Zpětné DNS vyhledávání
Zadej IPv4 nebo IPv6 adresu a okamžitě uvidíš, komu IP patří: PTR záznam, ověření FCrDNS, ASN a původní organizaci. Nejdůležitější kontrola, kterou bys měl udělat předtím, než pustíš jakoukoliv IP na internet, obzvlášť pro mail. Vyhledávání běží z Frankfurt FRA01, bez logování.
Co je zpětné DNS?
Zpětné DNS (rDNS) je opačný směr běžného DNS. Zatímco forward DNS mapuje jméno (kernelhost.com) na IP adresu, zpětné DNS mapuje IP zpět na jméno. Záznam pro tento účel se jmenuje PTR (Pointer). Reverzní jména žijí ve dvou vyhrazených prostorech jmen: in-addr.arpa pro IPv4 a ip6.arpa pro IPv6, oba poskládané z IP v obráceném pořadí oktetů resp. nibbles.
Příklad: IP 8.8.8.8 se stane 8.8.8.8.in-addr.arpa. PTR dotaz na toto jméno vrátí hostname (v tomto případě dns.google). Pro IPv6 se z adresy 2001:db8::1 stane 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa, kdy je každý hex nibble adresy zobrazen zvlášť a obráceně.
Kdo má PTR záznam pod kontrolou? Vlastník rozsahu IP, což bývá zpravidla upstream poskytovatel, hostingová firma nebo ISP. Vlastníci domén si PTR sami nastavit nemůžou, pokud jim není rozsah IP delegován (vzácné, možné u bloků /24 a větších). U jednoho VPS se PTR nastavuje v hostingovém panelu nebo přes support ticket.
FCrDNS: forward-confirmed reverse DNS
FCrDNS je nejdůležitější důvod, proč se vůbec o PTR záznamy zajímat. Myšlenka je prostá: PTR záznam ti dá hostname, ten hostname pak rozřešíš forwardem přes A nebo AAAA a vrácená IP musí odpovídat původní IP. Pokud ano, PTR je důvěryhodný. Pokud ne, PTR je považován za podvržený a moderní kontroly ho ignorují.
Mailové servery (Postfix, Exim, OpenSMTPD) a antispamové filtry (SpamAssassin, rspamd, Postscreen) ověřují FCrDNS u každého příchozího spojení. FCrDNS fail typicky přidá 1,0 až 3,5 bodu ke spam skóre (často to stačí na to, aby mail spadl do junku), a velcí poskytovatelé (Google, Microsoft, Yahoo) spojení rovnou odmítnou s chybou 550. Bez platného FCrDNS tvůj mail server fakticky neexistuje.
Ověření FCrDNS v tomto nástroji: přečteme PTR záznam, pak každý vrácený hostname rozřešíme forwardem přes A (IPv4) nebo AAAA (IPv6) a vrácené IP porovnáme s původní IP. Štítek ti hned řekne výsledek: zelený pro ověřeno, žlutý pokud žádný forward záznam neexistuje, červený při neshodě se seznamem IP, kam to ve skutečnosti ukazuje.
Časté případy použití
K čemu tenhle nástroj v praxi reálně potřebuješ:
- Uvedení mail serveru do provozu: Než pošleš první mail z nové IP, musí být nastaven PTR a FCrDNS musí svítit zeleně. Jinak Gmail, Outlook a další odmítnou nebo do junku odhodí každý mail, který odešleš. Ověř to tady, oprav v panelu poskytovatele, ověř znovu.
- Analýza spamu: Když ti přijde spam, dohledej PTR zdrojové IP. Chybějící nebo rozbitý PTR je silný signál spamu. PTR, který ukazuje na generické jméno z poolu ISP (dsl-broadband-pool-... apod.), je další klasický indikátor.
- Analýza logů a forenzika: V logu se ti objeví IP. Kdo to je? rDNS ti dá hostname (často něco jako ec2-..., crawler-..., cdn-...) a v kombinaci s ASN ti řekne cloud providera, zemi a organizaci. Během pár vteřin rozhodneš, jestli jde o legitimního bota, známého cloud zákazníka nebo něco k blokaci.
- Provoz sítě: Při debugování traceroute se mezilehlé hopy zobrazují podle PTR. Routery po cestě mají obvykle popisné PTR (frankfurt-edge1.isp.net, lhr-core2.example.com apod.), které ti řeknou geografickou i topologickou cestu, kudy paket teče.
- Abuse hlášení: Potřebuješ podat abuse report? PTR plus ASN ti řeknou, kterého poskytovatele kontaktovat (abuse@<org>). Bez rDNS bys musel IP dohledávat ve whois databázích RIPE/ARIN, což je pomalejší.
Jak nastavit PTR záznam
PTR záznamy se nenastavují na tvém autoritativním nameserveru pro forward zónu. Nastavují se v reverzní zóně, kterou deleguje vlastník IP (ARIN, RIPE, APNIC, LACNIC, AfriNIC) dolů na firmu držící IP blok. U jednoho VPS nebo dedikovaného serveru to znamená: požádej hostingového poskytovatele o nastavení PTR, nezkoušej to nastavovat ve vlastním DNS panelu.
Většina hostingových poskytovatelů nabízí self-service správu PTR v zákaznickém portálu. U KernelHost VPS a dedikovaných serverů je pole rDNS dostupné přímo v panelu správy serveru a změny PTR jsou aktivní během 5 až 10 minut. Pro kolokované IP je standardním postupem support ticket s požadovaným hostname pro každou IP.
Best practice pro mail: PTR a HELO se musí shodovat. Pokud se tvůj mail server hlásí jako mail.example.com (HELO mail.example.com), pak PTR pro tuto IP musí být mail.example.com a mail.example.com se musí A-záznamem rozřešit zpět na tu IP. Všechno tři v souladu = FCrDNS zelený = čistá reputace.
rDNS u KernelHostu
Každý KernelHost VPS, dedikovaný server, mailový a Minecraft server přichází se self-service správou PTR pro IPv4 i IPv6. Hostname pro každou IP si nastavíš v ovládacím panelu a změna je aktivní během pár minut, žádný support ticket nepotřebuješ. Pro IP bloky (/29 a větší) lze celou reverzní zónu delegovat na tvé vlastní nameservery.
Naše DNS infrastruktura běží jako DNSSEC-podepsaný Anycast ve Frankfurtu a ve Vídni, takže PTR dotazy z kteréhokoliv místa na světě se vyřídí v řádu desítek milisekund. Pokud se chystáš uvést do provozu mail server na nové IP a chceš mít od prvního dne co nejčistší reputaci, kombinace KernelHost rDNS + DKIM/SPF/DMARC v jednom panelu ti ušetří typický debugovací cyklus prvního dne.
Často kladené otázky
Jaký je rozdíl mezi DNS vyhledáváním a zpětným DNS vyhledáváním?
Forward DNS lookup vezme hostname (kernelhost.com) a vrátí IP přes A nebo AAAA záznamy. Zpětné DNS vyhledávání vezme IP a vrátí hostname přes PTR záznamy. Obojí je nezávislé: někdo může změnit jedno bez druhého. FCrDNS je křížová kontrola, která ověří, že obojí spolu souhlasí.
Proč moje IP nemá PTR záznam?
Protože ho nikdo nenastavil. PTR záznamy nemají žádnou výchozí hodnotu, držitel IP bloku (tvůj poskytovatel) je musí nastavit pro každou IP zvlášť. U běžných spotřebitelských připojení ISP obvykle nastaví generické pool jméno automaticky (něco jako dsl-host-...-isp.net). U hostingových zákazníků je správa PTR v panelu poskytovatele nebo dostupná přes support.
Proč FCrDNS hlásí neshodu, i když je PTR nastaven?
Protože hostname z PTR se forwardem nerozřeší zpět na stejnou IP. Buď pro tento hostname chybí A nebo AAAA záznam, nebo ukazuje na jinou IP. Oprava: ujisti se, že PTR je přesně ten hostname, na který ukazuje tvé A/AAAA, např. PTR = mail.example.com a A mail.example.com = tatáž IP.
Loguje se to vyhledávání?
Ne. Dotazovanou IP nelogujeme, nenasazujeme tracking cookies a neoslovujeme žádné third-party API kromě služby Team-Cymru DNS-Whois, což je obyčejný DNS-TXT dotaz na origin.asn.cymru.com (žádný HTTP, žádný API klíč). Cymru vidí IP našeho resolveru a IP, která se dohledává, ne tvoji IP.
Podporuje nástroj IPv6?
Ano, plně. Zadej IPv6 adresu v libovolné standardní notaci (komprimovanou jako 2001:db8::1 nebo expandovanou), nástroj sám sestaví správné ip6.arpa jméno (s obrácenými nibbles) a pro FCrDNS dohledá AAAA forward.
Můžu dohledat zpětné DNS pro privátní IP (10.x.x.x, 192.168.x.x)?
Ne. Privátní a rezervované rozsahy adres (10/8, 172.16/12, 192.168/16, 127/8, link-local, multicast) nelze dohledávat přes veřejné DNS, protože jejich reverzní zóny nejsou delegovány do veřejného rootu. PTR pro privátní IP je rozřešitelný pouze uvnitř sítě, která je vlastní, na lokálním resolveru.
Proč má jedna IP víc PTR záznamů?
Mít víc PTR záznamů na jednu IP (jedna IP obsluhuje víc hostnames) je technicky legální a bývalo to běžné v dobách sdíleného hostingu. Dnes se to u mail serverů nedoporučuje (FCrDNS pro dané HELO projde jen jeden z PTR), u webserverů se to toleruje, celkově je to vzácné. Pokud má tvá IP víc než jeden PTR, rozhodni se, který je kanonický, a zbytek odstraň.
Je rDNS / PTR povinný?
U mail serverů: ano, fakticky povinný. Bez FCrDNS-čistého PTR ti mail padá do spamu nebo bývá rovnou odmítnut. U webserverů: nepovinný, ale doporučený (logy jsou čistší, abuse hlášení jednodušší). U interních služeb nebo krátce žijících cloud workloadů: volitelný.
Všechny produkty KernelHost
Potřebujete víc než jen nástroje? Podívejte se na naši komerční nabídku hostingu.