我为一个朋友 ( ) 设置了一个域名maple-tree.co.uk。他希望能够在此域名上发送和接收电子邮件,它似乎大部分情况下都正常工作,但还不够完善。某些邮件服务器(尤其是 BTInternet)不会向此域名发送电子邮件。
我认为问题可能与 DMARC 和 MX 记录有关,我似乎在设置它们时遇到了麻烦。该域名由 GoDaddy 托管,在 GoDaddy 的工具中,它显示了一条 DMARC 记录,如下所示:
txt @ v=DMARC1; p=none; 1 Hour
以及如下的 MX 记录:
mx mail mail.maple-tree.co.uk. (Priority: 0) 1 Hour
但是在域名的 CPanel 中,虽然它发现 SPF 和 DKIM 记录正常,但它声称没有 DMARC 记录,而 dig/nslookup 和各种在线工具都没有显示 MX 记录。
有人可以帮忙吗?
我在路由器 PC 上设置了 bind9。它充当我家庭网络中所有机器的 DNS 服务器。它配置为仅将 DNS 请求转发到 stubby(在本地监听端口 54321),然后 stubby 通过 TLS 将这些 DNS 请求安全地发送到某个全局 DNS 服务器。通常情况下,它工作正常,除非发生超时,如下所示(取自系统日志):
Feb 05 15:51:19 router named[512]: timed out resolving 'accounts.youtube.com/A/IN': 127.0.0.1#54321
当我打开时tcpdump,我发现这些超时请求正在以明文形式通过端口 53 发送到随机 (?) 名称服务器。由于没有耐心进行故障排除,我只能阻止端口 53 上的传出数据包,现在tcpdump在超时日志之后,系统日志中出现了一些新日志(显然,PCAPS 中不再显示此类请求):
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.5.6.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.33.14.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.26.92.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.31.80.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.35.51.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.42.93.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.54.112.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.43.172.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.48.79.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.52.178.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.41.162.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.55.83.30#53
Feb 05 15:51:19 router named[512]: permission denied resolving 'accounts.youtube.com/A/IN': 192.12.94.30#53
发生了什么事?为什么 bind9 会故障转移到所有这些 DNS 服务器,完全绕过配置为唯一转发器的 stubby?这是我的named.conf.options文件:
options {
directory "/var/cache/bind";
forwarders {
127.0.0.1 port 54321;
};
dnssec-validation yes;
allow-recursion { localhost; localnets; 192.168.0.0/24; };
listen-on { 127.0.0.1; 192.168.0.0; };
listen-on-v6 { none; };
};
我已配置 DHCP 服务器,以便它为网络中的所有计算机(包括路由器)设置所有网络接口,以便它们仅使用在路由器 PC 上运行的我自己的 DNS 服务器,因此我相信(日志似乎证实了这一点)bind9 本身决定尝试其他 DNS 服务器,而无需我明确允许。出现了三个问题:
我意外删除了 DKIM 记录,而提供商遇到问题,无法紧急向我提供 DNS 记录。
我收到了来自该提供商的电子邮件,但该电子邮件已被归为垃圾邮件。
因为我知道这封电子邮件是使用有效的 DKIM 密钥签名的,我可以反转签名并提取公共 DKIM 密钥吗?提取后,我会将密钥保存在域 DNS 页面中。
我收到以下错误:
3.033 Err:32 http://security.ubuntu.com/ubuntu noble-updates/main amd64 linux-libc-dev amd64 6.8.0-51.52
3.034 404 Not Found [IP: 91.189.91.82 80]
尝试在 Docker 容器内运行以下命令时:
FROM ubuntu:24.04
RUN apt update
RUN apt upgrade
RUN apt -y install build-essential
这是与 DNS 相关的问题吗?
/etc/resolv.conf在 Docker 容器中:
# Generated by Docker Engine.
# This file can be edited; Docker Engine will not make further changes once it
# has been modified.
nameserver 172.236.0.51
nameserver 172.236.0.54
nameserver 172.236.0.48
nameserver 172.236.0.46
nameserver 172.236.0.50
nameserver 172.236.0.47
nameserver 172.236.0.53
nameserver 172.236.0.52
nameserver 172.236.0.45
nameserver 172.236.0.49
search members.linode.com ip.linodeusercontent.com
# Based on host file: '/run/systemd/resolve/resolv.conf' (legacy)
# Overrides: []
/etc/resolv.conf它与我的主机(Ubuntu 24.04)不同:
ll /etc/resolv.conf
lrwxrwxrwx 1 root root 37 Jan 23 18:19 /etc/resolv.conf -> /run/systemd/resolve/stub-resolv.conf
cat /etc/resolv.conf
nameserver 127.0.0.53
options edns0 trust-ad
search members.linode.com ip.linodeusercontent.com
但/run/systemd/resolve/resolv.conf在主机上匹配。
我不明白为什么resonv.conf我的主机上有两个不同的。
还不太清楚Docker 容器内的 DNS 是否配置正确。
编辑1
Docker容器中的路由:
ip route show
default via 172.17.0.1 dev eth0
172.17.0.0/16 dev eth0 proto kernel scope link src 172.17.0.3
主机上的路由:
ip route show
default via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1
172.18.0.0/16 dev br-7c0ebcfd4e3a proto kernel scope link src 172.18.0.1
172.20.0.0/16 dev br-99d8bde8e488 proto kernel scope link src 172.20.0.1
172.236.0.45 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.46 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.47 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.48 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.49 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.50 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.51 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.52 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.53 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.0.54 via 172.236.29.1 dev eth0 proto dhcp src 172.236.29.157 metric 1024
172.236.29.0/24 dev eth0 proto kernel scope link src 172.236.29.157 metric 1024
172.236.29.1 dev eth0 proto dhcp scope link src 172.236.29.157 metric 1024
从 Docker 容器中:
ping 91.189.91.82
PING 91.189.91.82 (91.189.91.82) 56(84) bytes of data.
64 bytes from 91.189.91.82: icmp_seq=1 ttl=47 time=82.5 ms
64 bytes from 91.189.91.82: icmp_seq=2 ttl=47 time=82.6 ms
telnet security.ubuntu.com 80
Trying 91.189.91.81...
Connected to security.ubuntu.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.
编辑2
从 Docker 容器中:
root@4e534b3b6847:/# apt install --no-cache linux-libc-dev
E: Command line option --no-cache is not understood in combination with the other options
root@4e534b3b6847:/# df -h
Filesystem Size Used Avail Use% Mounted on
overlay 49G 34G 15G 70% /
tmpfs 64M 0 64M 0% /dev
shm 64M 0 64M 0% /dev/shm
/dev/sda 49G 34G 15G 70% /etc/hosts
tmpfs 985M 0 985M 0% /proc/acpi
tmpfs 985M 0 985M 0% /proc/scsi
tmpfs 985M 0 985M 0% /sys/firmware
root@4e534b3b6847:/# apt clean
root@4e534b3b6847:/# apt install linux-libc-dev
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
The following NEW packages will be installed:
linux-libc-dev
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 1,769 kB of archives.
After this operation, 7,508 kB of additional disk space will be used.
Ign:1 http://archive.ubuntu.com/ubuntu noble-updates/main amd64 linux-libc-dev amd64 6.8.0-51.52
Err:1 http://security.ubuntu.com/ubuntu noble-updates/main amd64 linux-libc-dev amd64 6.8.0-51.52
404 Not Found [IP: 185.125.190.82 80]
E: Failed to fetch http://security.ubuntu.com/ubuntu/pool/main/l/linux/linux-libc-dev_6.8.0-51.52_amd64.deb 404 Not Found [IP: 185.125.190.82 80]
E: Unable to fetch some archives, maybe run apt-get update or try with --fix-missing?
编辑3
在主机上:
$ apt-cache policy linux-libc-dev
linux-libc-dev:
Installed: 6.8.0-52.53
Candidate: 6.8.0-52.53
Version table:
*** 6.8.0-52.53 500
500 http://mirrors.linode.com/ubuntu noble-updates/main amd64 Packages
500 http://security.ubuntu.com/ubuntu noble-security/main amd64 Packages
100 /var/lib/dpkg/status
6.8.0-31.31 500
500 http://mirrors.linode.com/ubuntu noble/main amd64 Packages
在 Docker 容器中:
# apt-cache policy linux-libc-dev
linux-libc-dev:
Installed: (none)
Candidate: 6.8.0-51.52
Version table:
6.8.0-51.52 500
500 http://archive.ubuntu.com/ubuntu noble-updates/main amd64 Packages
500 http://security.ubuntu.com/ubuntu noble-security/main amd64 Packages
6.8.0-31.31 500
500 http://archive.ubuntu.com/ubuntu noble/main amd64 Packages
我最近在我们的网络防火墙上设置了 ECMP,以便在 ISP 之间实现完全多宿主。
SPF 的正确设置并不难,但这种 1970 年代风格的反垃圾邮件工具就没那么简单了...我们的一些交易对手(运行自己的 postfix 实例,必须继续接受我发送的邮件)坚持使用“reject_unknown_client_hostname”运行 postfix,这是来自文档的定义:“当 1)客户端 IP 地址->名称映射失败,或 2)名称->地址映射失败,或 3)名称->地址映射与客户端 IP 地址不匹配时拒绝请求。”基本上,给定 IP 的 PTR 记录确实需要正确。
因为我们的 postfix 服务器不知道对于给定的连接它实际上会传出哪个公共 IP,所以无论它传出哪个链接,我们都必须在 EHLO 消息中发送相同的服务器名称。
除了运行整个其他 postfix 实例之外,我们能想到的最佳解决方案是让两个公共 IP 上的 PTR 记录指向相同的 A 记录名称,然后为该名称设置两个 A 记录,每个 IP 一个。我知道这通常是一个糟糕的想法,因为许多操作系统库甚至不会向客户端返回多个 A 记录,这肯定会导致难以解决的故障。还有其他选择吗?
以下元素
# postconf myhostname
myhostname = hostname.example.com
# postconf mydomain
mydomain = example.com
# postqueue -p
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
87C5DDD44B* 418 Mon Jan 6 13:02:36 root@ubuntu-4gb-nbg1-1
[email protected]
导致收件人邮件服务器超时:
connect to in-smtp.example.org[192.0.2.1]:25: Connection timed out
邮件发件人标识from=<root@ubuntu-4gb-nbg1-1>为mail.log。
hostname.example.com和拥有其example.com适当的 DNSA记录和TXT SPF允许的记录ip4:198.51.100.1。
服务提供商(在本例中为 Hetzner)具有针对设置为 的主 IPv4 地址的反向 DNS 条目example.com。
我以为是邮件发件人字符串被 MX 服务器拒绝了。但是当我这样做时, 日志中出现了正确的发件人。mail -s 'subject' "From: [email protected]" [email protected]
那么配置可能缺少什么呢?
上下文:
• 由第三方处理的电子邮件服务
• VPS 具有 Postfix 作为仅发送邮件服务器。
DNS 有两个 TXT 记录,名称为@
v=spf1 include:spf.someengine.com ?all
v=spf1 mx ip4:111.222.333.444 ~all
这种配置会给邮件服务器带来问题吗?最好将它们统一到一个条目中,例如
v=spf1 include:spf.someengine.com mx ip4:111.222.333.444 ~all
?
我不是 DNS 或 IPv6 方面的专家,但我正在尝试将我们的 www 网站迁移到新主机。旧主机有 A 和 AAAA 记录,我已更新这些记录(并检查了新主机中是否启用了 ipv6 并做出响应)
现在的情况是,ipv4 ping 和 http 转到新站点,但 ipv6 仍然转到旧站点。
我正在调试这种情况,奇怪的dig our.domain AAAA是给出了正确的地址并traceroute6 our.domain立即返回旧的 ipv6
这怎么可能?我应该等待传播吗,还是出了什么问题?浏览器似乎更喜欢 IPv6,所以当不同的协议指向不同的主机时,事情现在有点奇怪
我正在构建仅限白名单的 Windows 防火墙设置。
我在 VMWare Workstation Pro 17 上安装了 Windows 10,以便进行实验。
我已禁用所有:
netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound
netsh advfirewall firewall set rule all new enable=no
并启用了一些:
netsh advfirewall firewall set rule name="File and Printer Sharing (Echo Request - ICMPv4-In)" new enable=yes
netsh advfirewall firewall set rule name="Remote Desktop - User Mode (TCP-In)" new enable=yes
netsh advfirewall firewall set rule name="Core Networking - DNS (UDP-Out)" new enable=yes
netsh advfirewall firewall set rule name="Core Networking - Dynamic Host Configuration Protocol (DHCP-Out)" new enable=yes
netsh advfirewall firewall set rule name="File and Printer Sharing (SMB-Out)" new enable=yes
我无法让 DNS 工作。使用标准防火墙,我可以通过名称或 IP ping 我的主机。当我限制防火墙时,我只能使用 IP。
有人会认为这只是启用现有规则之一的问题。其实启用所有现有规则也很容易。但这不会有什么不同。(而且有很多 DNS、SMB、NB 等规则。)
如果我想像这样 ping 我的 Windows 主机,有人知道我应该在防火墙中启用或添加什么吗:
ping my-VMware-host
如果您有时间,我对解决出站电子邮件的 rDNS 警告有点困惑。我有这个设置...
http web server (ip 1.2.3.4, hostname apps.acme.com)
smtp mail server (ip 1.2.3.5, hostname mail.acme.com)
DNS A record (Domain name = acme.com, ip = 1.2.3.4) --> web server
PTR record (Domain name = acme.com, ip = 1.2.3.5) --> smtp server
smtp 服务器仅发送邮件,没有入站邮件,没有 MX 记录等。
但是,当我检查邮件信誉分数时,我看到 rDNS 警告,并发现 PTR 记录应该具有相应的 A 记录(前向确认)。但是,如果我为 smtp 服务器创建第二个 DNS A 记录...
DNS A record (Domain name = acme.com, ip = 1.2.3.5) --> smtp server
这是否意味着权威服务器会将一些 acme.com DNS 解析流量引导到 smtp 服务器?非常感谢您阅读本文。