Meu provedor de serviços de Internet manipulou meu registro de pesquisa inversa de DNS para um único endereço IP estático?

26

Eu assumi a tarefa de executar um pequeno servidor de email, e o mundo do spam o torna mais desafiador para um indivíduo, pois muitos MTAs são altamente paranóicos em aceitar emails.

Acho que configurei quase tudo que poderia ser um problema com êxito: um certificado SSL comercial, DKIM, um domínio adequado e endereço IP estático. Meu e-mail (malicioso) na verdade sai quase o tempo todo. Mas os MTAs mais paranóicos ainda estão rejeitando meu e-mail - Craigslist por exemplo - e parece ser minha pesquisa inversa na falha.

Alterei recentemente meu endereço IP estático e meu serviço com meu ISP. Quando eles mudaram, tentei configurar isso corretamente, mas temo que não. Mas não tenho 100% de certeza do que está errado ou da aparência do meu registro reverso.

Eu especialmente não quero abordar meu provedor de serviços de Internet com uma atitude "Olha, eu não sei qual é o problema, mas você precisa corrigi-lo de qualquer maneira". Se houver algum problema, quero poder descrever exatamente o que é antes de ligar para o NOC. Eles não oferecem um painel de controle para isso, pelo que sei, por isso não quero tentar a paciência de ninguém com várias tentativas e erros.

OK, os detalhes, redigidos e fictícios, mas consistentes:

Domain:                      funkeedomain.org
Mailserver (DNS MX record):  mx.funkeedomain.org
Static IP address:           111.222.333.444
Static IP address reversed:  444.333.222.111
FQDN originally requested of the ISP for reverse lookups: main.funkeedomain.org

Aqui está um aviso de rejeição típico do meu servidor de email (hMailServer):

Your message did not reach some or all of the intended recipients.

   Sent: Thu, 12 Jan 2017 11:53:50 -0800 (PST)
   Subject: Blah blah blah

The following recipient(s) could not be reached:

[email protected]
   Error Type: SMTP
   Remote server (64.235.154.109) issued an error.
   hMailServer sent: .
   Remote server replied: 550 permanent failure for one or more recipients ([email protected]:550 Sender IP reverse lookup rejected)

hMailServer

Um verificador comercial de envio de e-mail me diz:

main.funkeedomain.org.333.222.111.in-addr.arpa          Failed - No A Record Found in DNS

Muito bem. O que as ferramentas de DNS me dizem?

stew@griffin:~$ host 111.222.333.444
444.333.222.111.in-addr.arpa domain name pointer main.funkeedomain.org.333.222.111.in-addr.arpa.

stew@griffin:~$ dig -x 111.222.333.444
; <<>> DiG 9.10.3-P4-Ubuntu <<>> -x 111.222.333.444
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16150
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;444.333.222.111.in-addr.arpa.   IN      PTR

;; ANSWER SECTION:
444.333.222.111.in-addr.arpa. 86365 IN   PTR     main.funkeedomain.org.333.222.111.in-addr.arpa.

;; Query time: 0 msec
;; SERVER: 10.0.0.4#53(10.0.0.4)
;; WHEN: Thu Jan 12 19:09:11 PST 2017
;; MSG SIZE  rcvd: 93

Ao ler exemplos ( http://www.gettingemaildelivered.com/how-to-set-up-reverse-dns-rdns, por exemplo), minha forte impressão é de que isso está errado e meu registro reverso configurado pelo meu ISP deve seja um PTR para "main.funkeedomain.org", NÃO "main.funkeedomain.org.333.222.111.in-addr.arpa".

Estou certo em pensar isso? O que devo esperar no meu registro reverso, se não o que estou encontrando?

Obrigado a todos que responderam e ao meu editor de cópias de gramática pós-postagem.

As respostas de HBruijn e Andrew B estavam corretas, mas parecem querer que eu selecione as de HBruijn, que também são mais curtas, e eu também.

Eu tive que ligar pelo menos cinco vezes para resolver isso. Ter um diagnóstico 100% preciso foi certamente a chave para eu conseguir passar cegamente três níveis de escalação com êxito - nunca tive permissão para falar diretamente com o departamento DNS.

Obrigado a todos novamente.

domain-name-system email-server reverse-dns static-ip StewLG
fonte
10
Em geral, com problemas de DNS, o uso do domínio real ajuda a comunidade a resolver problemas com muito mais facilidade.
HBruijn
1
O Google também verifica o registro PTR. Não sei por que você chama isso de paranóico; interrompe uma quantidade muito grande de spam.
Michael Hampton
1
Tem havido muita discussão sobre o uso de domínios de exemplo oficiais, não um nome aleatório. Como você oculta o endereço IP, acho que o nome que você usa também não é seu domínio real?
JDługosz 14/01
xxxxxxxxxxxxxxx
StewLG

Respostas:

33

444.333.222.111.in-addr.arpa. 86365 IN PTR main.funkeedomain.org.333.222.111.in-addr.arpa.

Parece que nos dados da zona DNS reversa alguém esqueceu de adicionar um ponto final .ao nome do host para indicar que é um nome de host completo. Na abreviação do DNS, qualquer nome de host simples é anexado com $ ORIGIN.

Os dados corretos da zona seriam

444.333.222.111.in-addr.arpa. 86365 IN   PTR     main.funkeedomain.org.

ou na mão abreviada do DNS, você pode opcionalmente omitir o $ORIGINie 333.222.111.in-addr.arpa:

444                           86365 IN   PTR     main.funkeedomain.org.
HBruijn
fonte
49

Veja a seção de respostas um pouco mais de perto:

;; ANSWER SECTION:
444.333.222.111.in-addr.arpa. 86365 IN   PTR     main.funkeedomain.org.333.222.111.in-addr.arpa.

Especificamente, o valor do registro PTR:

main.funkeedomain.org.333.222.111.in-addr.arpa.

Seu ISP esqueceu de adicionar o ponto final ao seu FQDN. Isso está fazendo com que o software DNS anexe o nome do arquivo de zona ao final dos dados.

Diga a eles que olhem novamente para o seu registro DNS reverso, mencione o ponto à direita e, se tiverem algum sentido, saberão exatamente o que fizeram de errado.

Andrew B
fonte
Se você vem das Perguntas sobre a Hot Network, faça o voto positivo no HBrujin. Esta resposta já está no meu top 5 de todos os tempos e está ficando um pouco boba. (@HBrujin sua campanha de guerra psicológica para me fazer lamentar respondendo este 60 segundos antes que você está trabalhando)
Andrew B
Se você acha isso ruim, dê uma olhada nas minhas 5 principais respostas no StackOverflow. Apenas o 2 é IMHO bastante interessante.
Barmar
@AndrewB Já tenho privilégios de moderador, como você pode tomar os pontos para que possa obter seus próprios superpoderes próximo nível em 20k
HBruijn
1

Além de corrigir a entrada reversa (consulte as respostas de Andrew B e HBruijn), parece que suas entradas avançadas também podem estar confusas. Se o nome do host do servidor for main.funkeedomain.org, você também não deve ter mx.funkeedomain.org envolvido; em vez disso, você deve ter um registro do tipo "MX" apontando de funkeedomain.org para main.funkeedomain.org e um registro "A" apontando de main.funkeedomain.org para 111.222.333.444. Basicamente, você deseja que as pesquisas futuras sejam assim:

$ host -t mx funkeedomain.org
funkeedomain.org mail is handled by 10 main.funkeedomain.org.
$ host main.funkeedomain.org
main.funkeedomain.org has address 111.222.333.444

Os registros no seu arquivo de zona devem ter a seguinte aparência:

funkeedomain.org.       MX 10 main.funkeedomain.org.
main.funkeedomain.org.  A 111.222.333.444

Ou eles podem ter o nome da zona (funkeedomain.org) implícito, indicado por um final "" ausente. (como Andrew B suspeita ser o problema com o registro reverso), assim:

     MX 10 main.funkeedomain.org.
main A 111.222.333.444

... ou qualquer número de outras variantes.

Gordon Davisson
fonte
O MX não é relevante aqui, pois trata-se apenas de mensagens de entrada. Para ser aceito como uma fonte de correio de saída, o OP deve verificar se há uma correspondência entre (1) o fqdn que o MTA emite como saudação EHLO, (2) o fqdn obtido ao procurar o DNS reverso do IP usado pelo MTA e (3) o IP para o qual esse fqdn resolve o DNS de encaminhamento. Para evitar confusões, é melhor ainda evitar vários registros PTR e / ou múltiplos A para o ip / fqdn envolvido ...
Hagen von Eitzen