问题[domain-name-system](server)

我最近在我们的网络防火墙上设置了 ECMP，以便在 ISP 之间实现完全多宿主。

SPF 的正确设置并不难，但这种 1970 年代风格的反垃圾邮件工具就没那么简单了...我们的一些交易对手（运行自己的 postfix 实例，必须继续接受我发送的邮件）坚持使用“reject_unknown_client_hostname”运行 postfix，这是来自文档的定义：“当 1）客户端 IP 地址->名称映射失败，或 2）名称->地址映射失败，或 3）名称->地址映射与客户端 IP 地址不匹配时拒绝请求。”基本上，给定 IP 的 PTR 记录确实需要正确。

因为我们的 postfix 服务器不知道对于给定的连接它实际上会传出哪个公共 IP，所以无论它传出哪个链接，我们都必须在 EHLO 消息中发送相同的服务器名称。

除了运行整个其他 postfix 实例之外，我们能想到的最佳解决方案是让两个公共 IP 上的 PTR 记录指向相同的 A 记录名称，然后为该名称设置两个 A 记录，每个 IP 一个。我知道这通常是一个糟糕的想法，因为许多操作系统库甚至不会向客户端返回多个 A 记录，这肯定会导致难以解决的故障。还有其他选择吗？

以下元素

# postconf myhostname
myhostname = hostname.example.com
# postconf mydomain
mydomain = example.com
# postqueue -p
-Queue ID-  --Size-- ----Arrival Time---- -Sender/Recipient-------
87C5DDD44B*     418 Mon Jan  6 13:02:36  root@ubuntu-4gb-nbg1-1
                                         [email protected]

导致收件人邮件服务器超时：

connect to in-smtp.example.org[192.0.2.1]:25: Connection timed out

邮件发件人标识from=<root@ubuntu-4gb-nbg1-1>为mail.log。

hostname.example.com和拥有其example.com适当的 DNSA记录和TXT SPF允许的记录ip4:198.51.100.1。

服务提供商（在本例中为 Hetzner）具有针对设置为 的主 IPv4 地址的反向 DNS 条目example.com。

我以为是邮件发件人字符串被 MX 服务器拒绝了。但是当我这样做时， 日志中出现了正确的发件人。mail -s 'subject' "From: [email protected]" [email protected]

那么配置可能缺少什么呢？

上下文：
• 由第三方处理的电子邮件服务
• VPS 具有 Postfix 作为仅发送邮件服务器。

DNS 有两个 TXT 记录，名称为@
v=spf1 include:spf.someengine.com ?all
v=spf1 mx ip4:111.222.333.444 ~all

这种配置会给邮件服务器带来问题吗？最好将它们统一到一个条目中，例如
v=spf1 include:spf.someengine.com mx ip4:111.222.333.444 ~all ？

我不是 DNS 或 IPv6 方面的专家，但我正在尝试将我们的 www 网站迁移到新主机。旧主机有 A 和 AAAA 记录，我已更新这些记录（并检查了新主机中是否启用了 ipv6 并做出响应）

现在的情况是，ipv4 ping 和 http 转到新站点，但 ipv6 仍然转到旧站点。

我正在调试这种情况，奇怪的dig our.domain AAAA是给出了正确的地址并traceroute6 our.domain立即返回旧的 ipv6

这怎么可能？我应该等待传播吗，还是出了什么问题？浏览器似乎更喜欢 IPv6，所以当不同的协议指向不同的主机时，事情现在有点奇怪

我正在构建仅限白名单的 Windows 防火墙设置。

我在 VMWare Workstation Pro 17 上安装了 Windows 10，以便进行实验。

我已禁用所有：

netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound

netsh advfirewall firewall set rule all new enable=no

并启用了一些：

netsh advfirewall firewall set rule name="File and Printer Sharing (Echo Request - ICMPv4-In)" new enable=yes
netsh advfirewall firewall set rule name="Remote Desktop - User Mode (TCP-In)" new enable=yes
netsh advfirewall firewall set rule name="Core Networking - DNS (UDP-Out)" new enable=yes
netsh advfirewall firewall set rule name="Core Networking - Dynamic Host Configuration Protocol (DHCP-Out)" new enable=yes
netsh advfirewall firewall set rule name="File and Printer Sharing (SMB-Out)" new enable=yes

我无法让 DNS 工作。使用标准防火墙，我可以通过名称或 IP ping 我的主机。当我限制防火墙时，我只能使用 IP。

有人会认为这只是启用现有规则之一的问题。其实启用所有现有规则也很容易。但这不会有什么不同。（而且有很多 DNS、SMB、NB 等规则。）

如果我想像这样 ping 我的 Windows 主机，有人知道我应该在防火墙中启用或添加什么吗：

ping my-VMware-host

如果您有时间，我对解决出站电子邮件的 rDNS 警告有点困惑。我有这个设置...

http web server (ip 1.2.3.4, hostname apps.acme.com)
smtp mail server (ip 1.2.3.5, hostname mail.acme.com)

DNS A record (Domain name = acme.com, ip = 1.2.3.4) --> web server
PTR record (Domain name = acme.com, ip = 1.2.3.5) --> smtp server

smtp 服务器仅发送邮件，没有入站邮件，没有 MX 记录等。

但是，当我检查邮件信誉分数时，我看到 rDNS 警告，并发现 PTR 记录应该具有相应的 A 记录（前向确认）。但是，如果我为 smtp 服务器创建第二个 DNS A 记录...

DNS A record (Domain name = acme.com, ip = 1.2.3.5) --> smtp server

这是否意味着权威服务器会将一些 acme.com DNS 解析流量引导到 smtp 服务器？非常感谢您阅读本文。

我正在尝试配置 DNS 以处理跨多个子域的邮件，其中每个子域都有自己的邮件服务器。我的目标是将 user@%subdomain%.example.com 的邮件路由到 %subdomain%.example.com 下托管的服务器。

所需配置的示例：

• 发送至[email protected]的邮件应由 abcde.example.com 服务器处理
• 发往[email protected]的邮件应由 xyz.example.com 服务器处理

对于所有可能的子域名，也是如此。子域名有很多，因此无法为每个子域名手动添加 MX 记录。

可能有效的方法

_smtp._tcp.*.example.com. IN SRV 0 0 25 %.example.com.

这种配置看起来合乎逻辑，但我不确定邮件服务器对它的支持程度如何。我不知道 IMAP 和 POP3 是否有类似的东西。

我的问题

1. 实现这样的路由需要创建哪些 DNS 记录？
2. 是否可以设置通配符 MX 记录以自动将邮件路由到相应的子域？
3. 如果无法使用通配符 MX 记录，那么如何自动化为新子域创建 MX 记录的过程（最好以一种不花费太多时间的方式，也许使用动态 DNS）？

什么不起作用

• 将所有子域名通配符路由到单个域名，例如IN MX 10 central-mail.example.com.。仅当电子邮件无需解密数据包内容（例如 TLS/SSL 中的 SNI）即可路由到正确的服务器时，这种配置才是可接受的。

我将非常感激您对必要的 DNS 记录的详细解释以及任何其他建议。

PC + Wifi + 家庭服务器

-> 路由器 (Fritzbox)
-> UPC 电缆盒

我有 2 个互相接连的 NAT。

我遇到了一个奇怪的 DNS 问题。我将 DuckDns 配置为指向内部 IP 地址。解析在任何地方都有效，但在连接到 Fritzbox 的设备中无效。当 DuckDns 条目指向内部 IP（如 192.168.xy）时，会出现超时

如果 Duckdns 条目指向“真实”IP，则解析可以正常工作。

然后我将 Fritzbox 中的 DNS（配置菜单 -> DNS 服务器）切换为 9.9.9.9，但结果相同。有些事情没有按预期进行，因为：

nslookup xx.duckdns.org：超时 nslookup xx.duckdns.org 9.9.9.9：可以解决

当 Fritzbox 返回 NAT 内部的 IP 时，它似乎会抑制 DNS 查找。

这可信吗？

如何才能知道 Fritzbox 进行解析时真正使用了哪个 DNS？

你好，exae

应用程序堆栈有多个组件。例如 api、公共应用程序和内部应用程序。我想让内部应用程序只能从内部网络 IP 范围访问。我将 nginx（反向代理）配置为仅允许某些 IP 范围（例如 192.168.1.0/24）。我使用的域名是：mydomain.com

假设内部应用程序正在使用子域名app.mydomain.com 下还有一个网站（在外部运行），(www.)mydomain.com 外部 DNS（授权机构）配置为指向我的服务器的公共静态 IP，这是公共 API（例如api.mydomain.com）所需要的。

但在本地网络（包括 VPN）上，我想在内部引导流量。例如，PC 应该使用本地 IP 而不是公共 IP，这样 nginx 反向代理才会允许那些具有本地 IP 的 PC。为此，我正在配置还运行 DNS 服务器的 Windows AD 服务器。我正在尝试配置此 DNS 以将网络中的计算机引导到本地网络上的服务器。

当我尝试为 mydomain.com 定义一个主要区域，并为 app.mydomain.com 定义一个条目以指向内部服务器地址时，nslookup app.mydomain.com会返回本地 IP，但mydomain.com不再www.mydomain.com起作用。

有没有办法将所有其他子域指向外部 DNS（权威）？

当我尝试配置辅助区域时，传输失败。我认为权威机构（外部 DNS）不允许我这样做。

我想知道如何才能实现这一点？

我已经在我们组织的 DNS 服务器上设置了 PTR 记录。反向查找在我们的网络上有效，但在其他网络上无效。

在我看来，区域互联网注册局 RIR 方面需要采取一些行动。

我不知道如何与他们取得联系，那么他们为什么要按我的要求做呢？

我可以只配置 PTR 记录吗？如果我操作正确，它就会起作用吗？

我需要 RIR 做些什么吗？

每个人都是这么做的吗？

附言：我对 DNS 很熟悉，但是反向 DNS 目前对我来说有点令人困惑（我对它还不熟悉）。