mögliches Szenario wäre die E-Mail-Zustellung auf dem neuen Server. Zumindest, wenn die Vorwärtssuche auf den alten Server aufgelöst wird. Fickle Mail-Server bouncen E-Mails, ohne dass Hostnamen / IPs in beide Richtungen aufgelöst und übereinstimmen können.

Abgesehen davon, und ich versuche es wirklich, fällt mir nichts ein. Wenn es mehr gibt, ist es wahrscheinlich wie oben von begrenztem Umfang.

Warner
quelle
Was ist, wenn Sie 100 Mailserver haben (es ist also ausfallsicher), möchten Sie nicht, dass alle Server mit der richtigen PTR antworten?
Alexis Wilke
5

Wenn Sie zwei IP-Adressen haben, die in denselben Domänennamen aufgelöst werden, können Sie nicht für beide Forward Confirmed Reverse DNS (FCrDNS) verwenden. Dies ist die Prüfung, die viele Authentifizierungsschemata verwenden (z. B. E-Mail-Server, wenn Sie entscheiden, ob Ihre E-Mails zugestellt werden sollen).

Um bestätigtes Reverse-DNS weiterzuleiten, muss eine IP-Adresse in einen Hostnamen aufgelöst werden, der diese IP-Adresse und nur diese IP-Adresse zurücklöst.

Sie könnten jedoch eine IP-Adresse in sub01.example.com und eine andere in sub02.example.com auflösen lassen und weiterhin FCrDNS für beide haben.

thomasrutter
quelle
Hmm, aber das bedeutet, dass Sie diese Dienste nicht ausgleichen können? Ich frage mich, ob dies die TLS-Überprüfung auf HTTPS oder LDAPS bestehen könnte.
Sorin
Dies sollte sich nicht auf Ihre Dienste auswirken, dh nicht auf Ihre Fähigkeit, HTTPS oder LDAPS auszuführen oder den Lastenausgleich mit vielen Servern durchzuführen. Die FCrDNS-Prüfung muss nicht denselben Hostnamen verwenden wie den Hostnamen, den Sie für den Zugriff auf den Server verwenden. Es kann ein beliebiger Hostname verwendet werden. Normalerweise wird ein interner Hostname von Endbenutzern nicht unbedingt gesehen, es sei denn, sie haben eine PTR-Prüfung durchgeführt. Alles, was erforderlich ist, ist, dass jede eindeutige IP, die für die Welt sichtbar ist, etwas für einen eindeutigen Hostnamen verwendet, der wieder in diese IP aufgelöst wird.
Thomasrutter
1
Zum Beispiel habe ich gerade google.com nachgeschlagen und die IP, die ich erhalten habe, war 216.58.220.110. Der umgekehrte Datensatz dafür ist syd10s01-in-f14.1e100.net. Ich habe das nachgeschlagen und die gleiche IP erhalten: 216.58.220.110. Damit der Google-Server die FCrDNS-Prüfung besteht, hatte der zu diesem Zweck verwendete Name syd10s01-in-f14.1e100.net nichts mit dem Namen zu tun, über den ich auf diesen Server zugreife (google.com) oder den verwendeten Namen für Dinge wie SSL.
Thomasrutter
4

Solange Sie Ihren A-Datensatz auf eine bestimmte IP-Adresse verweisen (kein Round Robin), sollte dies keine Probleme verursachen.

Die beste Vorgehensweise ist natürlich, immer 1 <-> 1 Auflösung zu haben, um den Kreis zu schließen .

Auf digitalpoint.com finden Sie einige ausführliche Erklärungen . Der Punkt ist, es ist das RFC-Entwurfsziel, aber der praktische Ansatz ist - manchmal haben Sie nicht einmal Zugriff auf einige umgekehrte Einträge (z. B. ehemaliger ISP mit veralteten Datensätzen), und es sollte kein Problem sein (vorausgesetzt, Sie verwenden nur 1 "Live" -Adresse).

Also in Kürze:

  • Wenn Sie möchten, dass Ihr Reverse-DNS-Eintrag bei der Migration auf Sie wartet, scheint dies absolut in Ordnung zu sein.
  • Wenn Sie beide Server gleichzeitig für die Produktion verwenden, bin ich mir nicht sicher. Theoretisch ist es eine schlechte Praxis (siehe RFC 1912 ), aber ich denke, nichts anderes als Post würde sich darüber beschweren.
Karol J. Piczak
quelle