Início / server / Perguntas / 1168764
Accepted
Tom Griffith
Asked: 2024-12-12 01:38:09 +0800 CST

combinando registros DNS A e PTR

  • 772

Se você tiver um minuto, estou um pouco confuso sobre como lidar com o aviso rDNS para e-mails de saída. Tenho esta configuração...

http web server (ip 1.2.3.4, hostname apps.acme.com)
smtp mail server (ip 1.2.3.5, hostname mail.acme.com)

DNS A record (Domain name = acme.com, ip = 1.2.3.4) --> web server
PTR record (Domain name = acme.com, ip = 1.2.3.5) --> smtp server

O servidor smtp só envia e-mails, sem entradas, sem registro MX, etc.

No entanto, quando verifico a pontuação de reputação de e-mail, vejo o aviso rDNS e descobri que os registros PTR devem ter um registro A correspondente (forward-confirmed). No entanto, se eu criar um segundo registro DNS A para o servidor smtp...

DNS A record (Domain name = acme.com, ip = 1.2.3.5) --> smtp server

Isso não significa que o servidor autoritativo direcionará algum tráfego de resolução de DNS acme.com para o servidor smtp? Muito obrigado por ler isso.

domain-name-system

1 respostas

  1. Best Answer

    Sim, seria, pelo menos para tráfego diferente daquele destinado a apps.acme.com. Então, em vez de DNS A record (Domain name = acme.com, ip = 1.2.3.5), o que você faz é criar DNS PTR record (ip = 1.2.3.5, domain = mail.acme.com). Você ainda pode querer um registro PTR para acme.com, é claro, mas você aplica isso a ip = 1.2.3.4que é para onde você está enviando todo esse tráfego de qualquer maneira.

    EDIT: Como os comentários ficaram incrivelmente complicados, com informações que deveriam ter sido colocadas na pergunta inicial, vou colocar tudo isso aqui também.

    Dado que o servidor SMTP mail.acme.comde fato recebe e-mails (destinados a endereços específicos, direcionados para lá pelo servidor de e-mail principal acme.mail.protection.outlook.come de certos aplicativos da web), precisamos ter um MTA ativo, mail.acme.como que significa que se houver um registro MX, não importa qual prioridade definimos para o registro, alguns e-mails serão enviados erroneamente para mail.acme.com. (Isso acontecerá quando o primário não estiver respondendo, por design, e observarei de passagem que os spammers não prestam atenção à prioridade MX, disparando mensagens em qualquer MX que encontrarem.) Portanto, o primeiro passo no processo é adicionar um firewall configurado para rejeitar qualquer conexão com o MTA, exceto do primário e dos hosts onde os aplicativos da web são executados.

    Feito isso, podemos criar três registros no DNS da seguinte forma:

    A mail.acme.com 1.2.3.5
PTR 1.2.3.5 mail.acme.com
MX acme.com mail.acme.com priority 50

    O tráfego para acme.comainda resolve para 1.2.3.4 como antes; o único tráfego que acaba indo para mail.acme.comé o e-mail, e isso é bloqueado pelo firewall, a menos que seja do primário ou dos aplicativos da web. Até onde posso ver, não há necessidade de um registro A para acme.comem 1.2.3.5, pois esse é definido para resolver tanto para frente quanto para trás para mail.acme.com, e o registro MX fornece o link que mostra que este é um MX para o domínio.

    • 0

relate perguntas