Perguntas[domain-name-system](server)

Configurei um domínio para um amigo ( maple-tree.co.uk). Ele quer poder enviar e receber e-mails neste domínio, e parece estar funcionando, principalmente, mas não totalmente. Alguns servidores de e-mail (BTInternet em particular) não enviam e-mails para este domínio.

Acho que o problema provavelmente está relacionado aos registros DMARC e MX, que parece que estou tendo problemas para configurar. O domínio é hospedado com a GoDaddy, e dentro da ferramenta da GoDaddy ele mostra um registro DMARC como segue:

txt @   v=DMARC1; p=none;   1 Hour      

E um registro MX como segue:

mx  mail    mail.maple-tree.co.uk. (Priority: 0)    1 Hour      

Mas dentro do CPanel para o domínio, embora ele considere os registros SPF e DKIM corretos, ele alega que não há registro DMARC, e o dig / nslookup e várias ferramentas online não mostram o registro MX.

Alguém pode ajudar?

Tenho o bind9 configurado no meu PC roteador. Ele serve como servidor DNS para todas as máquinas na minha rede doméstica. Ele está configurado para que ele só encaminhe solicitações DNS para o stubby (escutando localmente na porta 54321), que então envia essas solicitações DNS com segurança para algum servidor DNS global por TLS. Geralmente está funcionando bem, a menos que ocorra um timeout, como este (retirado de syslogs):

Feb 05 15:51:19 router named[512]: timed out resolving 'accounts.youtube.com/A/IN': 127.0.0.1#54321

Quando liguei tcpdump, descobri que essas solicitações com tempo limite esgotado estão sendo enviadas em texto simples na porta 53 para servidores de nomes aleatórios (?). Sem paciência para solucionar o problema, apenas bloqueei os pacotes de saída na porta 53, e agora alguns novos logs aparecem no syslog (com, obviamente, nenhuma outra solicitação visível no PCAPS de tcpdump) após os logs de tempo limite:

Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.5.6.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.33.14.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.26.92.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.31.80.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.35.51.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.42.93.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.54.112.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.43.172.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.48.79.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.52.178.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.41.162.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.55.83.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.12.94.30#53

O que está acontecendo? Por que o bind9 faz failover para todos esses servidores DNS, ignorando completamente o stubby que está configurado como único encaminhador? Este é meu named.conf.optionsarquivo:

options {
    directory "/var/cache/bind";

    forwarders {
            127.0.0.1 port 54321;
    };

    dnssec-validation yes;

    allow-recursion { localhost; localnets; 192.168.0.0/24; };

    listen-on { 127.0.0.1; 192.168.0.0; };
    listen-on-v6 { none; };
};

Tenho meu servidor DHCP configurado para que ele defina todas as interfaces de rede para todas as máquinas na rede (incluindo o roteador) para que elas usem apenas meu próprio servidor DNS em execução no PC do roteador, então acredito (e os logs parecem confirmar isso) que o bind9 em si decide tentar outros servidores DNS sem que eu o permita explicitamente. Três perguntas surgem:

1. Por que ele faz isso?
2. De onde vêm os servidores de nomes para fazer o failover?
3. Como faço para desabilitar isso? Embora o bloqueio de tráfego de saída na porta 53 funcione, ainda tenho logs destruídos com suas tentativas de tentar outros servidores DNS para resolver solicitações com tempo limite esgotado, e não gosto disso.

Eu acidentalmente excluí o registro DKIM, e o provedor está tendo problemas e não consegue me fornecer o registro DNS com urgência.

Recebi um e-mail deste provedor que foi para a caixa de lixo eletrônico.

Como sei que este e-mail está assinado com uma chave DKIM válida, posso reverter a assinatura e extrair a chave DKIM pública? Depois de extraída, salvarei a chave na página DNS do domínio.

Recebo o seguinte erro:

3.033 Err:32 http://security.ubuntu.com/ubuntu noble-updates/main amd64 linux-libc-dev amd64 6.8.0-51.52
3.034   404  Not Found [IP: 91.189.91.82 80]

ao tentar executar o seguinte comando dentro de um contêiner Docker:

FROM ubuntu:24.04

RUN apt update
RUN apt upgrade

RUN apt -y install build-essential

É um problema relacionado ao DNS?

/etc/resolv.confno contêiner Docker:

# Generated by Docker Engine.
# This file can be edited; Docker Engine will not make further changes once it
# has been modified.

nameserver 172.236.0.51
nameserver 172.236.0.54
nameserver 172.236.0.48
nameserver 172.236.0.46
nameserver 172.236.0.50
nameserver 172.236.0.47
nameserver 172.236.0.53
nameserver 172.236.0.52
nameserver 172.236.0.45
nameserver 172.236.0.49
search members.linode.com ip.linodeusercontent.com

# Based on host file: '/run/systemd/resolve/resolv.conf' (legacy)
# Overrides: []

é diferente da /etc/resolv.confminha máquina host (Ubuntu 24.04):

ll /etc/resolv.conf
lrwxrwxrwx 1 root root 37 Jan 23 18:19 /etc/resolv.conf -> /run/systemd/resolve/stub-resolv.conf
cat /etc/resolv.conf

nameserver 127.0.0.53
options edns0 trust-ad
search members.linode.com ip.linodeusercontent.com

mas corresponde /run/systemd/resolve/resolv.confna máquina host.

Não entendo por que tenho dois diferentes resonv.confna minha máquina host.

Também não está claro o suficiente se o DNS dentro do contêiner do Docker está configurado corretamente ou não.

EDITAR1

Rotas no contêiner Docker:

ip route show
default via 172.17.0.1 dev eth0
172.17.0.0/16 dev eth0 proto kernel scope link src 172.17.0.3

Rotas na máquina host:

ip route show
default via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1
172.18.0.0/16 dev br-7c0ebcfd4e3a proto kernel scope link src 172.18.0.1
172.20.0.0/16 dev br-99d8bde8e488 proto kernel scope link src 172.20.0.1
172.236.0.45 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.46 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.47 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.48 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.49 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.50 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.51 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.52 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.53 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.54 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.29.0/24 dev eth0 proto kernel scope link src 172.236.29.157 metric 1024
172.236.29.1 dev eth0 proto dhcp scope link src 172.236.29.157 metric 1024

Do contêiner Docker:

ping 91.189.91.82
PING 91.189.91.82 (91.189.91.82) 56(84) bytes of data.
64 bytes from 91.189.91.82: icmp_seq=1 ttl=47 time=82.5 ms
64 bytes from 91.189.91.82: icmp_seq=2 ttl=47 time=82.6 ms

telnet security.ubuntu.com 80
Trying 91.189.91.81...
Connected to security.ubuntu.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

EDITAR2

Do contêiner Docker:

root@4e534b3b6847:/# apt install --no-cache linux-libc-dev
E: Command line option --no-cache is not understood in combination with the other options
root@4e534b3b6847:/# df -h
Filesystem      Size  Used Avail Use% Mounted on
overlay          49G   34G   15G  70% /
tmpfs            64M     0   64M   0% /dev
shm              64M     0   64M   0% /dev/shm
/dev/sda         49G   34G   15G  70% /etc/hosts
tmpfs           985M     0  985M   0% /proc/acpi
tmpfs           985M     0  985M   0% /proc/scsi
tmpfs           985M     0  985M   0% /sys/firmware

root@4e534b3b6847:/# apt clean
root@4e534b3b6847:/# apt install linux-libc-dev
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
The following NEW packages will be installed:
linux-libc-dev
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 1,769 kB of archives.
After this operation, 7,508 kB of additional disk space will be used.
Ign:1 http://archive.ubuntu.com/ubuntu noble-updates/main amd64 linux-libc-dev amd64 6.8.0-51.52
Err:1 http://security.ubuntu.com/ubuntu noble-updates/main amd64 linux-libc-dev amd64 6.8.0-51.52
404  Not Found [IP: 185.125.190.82 80]
E: Failed to fetch http://security.ubuntu.com/ubuntu/pool/main/l/linux/linux-libc-dev_6.8.0-51.52_amd64.deb  404  Not Found [IP: 185.125.190.82 80]
E: Unable to fetch some archives, maybe run apt-get update or try with --fix-missing?

EDITAR3

Na máquina host:

  $ apt-cache policy linux-libc-dev
  linux-libc-dev:
  Installed: 6.8.0-52.53
  Candidate: 6.8.0-52.53
  Version table:
  *** 6.8.0-52.53 500
        500 http://mirrors.linode.com/ubuntu noble-updates/main amd64 Packages
        500 http://security.ubuntu.com/ubuntu noble-security/main amd64 Packages
        100 /var/lib/dpkg/status
     6.8.0-31.31 500
        500 http://mirrors.linode.com/ubuntu noble/main amd64 Packages

No contêiner Docker:

  # apt-cache policy linux-libc-dev
  linux-libc-dev:
  Installed: (none)
  Candidate: 6.8.0-51.52
  Version table:
     6.8.0-51.52 500
        500 http://archive.ubuntu.com/ubuntu noble-updates/main amd64 Packages
        500 http://security.ubuntu.com/ubuntu noble-security/main amd64 Packages
     6.8.0-31.31 500
        500 http://archive.ubuntu.com/ubuntu noble/main amd64 Packages

Recentemente configurei o ECMP no firewall da nossa rede para nos conectar totalmente a vários ISPs.

Foi fácil configurar o SPF corretamente, mas esse negócio anti-spam estilo anos 70 nem tanto... Algumas de nossas contrapartes (executando suas próprias instâncias do postfix que precisam continuar aceitando e-mails enviados por mim) insistem em executar o postfix com "reject_unknown_client_hostname", aqui está a definição dos documentos: "Rejeite a solicitação quando 1) o mapeamento de endereço IP do cliente->nome falhar, ou 2) o mapeamento de nome->endereço falhar, ou 3) o mapeamento de nome->endereço não corresponder ao endereço IP do cliente." Basicamente, o registro PTR para um determinado IP precisa estar correto.

Como nosso servidor postfix não sabe qual IP público ele realmente estará egressando para uma determinada conexão, temos que enviar o mesmo nome de servidor na mensagem EHLO, independentemente de qual link ele sai.

A melhor solução que podemos encontrar, sem precisar executar uma instância postfix inteira, é ter registros PTR em ambos os IPs públicos apontando para o mesmo nome de registro A e, então, ter dois registros A para esse nome, um para cada IP. Sei que essa é geralmente uma ideia horrível, pois muitas bibliotecas de SO nem retornam mais de um registro A para um cliente, e isso certamente levará a falhas intratáveis. Quais outras opções existem?

Os seguintes elementos

# postconf myhostname
myhostname = hostname.example.com
# postconf mydomain
mydomain = example.com
# postqueue -p
-Queue ID-  --Size-- ----Arrival Time---- -Sender/Recipient-------
87C5DDD44B*     418 Mon Jan  6 13:02:36  root@ubuntu-4gb-nbg1-1
                                         [email protected]

está resultando em um tempo limite no servidor de e-mail do destinatário:

connect to in-smtp.example.org[192.0.2.1]:25: Connection timed out

O remetente do e-mail é identificado como from=<root@ubuntu-4gb-nbg1-1>em mail.log.

O hostname.example.come example.comtêm seus Aregistros DNS apropriados e TXT SPFregistros permitindo ip4:198.51.100.1.

O provedor de serviços (Hetzner neste caso) tem uma entrada DNS reversa para o endereço IPv4 primário definido como example.com.

Presumi que era a string do remetente do e-mail que estava sendo recusada pelo servidor MX. Mas quando fiz isso, o remetente correto apareceu no log.mail -s 'subject' "From: [email protected]" [email protected]

Então, onde poderia estar faltando a configuração?

Contexto:
• serviço de e-mail gerenciado por terceiros
• O VPS tem o postfix como um servidor de e-mail somente para envio.

O DNS tem dois registros TXT com nome@
v=spf1 include:spf.someengine.com ?all
v=spf1 mx ip4:111.222.333.444 ~all

Essa configuração pode criar problemas com servidores de e-mail? É preferível unificá-los em uma única entrada, como
v=spf1 include:spf.someengine.com mx ip4:111.222.333.444 ~all ?

Não sou especialista em DNS ou IPv6, mas estou tentando migrar nosso site www para uma nova hospedagem. O antigo tinha registros A e AAAA que atualizei (e verifiquei se o IPv6 está habilitado e responde no novo host)

Agora a situação é que os pings do IPv4 e do http vão para o novo site, mas o IPv6 ainda vai para o antigo.

Estou depurando a situação e estranhamente dig our.domain AAAAdá o endereço correto e traceroute6 our.domainimediatamente retorna o antigo ipv6

como isso é possível? devo apenas esperar pela propagação ou há algo errado? os navegadores parecem preferir o IPv6, então as coisas estão um pouco estranhas agora quando protocolos diferentes apontam para hosts diferentes

Estou criando uma configuração de firewall do Windows somente com lista de permissões.

Tenho o Windows 10 no VMWare Workstation Pro 17, para experimentar.

Desativei todos:

netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound

netsh advfirewall firewall set rule all new enable=no

E habilitou alguns:

netsh advfirewall firewall set rule name="File and Printer Sharing (Echo Request - ICMPv4-In)" new enable=yes
netsh advfirewall firewall set rule name="Remote Desktop - User Mode (TCP-In)" new enable=yes
netsh advfirewall firewall set rule name="Core Networking - DNS (UDP-Out)" new enable=yes
netsh advfirewall firewall set rule name="Core Networking - Dynamic Host Configuration Protocol (DHCP-Out)" new enable=yes
netsh advfirewall firewall set rule name="File and Printer Sharing (SMB-Out)" new enable=yes

Não consigo fazer o DNS funcionar. Com um firewall padrão, posso fazer ping no meu host por nome ou IP. Quando restrinjo o firewall, só consigo usar IP.

Alguém poderia pensar que era apenas uma questão de habilitar uma das regras existentes. É fácil habilitar todas as regras existentes. Mas isso não fará diferença. (E há muitas regras que parecem DNS, SMB, NB etc.)

Alguém sabe o que devo habilitar ou adicionar no firewall, se eu quiser fazer ping no meu host Windows assim:

ping my-VMware-host

Se você tiver um minuto, estou um pouco confuso sobre como lidar com o aviso rDNS para e-mails de saída. Tenho esta configuração...

http web server (ip 1.2.3.4, hostname apps.acme.com)
smtp mail server (ip 1.2.3.5, hostname mail.acme.com)

DNS A record (Domain name = acme.com, ip = 1.2.3.4) --> web server
PTR record (Domain name = acme.com, ip = 1.2.3.5) --> smtp server

O servidor smtp só envia e-mails, sem entradas, sem registro MX, etc.

No entanto, quando verifico a pontuação de reputação de e-mail, vejo o aviso rDNS e descobri que os registros PTR devem ter um registro A correspondente (forward-confirmed). No entanto, se eu criar um segundo registro DNS A para o servidor smtp...

DNS A record (Domain name = acme.com, ip = 1.2.3.5) --> smtp server

Isso não significa que o servidor autoritativo direcionará algum tráfego de resolução de DNS acme.com para o servidor smtp? Muito obrigado por ler isso.