Advanced

Omvendt DNS — Viktigheten av serverens identitet

Picture of Richard Sutherland
Richard Sutherland
  • 9 minutters lesetid
  • 23 visninger
  • 0 likere

Innholdsfortegnelse

Tags

  • Dig, Fcrdns, InAddrArpa, MailServer, PtrRecord, Rdns, ReverseDns, Vps

Lignende veiledninger

DNS-sikkerhet: Slik beskytter du domenet ditt

  • 25

DNS-propagasjon — Årsaker til at endringer ikke skjer umiddelbart (og hvordan du kan sjekke)

  • 26

SRV-oppføringer: Tjenestesøking ut over nettsteder og e-post

  • 23

Introduksjon

Alle DNS-oppslagene vi har gått gjennom så langt fungerer i én retning: Du starter med et navn og får tilbake et tall. Skriv inn stw.no, så får du en IP-adresse. Det er standard DNS, og det er dette som gjør at nettlesing og e-postlevering fungerer.

Omvendt DNS fungerer motsatt. Det tar utgangspunkt i en IP-adresse og sender tilbake et navn. Det svarer på spørsmålet: “Hvilket navn oppgir serveren med adressen 203.0.113.50 at den har?”

Når e-postserveren din sender en melding, sjekker mottakerserveren ofte omvendt DNS for å se om avsender-IP-adressen har et gyldig navn tilknyttet seg. Hvis den ikke har det, eller hvis navnet ikke stemmer overens, er det større sannsynlighet for at meldingen blir merket som spam eller avvist direkte.

Når du har lest denne veiledningen, vil du forstå hvordan omvendt DNS fungerer og hvorfor det er viktig for serverens omdømme.

Slik fungerer omvendt DNS

PTR-oppføringer

Omvendt DNS bruker en oppføringstype kalt PTR (Pointer). En PTR-oppføring knytter en IP-adresse til et vertsnavn. Dette er det motsatte av en A-oppføring.

Retning Oppføringstype Inn Ut
Framover A dittdomene.com 203.0.113.50
Omvendt PTR 203.0.113.50 dittdomene.com

in-addr.arpa-sonen

PTR-oppføringer ligger ikke i den vanlige domenesonen din (der A-, MX- og CNAME-oppføringene dine befinner seg). De ligger i en egen omvendt sone under .in-addr.arpa, med IP-adressen skrevet baklengs.

For IP-adressen 203.0.113.50 er PTR-oppføringen:

50.113.0.203.in-addr.arpa

Det omvendte formatet finnes fordi DNS er hierarkisk og leses fra høyre til venstre. Ved å snu IP-adressen kan DNS-hierarkiet delegere ansvaret for IP-blokker på samme måte som det delegerer ansvaret for domenenavn.

For IPv6-adresser er den tilsvarende sonen .ip6.arpa, og hvert heksadesimaltall får sin egen etikett. Dette gjør at IPv6-PTR-oppføringer blir veldig lange, men prinsippet er det samme.

Hvem kontrollerer PTR-oppføringen?

Det er her omvendt DNS skiller seg fra alt annet vi diskuterer i denne serien.

PTR-oppføringene ligger ikke i DNS-sonen til domenet ditt. Du kan ikke legge dem til eller redigere dem i DNS-administratoren. De tilhører den som kontrollerer IP-adressen, vanligvis webhotellet ditt.

Hvis domenet ditt ligger hos én leverandør, men serveren din er hostet et annet sted, må du konfigurere omvendt DNS hos serverleverandøren. Ikke konfigurer det hos domeneregistratoren eller DNS-leverandøren.

Hvis serveren din er hostet et annet sted, bør du ta kontakt med leverandøren din. De fleste leverandører av VPS- og dedikerte servere tilbyr muligheten til å konfigurere omvendt DNS via kontrollpanelet sitt.

Trinn 1: Derfor er omvendt DNS viktig

Kontroll av e-postomdømme

Når e-postserveren din kobler seg til en mottakerserver (for eksempel Gmail, Outlook eller en annen leverandør), utfører mottakerserveren flere kontroller før den godtar meldingen. En av disse kontrollene er et omvendt DNS-oppslag på e-postserverens IP-adresse.

Slik fungerer kontrollen:

  1. Serveren din kobler seg til fra IP 203.0.113.50.
  2. Mottakerserveren søker opp PTR-oppføringen for 203.0.113.50.
  3. Den returnerer et vertsnavn (f.eks. mail.dittdomene.com).
  4. Deretter utfører den en vanlig DNS-oppslag på det vertsnavnet for å bekrefte at det peker tilbake til 203.0.113.50.
  5. Hvis det er samsvar mellom søkene i begge retninger, er identitetskontrollen bestått.

Denne metoden, “forward-confirmed reverse DNS” (FCrDNS) fungerer som en slags nummervisning for e-postservere. Spammere sender ofte e-post fra servere uten omvendt DNS (eller med feilaktig omvendt DNS), så mange e-postservere bruker denne kontrollen som et viktig troverdighetssignal.

Hva skjer hvis omvendt DNS er feil?

Situasjon Resultat
Det fins ingen PTR-oppføring Mange mottakerservere vil avvise tilkoblingen eller merke meldingen som spam
PTR-oppføringen finnes, men stemmer ikke overens med serverens vertsnavn Økt spam-score; enkelte leverandører avviser meldingen direkte
PTR matcher og vanlig DNS-oppslag bekrefter Godkjent. Dette eliminerer én vanlig grunn til å mistenke meldingen.

Omvendt DNS er ikke den eneste faktoren som påvirker e-postlevering (SPF, DKIM og DMARC fra del 6 er like viktige), men en manglende eller feilaktig PTR-oppføring er en av de enkleste tingene å sjekke, og én av grunnene til at e-post fra en egenhostet server ofte havner i spam-mappen.

Mer enn bare e-post

Omvendt DNS benyttes også til:

  • Serverlogger. Mange webservere og brannmurer loggfører det omvendte DNS-navnet til klienter som kobler seg til, noe som gjør loggene lettere å lese enn rene IP-adresser.
  • Tilgangskontroll. Noen tjenester begrenser tilgangen basert på omvendt DNS (f.eks. ved å kun tillate tilkoblinger fra verter med gyldige PTR-oppføringer).
  • Diagnostikk. Verktøy som traceroute viser omvendte DNS-navn for hvert hopp, noe som gjør nettverksbanene lettere å forstå.

Trinn 2: Sjekk din egen omvendte DNS

Ved hjelp av dig

For å utføre et omvendt DNS-oppslag, bruk dig med flagget -x:

dig -x 203.0.113.50

Hvis det finnes en PTR-oppføring, vil du se noe slikt som:

;; ANSWER SECTION:
50.113.0.203.in-addr.arpa. 3600 IN PTR mail.dittdomene.com.

Hvis det ikke vises noen PTR i svarseksjonen (eller hvis forespørselen returnerer NXDOMAIN), er ikke omvendt DNS konfigurert for den aktuelle IP-adressen.

Kontroller at standardoppslaget matcher

Når du har mottatt PTR-resultatet, må du kontrollere at det vanlige DNS-oppslaget samsvarer:

dig A mail.dittdomene.com
dig AAAA mail.dittdomene.com

For servere som sender IPv4, bør vertsnavnet peke tilbake til senderens IPv4-adresse via en A-oppføring. For servere som sender IPv6, bør det peke tilbake til senderens IPv6-adresse via en AAAA-oppføring. Hvis det returnerer en annen IP-adresse (eller ikke gir noe resultat), foreligger det en uoverensstemmelse som må rettes opp.

Windows-brukere

I Windows kan du kjøre nslookup 203.0.113.50 for å foreta et raskt omvendt oppslag, eller bruke Google Admin Toolbox med PTR som valgt oppføringstype.

Trinn 3: Sett opp omvendt DNS

På en VPS-server fra ServeTheWorld

PTR-oppføringer publiseres i den leverandørstyrte omvendte DNS-sonen. For IP-adresser som hostes av STW, må du behandle rDNS som en endringsforespørsel fra leverandørens side, ikke som en vanlig endring i DNS-administrasjon.

  1. Bestem hvilket vertsnavn du vil bruke (for eksempel mail.dittdomene.com).
  2. Opprett og bekreft først tilsvarende vanlig DNS (A for IPv4, AAAA for IPv6).
  3. Hent serverens IP-adresse og vertsnavnet til målet.
  4. Logg inn på my.servetheworld.net og kontakt STW-kundestøtte for å be om endring av PTR/rDNS for den aktuelle IP-adressen.
  5. Etter at du har fått en bekreftelse bør du sjekke på nytt med dig -x og vanlig oppslag.

Matchende A-oppføring

Før du konfigurerer omvendt DNS, må du sørge for at du har en tilsvarende A-oppføring i DNS-sonen til domenet ditt. Hvis du angir PTR-oppføringen til mail.dittdomene.com, må det finnes en A-oppføring for mail.dittdomene.com som peker tilbake til den samme IP-adressen.

Oppføring Navn Type Verdi
Vanlig oppslag (i DNS-sonen din) mail A 203.0.113.50
Omvendt (angitt av webhotellet ditt) 50.113.0.203.in-addr.arpa PTR mail.dittdomene.com

Begge oppføringene må peke til hverandre. Hvis de ikke stemmer overens, mislykkes FCrDNS-sjekken.

Vanlige PTR-vertsnavn

Vertsnavnet du bruker for omvendt DNS, bør være et ekte navn som kan slås opp. Vanlige valg:

  • mail.dittdomene.com hvis serveren hovedsakelig håndterer e-post.
  • server1.dittdomene.com eller vps.dittdomene.com for en allsidig server.
  • Rotdomenet ditt (dittdomene.com) er akseptabelt hvis serveren er vert for hovednettstedet og e-posten din.

Et generisk vertsnavn (f.eks. vps12345.eksempel.net) kan fortsatt fungere hvis oppslagene i begge retninger stemmer overens. Men å bruke et fast vertsnavn under ditt eget domene er vanligvis mer oversiktlig når det gjelder drift, merkevarebygging og feilsøking.

Trinn 4: Finn ut hvor feilen ligger

Når du har utført kontrollene ovenfor, kan du raskt finne ut hva som faktisk forårsaker eventuelle problemer:

Det du ser Hva det betyr Slik gjør du
dig -x <ipadresse> gir ikke noe svar Ingen PTR-oppføring angitt Be om rDNS/PTR fra webhotellet ditt
PTR oppgir et navn, men dig A/AAAA <navn> gir en annen avsender-IP Uoverensstemmelse mellom oppslag i hver retning Korriger A/AAAA-oppføringen eller oppdater PTR-oppføringen slik at de stemmer overens
PTR- og A-oppføringene stemmer overens rDNS er korrekt. Let etter andre årsaker. Sjekk SPF, DKIM, DMARC (se del 6), eller IP-omdømme
PTR er et generisk leverandørnavn (f.eks. vps12345.provider.net) Fungerer normalt som det skal hvis oppslag i begge retninger stemmer overens Valgfritt: be webhotellet ditt om et eget vertsnavn under domenet ditt

Hvis rDNS-sjekken er i orden, men e-posten fortsatt blir avvist, har problemet forflyttet seg fra DNS-identitet til omdømme eller e-postautentisering. Verktøy som MXToolbox Mail Server Test og mail-tester.com kan hjelpe deg med å finne ut hva som fortsatt ikke fungerer.

Vanlige feil

rDNS angir et vertsnavn som ikke eksisterer

Hvis du legger inn mail.dittdomene.com i PTR-oppføringen uten å opprette den tilsvarende A-oppføringen, vil kontrollen. Du bør alltid opprette A-oppføringen først, bekrefte den med dig, og deretter legge inn PTR-oppføringen.

IPv6 er blitt glemt

Hvis serveren din har en IPv6-adresse og sender e-post via IPv6, trenger den en egen PTR-oppføring. Mottakende servere sjekker hvilken IP-adresse tilkoblingen kommer fra. Hvis det er en IPv6-adresse og den ikke har noen PTR-oppføring, mislykkes kontrollen. Konfigurer omvendt DNS for både IPv4 og IPv6 hvis serveren din bruker begge deler.

Du antar at DNS-leverandøren administrerer PTR-oppføringer

PTR-oppføringer administreres av den som eier IP-adresseblokken. Det er webhotellet ditt, ikke DNS-leverandøren til domenet ditt. Hvis domenet ditt er registrert og DNS-hostet hos ett selskap, men serveren din står hos et annet, må du konfigurere omvendt DNS hos serverleverandøren.

Konklusjon

Omvendt DNS er et enkelt konsept: man slår opp en IP-adresse og får oppgitt et navn. Dette er viktig for levering av e-post. En riktig konfigurert PTR-oppføring med en matchende A-oppføring gir e-postserveren din en verifiserbar identitet som mottakerserverne kan stole på.

Hvis du drifter en e-postserver på en VPS-server fra ServeTheWorld (eller en hvilken som helst VPS) er konfigurering av omvendt DNS noe av det første du bør gjøre. Når PTR-endringen på leverandørsiden er på plass, rydder det av veien en av de vanligste årsakene til at e-post fra egne servere blir merket som spam.

I del 9 tar vi for oss spørsmålet alle stiller seg etter å ha gjort en DNS-endring: “Hvorfor har ikke endringen trådt i kraft ennå?” Vi ser nærmere på hva propagering egentlig er, hvordan du kan sjekke om en endring er aktiv, og i hvilke situasjoner det hjelper å tømme DNS-cachen (samt når det ikke hjelper).

Neste trinn:

Suksess!

Hvis du syntes denne veiledningen var nyttig, kan du gjerne like den og dele den med andre i fellesskapet.

Del
Foreslå forbedringer
Skroll til toppen

Del

Del denne lenken via

Eller kopier lenken

https://stw.no/no/kunnskapssenter/dns/omvendt-dns/Kopiert!

Gi oss en tilbakemelding

Del

Del denne lenken via

Eller kopier lenken

https://stw.no/no/kunnskapssenter/dns/omvendt-dns/Kopiert!

Gi oss en tilbakemelding