Fordított DNS keresés
Adj meg egy IPv4 vagy IPv6 címet, és azonnal megtudod, kihez tartozik az IP: PTR rekord, FCrDNS verifikáció, ASN és a származási szervezet. A legfontosabb ellenőrzés, mielőtt bármilyen IP-t kitennél az internetre, különösen levelezésnél. A keresés Frankfurt FRA01-ből fut, naplózás nélkül.
Mi az a fordított DNS?
A fordított DNS (rDNS) a normál DNS ellenkező iránya. Míg a forward DNS egy nevet (kernelhost.com) képez le IP címre, addig a fordított DNS az IP-t alakítja vissza névvé. Az ehhez tartozó rekordtípus a PTR (Pointer). A fordított nevek két külön névtérben élnek: in-addr.arpa az IPv4-hez, ip6.arpa az IPv6-hoz, mindkettő az IP fordított oktett vagy nibble sorrendjéből épül fel.
Például a 8.8.8.8 IP-ből 8.8.8.8.in-addr.arpa lesz. Egy PTR lekérdezés erre a névre visszaadja a hostnevet (jelen esetben dns.google). IPv6-nál a 2001:db8::1 cím így alakul: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa, a cím minden hex nibble-je külön és fordított sorrendben.
Ki irányítja a PTR rekordot? Az IP tartomány tulajdonosa, ami általában az upstream szolgáltató, a hosting cég vagy az ISP. A domain tulajdonosok maguk nem tudnak PTR rekordot beállítani, hacsak nem kapják meg az IP tartomány delegálását (ritka, /24 vagy nagyobb blokkoknál lehetséges). Egyetlen VPS esetében a PTR-t a hosting vezérlőpaneljében vagy support ticketen keresztül állítod be.
FCrDNS: forward-confirmed reverse DNS
Az FCrDNS a legfontosabb ok, amiért foglalkoznod kell a PTR rekordokkal. Az ötlet egyszerű: a PTR rekord ad egy hostnevet, ezt feloldod forward irányba A vagy AAAA rekordon át, és a visszakapott IP-nek meg kell egyeznie az eredeti IP-vel. Ha egyezik, a PTR megbízható. Ha nem, a PTR hamisítottnak minősül, és a legtöbb modern ellenőrzés figyelmen kívül hagyja.
A mail szerverek (Postfix, Exim, OpenSMTPD) és spam szűrők (SpamAssassin, rspamd, Postscreen) minden bejövő kapcsolatnál ellenőrzik az FCrDNS-t. Egy FCrDNS bukás tipikusan 1,0 és 3,5 pont közötti spam pontszámot ad hozzá (gyakran ez elég ahhoz, hogy junk mappába kerüljön), és sok nagy szolgáltató (Google, Microsoft, Yahoo) egyenesen elutasítja a kapcsolatot 550-es hibával. Érvényes FCrDNS nélkül a mail szervered gyakorlatilag nem létezik.
FCrDNS verifikáció ezzel az eszközzel: kiolvassuk a PTR rekordot, majd minden visszakapott hostnevet forward irányba feloldunk A (IPv4) vagy AAAA (IPv6) rekordon át, és összevetjük a visszakapott IP-ket az eredeti IP-vel. A badge azonnal megmutatja: zöld, ha ellenőrizve, sárga, ha egyáltalán nincs forward rekord, piros eltérésnél azzal a listával, hová mutat ténylegesen.
Gyakori felhasználási esetek
Mire van valójában szükséged erre az eszközre a napi üzemeltetésben:
- Mail szerver üzembe helyezése: Mielőtt egy új IP-ről elküldenéd az első levelet, a PTR-nek be kell állítva lennie és az FCrDNS-nek zöldnek kell lennie. Ellenkező esetben a Gmail, Outlook és a többiek minden küldött leveledet elutasítják vagy junk-be teszik. Itt ellenőrzöd, a szolgáltatód vezérlőpaneljében javítod, majd újra ellenőrzöd.
- Spam elemzés: Ha spam-et kapsz, nézd meg a forrás IP PTR rekordját. A hiányzó vagy hibás PTR erős jel a spam-re. Egy generikus ISP pool névre mutató PTR (dsl-broadband-pool-... stb.) egy másik klasszikus indikátor.
- Log elemzés és forenzika: Egy IP felbukkan a logjaidban. Ki ez? Az rDNS megadja a hostnevet (gyakran valami ec2-..., crawler-..., cdn-... formájút), és az ASN-nel kombinálva megtudod a cloud szolgáltatót, országot és szervezetet. Másodpercek alatt eldöntöd, hogy legitim bot, ismert cloud ügyfél vagy blokkolandó dolog-e.
- Hálózati üzemeltetés: Traceroute hibakeresésnél a közbenső hopokat PTR alapján mutatja. Az útvonal mentén lévő routerek általában leíró PTR-ekkel rendelkeznek (frankfurt-edge1.isp.net, lhr-core2.example.com stb.), amelyek megmutatják a csomagod földrajzi és topológiai útvonalát.
- Abuse jelentések: Abuse jelentést kell beadnod? A PTR és az ASN együtt megmondja, melyik szolgáltatót keresd (abuse@<org>). rDNS nélkül a RIPE/ARIN whois adatbázisokban kéne kikeresned az IP-t, ami lassabb.
Hogyan állíts be PTR rekordot
A PTR rekordokat nem a forward zónát kezelő autoritatív nameserveren állítod be. A fordított zónán állítják be őket, amit az IP tulajdonosa (ARIN, RIPE, APNIC, LACNIC, AfriNIC) delegál tovább az IP blokkot birtokló cégig. Egyetlen VPS vagy dedikált szerver esetén ez azt jelenti: kérd meg a hosting szolgáltatót, hogy állítsa be a PTR-t, ne próbáld a saját DNS paneleden beállítani.
A legtöbb hosting szolgáltató self-service PTR kezelést kínál az ügyfélportálon. A KernelHost VPS és dedikált szervereknél az rDNS mező közvetlenül elérhető a szerver kezelőpaneljén, és a PTR változások 5 és 10 perc között élesednek. Colocation IP-knél a szabványos folyamat egy support ticket a kívánt hostnévvel IP-nként.
Best practice levelezéshez: a PTR-nek és a HELO-nak egyeznie kell. Ha a mail szervered mail.example.com néven jelentkezik be (HELO mail.example.com), akkor az IP PTR-jének mail.example.com-nak kell lennie, és a mail.example.com A rekordjának vissza kell oldódnia ugyanarra az IP-re. Mindhárom egyezik = FCrDNS zöld = tiszta reputáció.
rDNS a KernelHostnál
Minden KernelHost VPS, dedikált szerver, mail és Minecraft szerver self-service PTR kezeléssel érkezik IPv4-re és IPv6-ra egyaránt. A hostnevet IP-nként a vezérlőpanelen állítod be, és a változás perceken belül élesedik, support ticket nélkül. IP blokkoknál (/29 vagy nagyobb) a teljes fordított zóna delegálható a saját nameservereidre.
A DNS rétegünk DNSSEC-aláírt Anycast formában fut Frankfurtban és Bécsben, így a PTR lekérdezések a világ bármely pontjáról tíz milliszekundumos nagyságrendben oldódnak fel. Ha épp mail szervert készülsz üzembe helyezni egy új IP-n, és az első naptól a lehető legtisztább reputációt szeretnéd, a KernelHost rDNS + DKIM/SPF/DMARC ugyanazon a panelen kombináció megspórolja a tipikus első napos hibakeresési kört.
Gyakran ismételt kérdések
Mi a különbség a DNS keresés és a fordított DNS keresés között?
A forward DNS keresés egy hostnevet (kernelhost.com) vesz, és IP-t ad vissza A vagy AAAA rekordon át. A fordított DNS keresés egy IP-t vesz, és hostnevet ad vissza PTR rekordon át. A kettő független: bárki megváltoztathatja az egyiket a másik nélkül. Az FCrDNS az a kereszt-ellenőrzés, ami leigazolja, hogy a kettő egyezik.
Miért nincs PTR rekord az IP-mhez?
Mert senki nem állította be. A PTR rekordoknak nincs alapértelmezett értéke, az IP blokk birtokosának (a szolgáltatódnak) kell IP-nként beállítania őket. Otthoni kapcsolatoknál az ISP általában automatikusan beállít egy generikus pool nevet (valami dsl-host-...-isp.net formájút). Hosting ügyfeleknek a PTR kezelés a szolgáltató vezérlőpaneljében van, vagy support-on keresztül érhető el.
Miért mutat az FCrDNS eltérést, ha a PTR be van állítva?
Mert a PTR hostnév nem oldódik vissza forward irányba ugyanarra az IP-re. Vagy az A vagy az AAAA hiányzik ahhoz a hostnévhez, vagy egy másik IP-re mutat. Javítás: győződj meg arról, hogy a PTR pontosan az a hostnév, amire az A/AAAA mutat, pl. PTR = mail.example.com és A mail.example.com = ugyanaz az IP.
Naplózva van a keresés?
Nem. Nem naplózzuk a lekérdezett IP-t, nem teszünk követő sütiket és nem hívunk semmilyen harmadik fél API-t a Team-Cymru DNS-Whois szolgáltatáson kívül, ami egy szabályos DNS-TXT lekérdezés az origin.asn.cymru.com ellen (nincs HTTP, nincs API kulcs). A Cymru a mi resolverünk IP-jét és a lekérdezett IP-t látja, nem a tiédet.
Támogatja az eszköz az IPv6-ot?
Igen, teljes mértékben. Adj meg egy IPv6 címet bármilyen szabványos jelölésben (tömörítve, mint 2001:db8::1, vagy kifejtve), az eszköz automatikusan felépíti a helyes ip6.arpa nevet (nibble-fordítva), és lekérdezi az AAAA forward rekordot az FCrDNS-hez.
Lekérdezhetek fordított DNS-t privát IP-khez (10.x.x.x, 192.168.x.x)?
Nem. A privát és fenntartott címtartományok (10/8, 172.16/12, 192.168/16, 127/8, link-local, multicast) nem kérdezhetők le nyilvános DNS-en keresztül, mert a fordított zónáik nincsenek delegálva a nyilvános rootra. A privát IP-k PTR-je csak az őket birtokló hálózaton belül, a lokális resolveren oldható fel.
Miért van több PTR rekord egy IP-hez?
Technikailag legális több PTR rekordot tartani IP-nként (egy IP több hostnevet szolgál ki), és gyakori volt a shared hosting időkben. Ma mail szerverekhez nem ajánlott (csak az egyik PTR megy át az FCrDNS-en egy adott HELO-nál), webszerverekhez tolerált, összességében ritka. Ha az IP-dnek több PTR-je van, döntsd el, melyik a kanonikus, és a többit távolítsd el.
Kötelező az rDNS / PTR?
Mail szervereknek: igen, gyakorlatilag kötelező. FCrDNS-tiszta PTR nélkül a leveled spam-be megy vagy elutasítják. Webszervereknek: nem kötelező, de ajánlott (tisztábbak a logok, könnyebbek az abuse jelentések). Belső szolgáltatásoknak vagy rövid életű cloud workloadoknak: opcionális.
Az összes KernelHost termék
Többre van szükséged, mint eszközökre? Nézd meg kereskedelmi tárhely-kínálatunkat.