Defaults.Exposed

Defaults.ExposedПоправки › Обратен DNS (PTR)

Как да поправите Обратен DNS (PTR)

Обратният DNS е лентата за самоличност на сървъра, който изпраща бизнес имейлите ви. Когато получаващ доставчик като Gmail или Microsoft 365 търси кой стои зад изпращащия адрес и получи потвърдено ниме, вашата поща изглежда легитимна. Когато няма лента — или нимето и номерът не съвпадат — вашите напълно реални фактури и оферти се третират като подозрителни и тихо се изхвърлят или отхвърлят.

Заключение за вашия бизнес: Вашите фактури, оферти и отговори до клиенти тихо попадат в спам или никога не пристигат — сделките спират, плащанията закъсняват и клиентите смятат, че ги игнорирате, нито едно от тях не се появява като грешка, която бихте забелязали.

Какво може да ви струва това

Защо има значение. Всеки голям имейл доставчик проверява самоличността на сървъра, изпращащ вашата поща, и го прави при всяко съобщение. Ако този сървър не може да докаже кой е — или ако неговото ниме и неговият номер си противоречат — вашият истински бизнес имейл се обработва като потенциален спам. Губите отговори, плащания и доверие, и тъй като нищо не се връща, обикновено никога не разбирате защо.

Кратката версия

Когато вашият бизнес изпраща имейл, той излиза от пощенски сървър и всеки сървър в интернет има числов адрес — неговия IP. Обратният DNS (PTR запис) е лентата за ниме на този сървър: позволява на всеки, който вижда числото, да намери правилното ниме зад него, като mail.yourcompany.com.

Големите получаващи доставчици — Gmail, Microsoft 365, Yahoo — проверяват тази лента при всяко съобщение, което изпращате. Сървър, който може да се именува и при който нимето и числото съвпадат помежду си, изглежда като легитимен пощенски сървър. Сървър без лента или с лента, която не съвпада, изглежда точно като анонимните, еднократни машини, използвани от спамърите. Така вашите истински фактури и оферти започват всеки разговор под съмнение — и много от тях губят.

Разочароващата страна е, че нищо не ви казва, че се случва. Няма върнати съобщения, няма грешки. Вашият имейл просто тихо се представя под оптималното.

Какво може да ви струва това

Това са ежедневните начини, по които липсващ или несъвпадащ запис за обратен DNS се превръща в пари и доверие, излизащи от вратата. Никога не назоваваме реален бизнес — това са модели, които виждаме в данните.

Нишката, минаваща между всичко това: разходите падат върху вас, невидими са докато се случват, и поправката е безплатна.

Какво всъщност представлява

Нормалният DNS превръща ниме в число: въвеждате yourcompany.com и DNS ви дава IP адреса за свързване. Обратният DNS прави обратното — превръща число обратно в ниме. Даден IP 203.0.113.10, обратното търсене (PTR запис) отговаря mail.yourcompany.com.

Защо получателите се интересуват: когато вашият пощенски сървър се свързва с Gmail за доставка на съобщение, Gmail вижда свързващия IP. Първото нещо, което сериозен пощенски филтър прави, е да попита „кой е тази машина?” — като прави обратно търсене на този IP. Реален бизнес пощенски сървър има отговор (mail.yourcompany.com). Еднократна спам машина обикновено няма или има общо ниме, присвоено от доставчика, като host-203-0-113-10.someisp.net. Така присъствието и качеството на лентата е един от самите първи сигнали за доверие, приложени към вашата поща — преди SPF, DKIM или съдържанието на съобщението дори да бъдат погледнати.

Проверява пощенския сървър, не вашия уебсайт. Това обърква хората. Адресът на вашия уебсайт често е зад CDN или прокси (като Cloudflare) и никога няма да има съвпадаща лента — и това е нормално, защото обратният DNS за имейл е за IP на MX пощенския сървър, напълно отделна машина. Тази проверка правилно търси основния пощенски сървър на вашия домейн (MX записът с най-нисък приоритет), разрешава го до неговия IP и проверява лентата на този IP.

Половината, която повечето настройки грешат: трябва да съвпада в двете посоки. Наличието на ниме не е достатъчно само по себе си. Gmail и другите големи филтри правят нещо по-строго, наречено forward-confirmed reverse DNS (FCrDNS):

  1. Търсете IP → получете ниме (например mail.yourcompany.com).
  2. Сега търсете обратно нимето → трябва да разрешава до същия IP, от който сте започнали.

Ако двете посоки съвпадат, сървърът е потвърден и изцяло доверен. Ако има ниме, но то сочи другаде (или никъде), сървърът е само наполовина доверен — лента, която не издържа втори поглед, се третира като по-слаба, отколкото бихте се надявали. PTR, сочещ към ниме, контролирано от нападателя, което не разрешава обратно, е в известен смисъл по-лошо от никакъв PTR.

Точно така тази проверка го оценява:

Бележка за теглото: в методологията това е оценена проверка за сигурност на имейл (стойност 25 точки, артикул с приоритет P2). Не е единствената най-тежка проверка за имейл — тя е SPF и DMARC, които спират истинска имперсонация — но е реална, оценена part от вашата имейл позиция и едната от малкото, зависещи от доставчика да направи нещо правилно, а не от вас. Ако изпращате само чрез Google Workspace или Microsoft 365, почти сигурно вече я преминавате; бизнесите, които се провалят, са тези, изпращащи чрез свои собствени или сървъри на трети страни.

Как изглежда „добро”: IP на основния ви пощенски сървър има PTR запис, сочещ към реално ниме, което притежавате, и това ниме разрешава директно обратно до същия IP — двете посоки съвпадат (FCrDNS потвърдено).

Как да го поправите (безплатно, ~10 минути от нечие време)

Предайте този раздел на когото притежава IP адреса на вашия пощенски сървър — обикновено вашият имейл или хостинг доставчик, или вашият центъра за данни при самостоятелно хостван — и забележете, че поправката е безплатна. Това е едната имейл настройка, която почти сигурно не можете да промените сами в нормалния DNS панел, защото обратният DNS се контролира от когото притежава IP, а не от когото притежава домейна. Ние таксуваме само за мониторинг, че остава правилен, никога за самата промяна.

Стъпка 1 — Намерете IP на изпращащия пощенски сървър. Идентифицирайте основния MX хост на домейна (пощенския сървър с най-нисък приоритетен номер) и го разрешете до неговия IP адрес:

dig MX yourcompany.com        # намерете основния (с най-нисък приоритет) MX хост
dig A mail.yourcompany.com    # разрешете хоста до неговия IP

Този IP е този, на когото е нужна лентата. Не използвайте IP на уебсайта — той е различна машина и често е зад CDN, която никога няма да съвпадне.

Стъпка 2 — Помолете собственика на IP да зададе PTR записа. Обратният DNS се намира при когото контролира IP блока, така че заявката отива при:

Кажете им записа, който искате, например: 203.0.113.10mail.yourcompany.com.

Стъпка 3 — Направете го forward-confirmed (тази стъпка е тази, която повечето хора пропускат). Нимето в PTR трябва също да разрешава обратно до същия IP чрез нормален A запис, който контролирате в собствения си DNS. Така:

И двете посоки трябва да сочат една към друга. Само тогава е forward-confirmed и напълно доверено.

Стъпка 4 — Проверете повторно вашия домейн. Потвърдете, че пощенският сървър вече показва forward-confirmed обратен DNS и проверката преминава. DNS промените се разпространяват в рамките на минути до няколко часа.

Чести грешки

Къде се вписва това

Обратният DNS е самоличността на сървъра; SPF, DKIM и DMARC са слоят за оторизация и защита срещу имперсонация на домейна. Те отговарят на различни въпроси и големите доставчици проверяват всички. SPF изброява кои услуги могат да изпращат като вас; DKIM криптографски подписва вашите съобщения, за да не могат да бъдат манипулирани; DMARC свързва двете заедно и казва на получателите какво да правят с поща, която се проваля — и защитава видимото „from” ниме, което вашите клиенти действително виждат. Обратният DNS седи под всичко това, потвърждавайки, че машината, извършваща изпращането, е реален, именован пощенски сървър на първо място. Направете SPF, DKIM и DMARC правилно за най-силна защита срещу имперсонация; направете обратния DNS правилно, за да не бъде нов или самостоятелно хостван изпращащ сървър тихо недоверен, преди останалото дори да получи шанс. Всяка от тези поправки е безплатна.

ЧЗВ

Не съм технически — мога ли да се справя с това сам?

Обикновено не, и това е нормално. За разлика от повечето имейл настройки, тази не се променя в собствения DNS на вашия домейн — задава се от когото притежава интернет адреса (IP) на вашия пощенски сървър, което е вашият имейл или хостинг доставчик. Вашата задача е просто да им препратите раздела 'Как да го поправите'. Това е бърза промяна от тяхна страна и е безплатна.

Ако използвам Google Workspace или Microsoft 365, вече ли съм защитен?

Почти сигурно да — и двете управляват автоматично обратния DNS за собствените си пощенски сървъри, така че домейн, изпращащ само чрез тях, преминава това без да правите нищо. Ако нашата проверка все пак го маркира, почти винаги означава, че някаква поща излиза чрез различен сървър (ваш собствен, евтин VPS или приложение за изпращане от трета страна) и именно на него му липсва лентата. Разделът за поправка обяснява към кого да се обърнете.

Може ли поправянето на това да счупи имейла ми?

Не. Това само добавя или коригира записа за самоличност на изпращащия сървър — не променя накъде отива вашата поща, кой е оторизиран да я изпраща или кои от настройките на входящата ви поща. Просто прави имейла, който вече изпращате, по-вероятно да бъде приет и доставен.

Каква е разликата между това и SPF, DKIM и DMARC?

Тези три отговарят на въпроса 'Оторизиран ли е този домейн да изпраща това съобщение?' Обратният DNS отговаря на различен, по-ранен въпрос: 'Машината, която изпраща, реален ли е, идентифицируем пощенски сървър, или анонимна кутия?' Големите доставчици проверяват и двете. Искате всички да са правилни — но обратният DNS е този, който хваща нов или самостоятелно хостван изпращащ сървър, преди SPF и DKIM дори да влязат в игра.

Имаме запис за обратен DNS, но проверката все още не преминава напълно — защо?

Защото наличието на ниме не е достатъчно; нимето трябва да се потвърди и в двете посоки. Лентата казва, че сървърът се казва, да речем, mail.yourcompany.com — но Gmail след това търси това ниме и очаква то да сочи директно обратно към абсолютно същия IP. Ако не го прави (или сочи другаде), доставчиците го третират като непотвърдено и го приемат само наполовина. Това двупосочно съвпадение се нарича forward-confirmed reverse DNS и е частта, която повечето настройки пропускат.

Поправката наистина ли е безплатна или това е платена надстройка?

Поправката винаги е безплатна — това е малка конфигурационна промяна, направена от вашия доставчик, не продукт, който купувате. Всеки, който ви казва, че настройването на обратен DNS изисква платен план, греши. Ние таксуваме само за мониторинг, че остава правилен с течение на времето, никога за самата промяна.