Was sollte die PTR für einen Mailserver sein, der auch ein Webserver ist?

4

Ich habe die folgenden A-Einträge für eine Server @ IP-Adresse 1.2.3.4:

Name: example.com.
Name: *.example.com.
Name: example.net.

Mein Server FQDN ist server1.example.com.

Derzeit sind E - Mails mit dem Umschlag Absender versenden als Nicht-Antwort @ $SERVER_NAMEwo das $SERVER_NAMEist die example.commeiste Zeit. Sollte in diesem Szenario der Domänenname in PTR sein example.com?

Wenn ich das ändern $SERVER_NAMEzu mail.example.com, muss ich diesen Namen für beide A und PTR - Einträge hinzufügen müssen? Was sollte die Strategie für PTR für einen Mailserver sein, der auch ein Webserver ist, der Platzhalter-Subdomänen verwendet?

networking dns DNS
quelle

Antworten:

1

TL; DR Es ist durchaus zulässig, dass eine IP mehrere PTR-Einträge hat. Wenn Sie sich jedoch lieber an einen halten möchten, gehen Sie mit mail.example.com.

Lange Version :

Gemäß den DNS-Reverse-Lookup-Spezifikationen ist es vollkommen in Ordnung, mehrere PTR-Einträge für eine IP zu haben. Es wird normalerweise nicht gemacht, aber die Spezifikation verbietet es nicht.

Das heißt , der Grund, warum es normalerweise nicht gemacht wird, ist, dass es selten einen Grund dafür gibt. Wenn Sie beispielsweise anführen, gibt es wirklich keinen Grund, warum die Reverse-Lookup-Funktion eines Webservers mit allen oder auch nur einem der Hostnamen der Sites übereinstimmen sollte, für die sie ausgeführt wird.

Auf der anderen Seite hat SMTP in den letzten Jahrzehnten sein Sicherheitskonzept aufgrund massiver Mengen an Spam schrittweise verschärft, und die meisten Spam-Filter messen der Flagge von "Reverse Lookup" heutzutage zumindest ein nicht triviales "Gewicht" bei stimmt nicht mit Forward-Lookup überein ", da dies impliziert, dass der sendende Server möglicherweise nicht der ist, für den er sich ausgibt. Streng konfigurierte Filter lehnen unter Umständen sogar die Annahme von E-Mails von einem Server ab, dessen Forward- und Reverse-Lookups nicht übereinstimmen.

Indem sowohl der Forward-A-Eintrag als auch der Reverse-PTR-Eintrag mit dem Namen übereinstimmen, den der Mailserver verwendet, um sich während des HELO / EHLO-Handshakes zu identifizieren, zeigen Sie, dass die Person, die den Server konfiguriert hat, die administrativen Möglichkeiten hat, die DNS-Einträge für diesen Server zu ändern Nun, es ist wahrscheinlicher, dass es sich um einen legitimen Server handelt - oder zumindest, dass es wahrscheinlicher ist, dass es verantwortlich ist .

ETA Wenn Sie die Kontrolle über Ihre DNS-Einstellungen haben, ist es auch ratsam, einen SPF-Eintrag ( Sender Policy Framework ) hinzuzufügen , der Ihren Server anhand seiner IP-Adresse und seines Hostnamens als berechtigt identifiziert, E-Mails von Ihrer Domain zu senden. Websites wie der SPF-Assistent können Ihnen dabei helfen, den gewünschten Datensatz zu erstellen.

Shadur
quelle
Mit dem zusätzlichen Detail, dass der Name, auf den im MX-Datensatz für example.com verwiesen wird, hier der wichtige ist. Die A- und PTR-Einträge für diesen Namen / diese IP sollten übereinstimmen. Befindet sich mail.example.com im MX-Eintrag für example.com, ist dies korrekt.
Milli
@milli Nicht unbedingt. Er spricht von einem abgehenden Mail - Server; dies ist nicht immer die gleiche wie der eingehende Mail - Server, und nur die letztere würde in dem MX - Datensätze aufgelistet.
Shadur
Die meisten MTAs überprüfen SPF-Datensätze auf Absendern, also ist dies in beide Richtungen von Bedeutung.
Milli
SPF-Aufzeichnungen, ja. MX-Datensätze, nicht unbedingt. Auch hier sind sie nicht an sich identisch, obwohl die meisten SPF-Datensätze eine Zeilengruppe enthalten mx.
Shadur
1
Ja, er würde einen PTR für die Rückwärtsprüfung benötigen. Aber muss die Domain in der Forward-Suche genau mit der Reverse übereinstimmen? example.comIst die Übereinstimmung ausreichend, damit die E-Mail die SPAM-Prüfung mit FCrDNS besteht, oder muss mail/server1.example.comsie dem A-Datensatz hinzugefügt werden?
Fragenüberlauf
0

Die Maschine sollte einen Namen haben. Wenn der Name der Maschine ist mail.example.com, sollte der PTR-Datensatz auf lauten mail.example.com.

David Schwartz
quelle