反向 DNS 查询
输入一个 IPv4 或 IPv6 地址,立即查看该 IP 的归属信息:PTR 记录、FCrDNS 验证、ASN 与归属组织。这是任何 IP 上线前最重要的一项检查,邮件服务器尤其如此。查询从 Frankfurt FRA01 发起,不记录日志。
什么是反向 DNS?
反向 DNS(rDNS)是常规 DNS 的反方向。正向 DNS 把名称(kernelhost.com)映射到 IP 地址,反向 DNS 则把 IP 映射回名称。对应的记录类型是 PTR(Pointer)。反向名称位于两个专用命名空间中:IPv4 使用 in-addr.arpa,IPv6 使用 ip6.arpa,二者均由 IP 按字节或半字节倒序拼接而成。
示例:IP 地址 8.8.8.8 对应的反向名称为 8.8.8.8.in-addr.arpa。针对该名称发起 PTR 查询,会返回主机名(此例为 dns.google)。对于 IPv6,地址 2001:db8::1 对应的反向名称为 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa,地址的每个十六进制半字节单独列出并倒序排列。
谁来控制 PTR 记录?是 IP 段的所有者,通常是上游服务商、托管公司或 ISP。域名所有者无法自行设置 PTR 记录,除非将 IP 段委派给自己(少见,通常要求 /24 或更大的地址块)。对于单台 VPS,PTR 在托管商的控制面板中设置,或通过工单提交。
FCrDNS:正向确认的反向 DNS
FCrDNS 是关注 PTR 记录最重要的原因。思路很简单:通过 PTR 记录得到一个主机名,再用 A 或 AAAA 记录正向解析该主机名,返回的 IP 必须与原始 IP 一致。若一致,PTR 被视为可信;若不一致,PTR 会被认为是伪造的,绝大多数现代检查都会忽略它。
邮件服务器(Postfix、Exim、OpenSMTPD)和反垃圾邮件过滤器(SpamAssassin、rspamd、Postscreen)会对每一个进来的连接验证 FCrDNS。一次 FCrDNS 失败通常会给垃圾邮件分值加 1.0 到 3.5 分(足以被判为垃圾邮件),而许多大型服务商(Gmail、Outlook、Yahoo)会直接以 550 错误拒绝连接。没有有效的 FCrDNS,你的邮件服务器实际上等同于不存在。
本工具如何验证 FCrDNS:读取 PTR 记录,对返回的每一个主机名用 A(IPv4)或 AAAA(IPv6)做正向解析,并将得到的 IP 与原始 IP 进行比对。徽章会立刻给出结论:绿色代表已验证,黄色代表完全没有正向记录,红色代表不匹配并列出实际指向。
常见使用场景
在日常运维中,本工具的实际用途:
- 邮件服务器上线: 在新 IP 上发出第一封邮件之前,PTR 必须设置好,FCrDNS 必须显示绿色。否则 Gmail、Outlook 等会拒收或将你发出的每封邮件丢进垃圾箱。在此处验证,去服务商控制面板修复,再回来验证一次。
- 垃圾邮件分析: 收到垃圾邮件时,查询源 IP 的 PTR。缺失或损坏的 PTR 是垃圾邮件的强烈信号。PTR 指向通用的 ISP 池名称(如 dsl-broadband-pool-… 等)也是一个经典的判断依据。
- 日志分析与取证: 日志里出现一个 IP,它是谁?rDNS 给出主机名(往往形如 ec2-…、crawler-…、cdn-…),结合 ASN 就能识别出云服务商、所在国家与组织。几秒内即可判断它是合法机器人、已知云客户,还是该被封禁的对象。
- 网络运维: 在调试 traceroute 时,中间跳点以 PTR 形式显示。路径上的路由器通常带有描述性的 PTR(如 frankfurt-edge1.isp.net、lhr-core2.example.com 等),可据此推断数据包经过的地理与拓扑路径。
- 滥用举报: 需要提交滥用举报吗?PTR 加 ASN 告诉你应当联系哪家服务商(abuse@<org>)。没有 rDNS 时,你只能去 RIPE/ARIN 等 whois 数据库里查 IP,速度要慢得多。
如何设置 PTR 记录
PTR 记录不是在正向区域的权威名称服务器上设置的,而是在反向区域上设置的,该区域由 IP 所有者(ARIN、RIPE、APNIC、LACNIC、AfriNIC)逐级委派给持有该 IP 段的公司。对于单台 VPS 或独立服务器,这意味着:请托管服务商设置 PTR,不要试图在自己的 DNS 面板里设置。
大多数托管服务商在客户门户中提供 PTR 自助管理。对于 KernelHost 的 VPS 和独立服务器,rDNS 字段直接在服务器管理面板中可用,PTR 修改 5 到 10 分钟内生效。对于托管放置(colocation)的 IP,标准流程是提交工单,逐一指定每个 IP 的目标主机名。
邮件服务器最佳实践:PTR 与 HELO 必须一致。如果你的邮件服务器以 mail.example.com 自报家门(HELO mail.example.com),那么该 IP 的 PTR 就必须是 mail.example.com,并且 mail.example.com 的 A 记录必须解析回该 IP。三者完全对齐 = FCrDNS 绿色 = 干净的信誉。
KernelHost 的 rDNS
每一台 KernelHost VPS、独立服务器、邮件服务器和 Minecraft 服务器都附带 PTR 自助管理,IPv4 与 IPv6 均支持。你可在控制面板中为每个 IP 设置主机名,几分钟内即可生效,无需提交工单。对于 /29 或更大的 IP 段,整个反向区域可以委派到你自己的名称服务器。
我们的 DNS 平面以 DNSSEC 签名的 Anycast 形式部署在 Frankfurt 与 Vienna,因此世界任何位置发起的 PTR 查询都能在几十毫秒内完成解析。如果你即将在新 IP 上启用邮件服务器,并希望从第一天起就拥有尽可能干净的信誉,那么在同一个面板里完成 KernelHost rDNS + DKIM/SPF/DMARC 的组合,可以为你省去典型的首日调试过程。
常见问题
DNS 查询与反向 DNS 查询有何区别?
正向 DNS 查询接受主机名(kernelhost.com),通过 A 或 AAAA 记录返回 IP。反向 DNS 查询接受 IP,通过 PTR 记录返回主机名。二者相互独立:一方可以在另一方不变的情况下被修改。FCrDNS 就是用来交叉验证两者是否一致的手段。
为什么我的 IP 没有 PTR 记录?
因为没人去设置。PTR 记录没有默认值,必须由 IP 段持有者(你的服务商)逐个 IP 设置。家用宽带的 ISP 通常会自动给一个通用池名称(类似 dsl-host-…-isp.net)。托管类客户可在服务商的控制面板中管理 PTR,或通过支持渠道处理。
PTR 已经设置好,为什么 FCrDNS 仍然显示不匹配?
因为 PTR 中的主机名无法正向解析回同一个 IP。要么该主机名缺少 A 或 AAAA 记录,要么它指向了不同的 IP。修复方法:确保 PTR 就是 A/AAAA 所指向的主机名,例如 PTR = mail.example.com,且 A mail.example.com = 同一个 IP。
查询会被记录吗?
不会。我们不记录被查询的 IP,不设置跟踪 Cookie,也不调用任何第三方 API,唯一的例外是 Team-Cymru DNS-Whois 服务,它本质上是对 origin.asn.cymru.com 发起的普通 DNS-TXT 查询(无 HTTP,无 API 密钥)。Cymru 能看到的是我们解析器的 IP 与被查询的 IP,而非你的 IP。
工具支持 IPv6 吗?
完全支持。用任意标准写法输入 IPv6 地址(压缩格式如 2001:db8::1 或展开格式皆可),工具会自动构造正确的 ip6.arpa 名称(按半字节倒序),并用 AAAA 做正向解析以验证 FCrDNS。
可以查询私有 IP(10.x.x.x、192.168.x.x)的反向 DNS 吗?
不可以。私有与保留地址段(10/8、172.16/12、192.168/16、127/8、链路本地、组播)无法通过公共 DNS 查询,因为它们的反向区域并未委派到公共根。私有 IP 的 PTR 只能在拥有它们的网络内部、由本地解析器解析。
为什么一个 IP 会有多条 PTR 记录?
技术上允许一个 IP 拥有多条 PTR 记录(同一个 IP 对应多个主机名),在共享主机时代很常见。如今对邮件服务器不推荐这样做(对某个 HELO 而言,多条 PTR 中只有一条能通过 FCrDNS),对 Web 服务器可以容忍,总体上较少见。如果你的 IP 拥有多条 PTR,请确定哪一条是规范的,其余删除。
rDNS / PTR 是必需的吗?
对邮件服务器:是的,实际上是必需的。没有 FCrDNS 干净的 PTR,你的邮件会进垃圾箱或被拒收。对 Web 服务器:非必需,但建议设置(日志更整洁,滥用举报也更方便)。对内部服务或短生命周期的云工作负载:可选。
所有 KernelHost 产品
不只是工具?看看我们的商业托管方案。