Hat mein ISP meinen DNS-Reverse-Lookup-Datensatz für eine einzelne statische IP-Adresse entstellt?

26

Ich habe die Aufgabe übernommen, einen kleinen E-Mail-Server zu betreiben, und die Welt des Spam macht es für einen Einzelnen schwieriger, da viele MTAs sehr paranoid sind, E-Mails anzunehmen.

Ich glaube, ich habe fast alles konfiguriert, was ein Problem sein könnte: Ein kommerzielles SSL-Zertifikat, DKIM, eine richtige Domain und eine statische IP-Adresse. Meine (piddly) E-Mail geht in der Tat fast die ganze Zeit aus. Aber die paranoidesten MTAs lehnen meine E-Mail immer noch ab - zum Beispiel Craigslist - und es scheint, als wäre es meine umgekehrte Schuld.

Ich habe kürzlich meine statische IP-Adresse und meinen Service bei meinem ISP geändert. Als sie es geändert haben, habe ich versucht, es richtig zu konfigurieren, aber ich fürchte, es ist nicht so. Aber ich bin nicht 100% sicher, was falsch ist oder wie meine umgekehrte Aufzeichnung aussehen sollte.

Insbesondere möchte ich meinen ISP nicht mit der Einstellung "Look, ich weiß nicht, was das Problem ist, aber Sie müssen es trotzdem beheben" ansprechen. Wenn es ein Problem gibt, möchte ich in der Lage sein, genau zu beschreiben, was es ist, bevor ich mit dem NOC telefoniere. Soweit ich das beurteilen kann, bieten sie hierfür kein Steuerungsfeld an. Daher möchte ich nicht die Geduld anderer mit ein paar Versuchen und Irrtümern auf die Probe stellen.

OK, die Besonderheiten, redaktionell und fiktiv, aber konsistent:

Domain:                      funkeedomain.org
Mailserver (DNS MX record):  mx.funkeedomain.org
Static IP address:           111.222.333.444
Static IP address reversed:  444.333.222.111
FQDN originally requested of the ISP for reverse lookups: main.funkeedomain.org

Hier ist eine typische Ablehnungsnachricht von meinem Mailserver (hMailServer):

Your message did not reach some or all of the intended recipients.

   Sent: Thu, 12 Jan 2017 11:53:50 -0800 (PST)
   Subject: Blah blah blah

The following recipient(s) could not be reached:

[email protected]
   Error Type: SMTP
   Remote server (64.235.154.109) issued an error.
   hMailServer sent: .
   Remote server replied: 550 permanent failure for one or more recipients ([email protected]:550 Sender IP reverse lookup rejected)

hMailServer

Ein kommerzieller E-Mail-Sende-Checker sagt mir:

main.funkeedomain.org.333.222.111.in-addr.arpa          Failed - No A Record Found in DNS

Also gut. Was sagen mir DNS-Tools?

stew@griffin:~$ host 111.222.333.444
444.333.222.111.in-addr.arpa domain name pointer main.funkeedomain.org.333.222.111.in-addr.arpa.

stew@griffin:~$ dig -x 111.222.333.444
; <<>> DiG 9.10.3-P4-Ubuntu <<>> -x 111.222.333.444
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16150
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;444.333.222.111.in-addr.arpa.   IN      PTR

;; ANSWER SECTION:
444.333.222.111.in-addr.arpa. 86365 IN   PTR     main.funkeedomain.org.333.222.111.in-addr.arpa.

;; Query time: 0 msec
;; SERVER: 10.0.0.4#53(10.0.0.4)
;; WHEN: Thu Jan 12 19:09:11 PST 2017
;; MSG SIZE  rcvd: 93

Wenn ich Beispiele lese ( http://www.gettingemaildelivered.com/how-to-set-up-reverse-dns-rdns zum Beispiel), ist mein starker Eindruck, dass dies falsch ist und mein von meinem ISP erstellter Reverse Record sollte Seien Sie ein PTR für "main.funkeedomain.org", NICHT "main.funkeedomain.org.333.222.111.in-addr.arpa".

Habe ich Recht, das zu denken? Was sollte ich in meiner Reverse-Aufzeichnung erwarten, wenn nicht das, was ich finde?


Vielen Dank an alle, die geantwortet haben, und an meinen Post-Post-Grammatik-Lektor.

Die Antworten von HBruijn und Andrew B waren korrekt, aber sie scheinen zu wollen, dass ich HBruijns auswähle, was auch kürzer ist, und das habe ich auch.

Ich musste nicht weniger als fünf Mal anrufen, um dieses Problem zu lösen. Eine 100% genaue Diagnose zu haben, war sicherlich der Schlüssel für mich, um 3 Stufen der Eskalation erfolgreich blind zu bestehen. Ich durfte nie direkt mit der DNS-Abteilung sprechen.

Nochmals vielen Dank.

StewLG
quelle
10
Im Allgemeinen hilft die Verwendung der eigentlichen Domain bei DNS-Problemen der Community dabei, Probleme viel einfacher zu lösen.
HBruijn
1
Google überprüft auch den PTR-Datensatz. Ich bin mir nicht sicher, warum Sie das als paranoid bezeichnen. Es stoppt eine sehr große Menge an Spam.
Michael Hampton
1
Es wurde viel über die Verwendung der offiziellen Beispieldomains diskutiert, nicht über einen zufälligen Namen. Da Sie die IP-Adresse verbergen, ist der von Ihnen verwendete Name vermutlich auch nicht Ihre eigentliche Domain?
JDługosz
xxxxxxxxxxxxxxx
StewLG

Antworten:

33

444.333.222.111.in-addr.arpa. 86365 IN PTR main.funkeedomain.org.333.222.111.in-addr.arpa.

Scheint, dass in den Reverse-DNS-Zonendaten jemand vergessen hat, einen abschließenden Punkt .zu Ihrem Hostnamen hinzuzufügen, um anzuzeigen, dass es sich um einen vollständig qualifizierten Hostnamen handelt. In der DNS-Kurzform wird jedem einfachen Hostnamen $ ORIGIN angehängt.

Die korrekten Zonendaten wären

444.333.222.111.in-addr.arpa. 86365 IN   PTR     main.funkeedomain.org.

oder in DNS Kurz Hand können Sie optional weglassen das $ORIGINheißt 333.222.111.in-addr.arpa:

444                           86365 IN   PTR     main.funkeedomain.org.
HBruijn
quelle
49

Schauen Sie sich den Antwortabschnitt etwas genauer an:

;; ANSWER SECTION:
444.333.222.111.in-addr.arpa. 86365 IN   PTR     main.funkeedomain.org.333.222.111.in-addr.arpa.

Insbesondere der Wert des PTR-Datensatzes:

main.funkeedomain.org.333.222.111.in-addr.arpa.

Ihr ISP hat vergessen, den nachfolgenden Punkt zu Ihrem FQDN hinzuzufügen. Dies führt dazu, dass die DNS-Software den Namen der Zonendatei an das Ende der Daten anfügt.

Sagen Sie ihnen, sie sollen sich noch einmal Ihren Reverse-DNS-Eintrag ansehen, den abschließenden Punkt erwähnen, und wenn sie einen Sinn für sie haben, werden sie genau wissen, was sie falsch gemacht haben.

Andrew B
quelle
Wenn du von Hot Network Questions kommst, stimme stattdessen HBrujin zu. Diese Antwort ist bereits in meinen Top 5 aller Zeiten und es wird ein bisschen albern. (@HBrujin Ihre Kampagne zur psychologischen Kriegsführung, damit ich es bereue, diese 60 Sekunden vor Ihrer Arbeit beantwortet zu haben)
Andrew B
Wenn Sie der Meinung sind, dass das schlecht ist, werfen Sie einen Blick auf meine Top-5-Antworten in StackOverflow. Nur # 2 ist meiner Meinung nach ziemlich interessant.
Barmar
@AndrewB Ich habe bereits Moderatorprivilegien. Sie können die Punkte auch nehmen, um Ihre eigenen Superkräfte der nächsten Stufe bei 20.000 zu erhalten
HBruijn,
1

Zusätzlich zur Korrektur des umgekehrten Eintrags (siehe Antworten von Andrew B und HBruijn) kann es vorkommen, dass Ihre Weiterleitungseinträge auch verwirrt sind. Wenn der Hostname des Servers main.funkeedomain.org lautet, sollte nicht auch mx.funkeedomain.org beteiligt sein. Stattdessen sollten Sie einen Datensatz vom Typ "MX" haben, der von funkeedomain.org auf main.funkeedomain.org zeigt, und einen "A" -Datensatz, der von main.funkeedomain.org auf 111.222.333.444 zeigt. Grundsätzlich möchten Sie, dass die Forward-Lookups wie folgt aussehen:

$ host -t mx funkeedomain.org
funkeedomain.org mail is handled by 10 main.funkeedomain.org.
$ host main.funkeedomain.org
main.funkeedomain.org has address 111.222.333.444

Die Datensätze in Ihrer Zonendatei sollten ungefähr so ​​aussehen:

funkeedomain.org.       MX 10 main.funkeedomain.org.
main.funkeedomain.org.  A 111.222.333.444

Oder sie haben den Zonennamen (funkeedomain.org) implizit angegeben, angezeigt durch ein fehlendes "." (wie Andrew B vermutet, ist das Problem mit der umgekehrten Aufzeichnung), wie folgt:

     MX 10 main.funkeedomain.org.
main A 111.222.333.444

... oder beliebig viele andere Varianten.

Gordon Davisson
quelle
MX spielt hier keine Rolle, da es sich nur um eingehende E-Mails handelt. Um als Quelle für ausgehende E-Mails eingestuft zu werden, sollte das OP prüfen, ob eine Übereinstimmung besteht zwischen (1) der von seinem MTA ausgegebenen FQDN als EHLO-Begrüßung, (2) der FQDN, die beim Abrufen des umgekehrten DNS der von seinem MTA verwendeten IP erhalten wurde und (3) die IP, zu der diese FQDN in Forward-DNS aufgelöst wird. Um Verwirrung zu vermeiden, ist es außerdem besser, mehrere PTR- und / oder mehrere A-Datensätze für die betreffende IP / FQDN zu vermeiden ...
Hagen von Eitzen