Perguntas[domain-name-system](server)

Recentemente configurei o ECMP no firewall da nossa rede para nos conectar totalmente a vários ISPs.

Foi fácil configurar o SPF corretamente, mas esse negócio anti-spam estilo anos 70 nem tanto... Algumas de nossas contrapartes (executando suas próprias instâncias do postfix que precisam continuar aceitando e-mails enviados por mim) insistem em executar o postfix com "reject_unknown_client_hostname", aqui está a definição dos documentos: "Rejeite a solicitação quando 1) o mapeamento de endereço IP do cliente->nome falhar, ou 2) o mapeamento de nome->endereço falhar, ou 3) o mapeamento de nome->endereço não corresponder ao endereço IP do cliente." Basicamente, o registro PTR para um determinado IP precisa estar correto.

Como nosso servidor postfix não sabe qual IP público ele realmente estará egressando para uma determinada conexão, temos que enviar o mesmo nome de servidor na mensagem EHLO, independentemente de qual link ele sai.

A melhor solução que podemos encontrar, sem precisar executar uma instância postfix inteira, é ter registros PTR em ambos os IPs públicos apontando para o mesmo nome de registro A e, então, ter dois registros A para esse nome, um para cada IP. Sei que essa é geralmente uma ideia horrível, pois muitas bibliotecas de SO nem retornam mais de um registro A para um cliente, e isso certamente levará a falhas intratáveis. Quais outras opções existem?

Os seguintes elementos

# postconf myhostname
myhostname = hostname.example.com
# postconf mydomain
mydomain = example.com
# postqueue -p
-Queue ID-  --Size-- ----Arrival Time---- -Sender/Recipient-------
87C5DDD44B*     418 Mon Jan  6 13:02:36  root@ubuntu-4gb-nbg1-1
                                         [email protected]

está resultando em um tempo limite no servidor de e-mail do destinatário:

connect to in-smtp.example.org[192.0.2.1]:25: Connection timed out

O remetente do e-mail é identificado como from=<root@ubuntu-4gb-nbg1-1>em mail.log.

O hostname.example.come example.comtêm seus Aregistros DNS apropriados e TXT SPFregistros permitindo ip4:198.51.100.1.

O provedor de serviços (Hetzner neste caso) tem uma entrada DNS reversa para o endereço IPv4 primário definido como example.com.

Presumi que era a string do remetente do e-mail que estava sendo recusada pelo servidor MX. Mas quando fiz isso, o remetente correto apareceu no log.mail -s 'subject' "From: [email protected]" [email protected]

Então, onde poderia estar faltando a configuração?

Contexto:
• serviço de e-mail gerenciado por terceiros
• O VPS tem o postfix como um servidor de e-mail somente para envio.

O DNS tem dois registros TXT com nome@
v=spf1 include:spf.someengine.com ?all
v=spf1 mx ip4:111.222.333.444 ~all

Essa configuração pode criar problemas com servidores de e-mail? É preferível unificá-los em uma única entrada, como
v=spf1 include:spf.someengine.com mx ip4:111.222.333.444 ~all ?

Não sou especialista em DNS ou IPv6, mas estou tentando migrar nosso site www para uma nova hospedagem. O antigo tinha registros A e AAAA que atualizei (e verifiquei se o IPv6 está habilitado e responde no novo host)

Agora a situação é que os pings do IPv4 e do http vão para o novo site, mas o IPv6 ainda vai para o antigo.

Estou depurando a situação e estranhamente dig our.domain AAAAdá o endereço correto e traceroute6 our.domainimediatamente retorna o antigo ipv6

como isso é possível? devo apenas esperar pela propagação ou há algo errado? os navegadores parecem preferir o IPv6, então as coisas estão um pouco estranhas agora quando protocolos diferentes apontam para hosts diferentes

Estou criando uma configuração de firewall do Windows somente com lista de permissões.

Tenho o Windows 10 no VMWare Workstation Pro 17, para experimentar.

Desativei todos:

netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound

netsh advfirewall firewall set rule all new enable=no

E habilitou alguns:

netsh advfirewall firewall set rule name="File and Printer Sharing (Echo Request - ICMPv4-In)" new enable=yes
netsh advfirewall firewall set rule name="Remote Desktop - User Mode (TCP-In)" new enable=yes
netsh advfirewall firewall set rule name="Core Networking - DNS (UDP-Out)" new enable=yes
netsh advfirewall firewall set rule name="Core Networking - Dynamic Host Configuration Protocol (DHCP-Out)" new enable=yes
netsh advfirewall firewall set rule name="File and Printer Sharing (SMB-Out)" new enable=yes

Não consigo fazer o DNS funcionar. Com um firewall padrão, posso fazer ping no meu host por nome ou IP. Quando restrinjo o firewall, só consigo usar IP.

Alguém poderia pensar que era apenas uma questão de habilitar uma das regras existentes. É fácil habilitar todas as regras existentes. Mas isso não fará diferença. (E há muitas regras que parecem DNS, SMB, NB etc.)

Alguém sabe o que devo habilitar ou adicionar no firewall, se eu quiser fazer ping no meu host Windows assim:

ping my-VMware-host

Se você tiver um minuto, estou um pouco confuso sobre como lidar com o aviso rDNS para e-mails de saída. Tenho esta configuração...

http web server (ip 1.2.3.4, hostname apps.acme.com)
smtp mail server (ip 1.2.3.5, hostname mail.acme.com)

DNS A record (Domain name = acme.com, ip = 1.2.3.4) --> web server
PTR record (Domain name = acme.com, ip = 1.2.3.5) --> smtp server

O servidor smtp só envia e-mails, sem entradas, sem registro MX, etc.

No entanto, quando verifico a pontuação de reputação de e-mail, vejo o aviso rDNS e descobri que os registros PTR devem ter um registro A correspondente (forward-confirmed). No entanto, se eu criar um segundo registro DNS A para o servidor smtp...

DNS A record (Domain name = acme.com, ip = 1.2.3.5) --> smtp server

Isso não significa que o servidor autoritativo direcionará algum tráfego de resolução de DNS acme.com para o servidor smtp? Muito obrigado por ler isso.

Estou tentando configurar o DNS para lidar com e-mails em vários subdomínios, onde cada subdomínio tem seu próprio servidor de e-mail. Meu objetivo é rotear e-mails para user@%subdomain%.example.com para o servidor hospedado em %subdomain%.example.com.

Exemplo de configuração desejada:

• O e-mail para [email protected] deve ser tratado pelo servidor abcde.example.com
• O e-mail para [email protected] deve ser tratado pelo servidor xyz.example.com

E assim por diante para todos os subdomínios possíveis. Há muitos subdomínios, então adicionar manualmente um registro MX para cada um não é uma opção.

O que pode funcionar

_smtp._tcp.*.example.com. IN SRV 0 0 25 %.example.com.

Esta configuração parece lógica, mas não tenho certeza de quão bem ela é suportada por servidores de e-mail. Não sei se algo similar é possível para IMAP e POP3.

Minhas perguntas

1. Quais registros DNS precisam ser criados para implementar esse roteamento?
2. É possível configurar um registro MX curinga que roteie automaticamente os e-mails para o subdomínio correspondente?
3. Se um registro MX curinga não for possível, como o processo de criação de registros MX para novos subdomínios pode ser automatizado (de preferência de uma forma que não leve muito tempo, talvez usando DNS dinâmico)?

O que não funciona

• Roteamento curinga de todos os subdomínios para um único domínio, como IN MX 10 central-mail.example.com.. Tal configuração só é aceitável se o e-mail puder ser roteado para o servidor correto sem precisar descriptografar o conteúdo do pacote (como SNI em TLS/SSL).

Eu apreciaria uma explicação detalhada dos registros DNS necessários e quaisquer recomendações adicionais.

PC + Wifi + servidor doméstico

-> roteador (Fritzbox)
-> caixa de cabo UPC

Tenho 2 NAT um após o outro.

Tenho um problema estranho de DNS. Configurei o DuckDns para apontar para um endereço IP interno. A resolução funciona em todos os lugares, mas não nos dispositivos conectados ao Fritzbox. Aqui há um tempo limite quando a entrada do DuckDns aponta para um IP interno como 192.168.xy

Se a entrada do Duckdns apontar para um IP "real", a resolução funcionará corretamente.

Então troquei o DNS no Fritzbox (menu de configuração -> servidor dns) para 9.9.9.9, porém obtive o mesmo resultado. Algo não funciona como esperado, porque:

nslookup xx.duckdns.org: tempo limite nslookup xx.duckdns.org 9.9.9.9: pode resolver

Parece que o Fritzbox suprime as pesquisas de DNS quando elas retornam um IP que está dentro do NAT.

Isso é plausível?

Como posso descobrir qual DNS é realmente usado quando o Fritzbox está fazendo a resolução?

Saudações, exae

A pilha de aplicativos tem vários componentes, por exemplo, api, aplicativo público e aplicativo interno. Quero tornar o aplicativo interno acessível somente a partir de intervalos de IP de rede interna. Configurei meu nginx (proxy reverso) para permitir somente certos intervalos de IP (por exemplo, 192.168.1.0/24). Estou usando um nome de domínio: mydomain.com

Digamos que o aplicativo interno esteja usando o subdomínio. app.mydomain.com Há também um site (executando externamente) em (www.)mydomain.com O DNS externo (autoridade) está configurado para apontar para o IP estático público do meu servidor, que é necessário para a API pública (por exemplo, api.mydomain.com).

Mas na rede local (incl. VPN), quero direcionar o tráfego internamente. Por exemplo, em vez do IP público, os PCs devem usar o IP local, para que apenas aqueles com IP local sejam permitidos pelo proxy reverso nginx. Para fazer isso, estou configurando o servidor Windows AD também executando um servidor DNS. Estou tentando configurar esse DNS para direcionar computadores na rede para o servidor na rede local.

Quando tento definir uma zona primária para mydomain.com com uma entrada para app.mydomain.com para apontar para o endereço do servidor interno, nslookup app.mydomain.comele retorna o IP local, mas mydomain.comnão www.mydomain.comfunciona mais.

Existe uma maneira de apontar todos os outros subdomínios para o DNS externo (autoridade)?

Quando tento configurar uma zona secundária , a transferência falha. Acho que a autoridade (DNS externo) não me deixa fazer isso.

Gostaria de saber como conseguir isso?

Configurei o registro PTR no servidor DNS da nossa organização. A pesquisa reversa funciona na nossa rede, mas de uma rede diferente, não funciona.

Parece-me que algo precisa ser feito pelo registro regional da Internet (RIR).

Não tenho ideia de como entrar em contato com eles. Então por que eles fariam o que eu quero?

Posso simplesmente configurar os registros PTR e, se eu fizer isso corretamente, ele funcionará?

Preciso do RIR para fazer alguma coisa?

É assim que todo mundo está fazendo?

PS: Estou confortável com DNS, mas DNS reverso é meio confuso para mim por enquanto (sou novo nisso).