Defaults.Exposed › Opravy › Zpětný DNS (PTR)

Jak opravit Zpětný DNS (PTR)

Zpětný DNS je identifikační průkaz serveru, který odesílá e-maily vaší firmy. Když poskytovatel přijímající pošty — jako Gmail nebo Microsoft 365 — vyhledá, kdo je za odesílající adresou, a dostane jméno, které odpovídá, vaše pošta vypadá legitimně. Když neexistuje žádný průkaz — nebo jméno a číslo si neodpovídají — vaše jinak skutečné faktury a nabídky jsou považovány za podezřelé a tiše odhozeny nebo odmítnuty.

Výsledek pro vaše podnikání: Vaše faktury, nabídky a odpovědi zákazníkům tiše přistávají ve spamu nebo vůbec nedorazí — obchody stagnují, platby přicházejí pozdě a zákazníci si myslí, že jste je ignorovali, nic z čehož se nezobrazí jako chyba, které byste si všimli.

Co vás to může stát

• Pošlete nabídku horkému zákazníkovi, přistane do spamu a jdou ke konkurenci, který 'skutečně odpověděl' — a vy ani nevíte, že e-mail nepřistál.
• Faktury zákazníkům zmizí do nevyžádané pošty, platby přicházejí o týdny pozdě a váš cash flow na to doplatí, protože nikdo e-mail nikdy neviděl.
• Zákazník si stěžuje, že jste mu nikdy neodpověděli — ale odpověděli jste; jejich poskytovatel pošty tiše zahodil vaši odpověď, protože váš odesílající server nemohl prokázat, kdo je.
• Vaše doména projde bezpečnostní revizí nového klienta na všem ostatním, pak je označena kvůli tomu, že váš poštovní server nemá správnou identitu — malá věc, která vás dělá vypadajícími nedbalými.
• Přesunuli jste se na levný VPS nebo novou aplikaci pro odesílání newsletterů a faktur a přes noc klesla vaše míra doručitelnosti — protože nový odesílající server nemá žádný zpětný DNS průkaz a velcí poskytovatelé mu již nedůvěřují.

Proč na tom záleží. Každý velký poskytovatel e-mailu kontroluje identitu serveru, který odesílá vaši poštu, a kontroluje to u každé zprávy. Pokud tento server nemůže prokázat, kdo je — nebo pokud si jeho jméno a číslo navzájem odporují — vaše legitimní obchodní e-maily jsou zpracovávány jako potenciální spam. Ztrácíte odpovědi, platby a důvěru a protože nic se nevrátí, obvykle nikdy nezjistíte proč.

Stručná verze

Když vaše firma odešle e-mail, opustí ho z poštovního serveru a každý server na internetu má číselnou adresu — svou IP. Zpětný DNS (záznam “PTR”) je identifikační průkaz tohoto serveru: umožňuje komukoliv, kdo vidí číslo, vyhledat správné jméno za ním, jako mail.yourcompany.com.

Velcí přijímající poskytovatelé — Gmail, Microsoft 365, Yahoo — kontrolují tento průkaz u každé zprávy, kterou odesíláte. Server, který může sám sebe pojmenovat a kde jméno a číslo spolu souhlasí, vypadá jako legitimní poštovní server. Server bez průkazu nebo s průkazem, který neodpovídá, vypadá přesně jako anonymní, jednorázové stroje, které používají spammeři. Takže vaše legitimní faktury a nabídky začínají každý rozhovor pod podezřením — a mnoho z nich prohraje.

Frustrující část je, že vám to nic nesdělí. Žádné vrácení, žádná chyba. Váš e-mail jen tiše podává horší výkon.

Co vás to může stát

Toto jsou každodenní způsoby, jak chybějící nebo neshodující se zpětný DNS záznam přemění v odcházející peníze a ztrátu důvěry. Nikdy nejmenujeme skutečnou firmu — jde o vzory, které vidíme v datech.

• Nabídka, která nepřistála. Zákazníkovi, který o ni ráno požádal, pošlete podrobnou nabídku e-mailem. Jejich poskytovatel nemůže ověřit váš odesílající server, takže zprávu hodí do spamu. Neprocházejí nevyžádanou poštou. Odpoledne přijali nabídku konkurenta — tu, která “skutečně dorazila.” Připsali jste to pomalému leadu; ve skutečnosti váš e-mail nikdy nebyl viděn.
• Faktura v prázdnotě. Fakturujete dobrého zákazníka. Přistane do nevyžádané pošty. O třicet dní později vymáháte zpožděnou platbu bez jejich zavinění — a nyní je tu nepříjemný rozhovor, napjatý vztah a mezera v cash flow, které bylo zcela možné předejít.
• “Nikdy jste neodpověděli.” Zákazník je naštvaný, že jste ignorovali jeho otázku. Neudělali jste — odpověděli jste tentýž den. Jejich poskytovatel pošty tiše zahodil vaši odpověď, protože váš odesílající server vypadal nedůvěryhodně. Vypadáte neprofesionálně za něco, co jste skutečně udělali správně.
• DIY odesílající server, který tiše otrávil vše. Aby se ušetřily náklady, vaše pošta (nebo jen newslettery a automatické faktury) začala odcházet prostřednictvím levného VPS nebo nové odesílající aplikace. Ten server nikdy nedostal zpětný DNS průkaz. Přes noc vaše míra doručitelnosti klesla — a protože neexistuje žádná chybová zpráva, trvalo měsíce, než jste vůbec podezřívali příčinu.
• Příznak bezpečnostní revize. IT tým většího klienta provede rutinní kontrolu vaší domény při onboardingu. Všechno ostatní je v pořádku, ale váš poštovní server nemá správnou identitu. Je to drobný technický bod, ale vypadá jako nedbalost — a nyní opravujete pod tlakem termínu nebo to vysvětlujete, zatímco doména konkurenta hladce prošla.

Společný vlákno: náklady padají na vás, jsou neviditelné, dokud se tak děje, a oprava je zdarma.

Co to vlastně je

Normální DNS přemění jméno na číslo: napíšete yourcompany.com a DNS vrátí IP adresu pro připojení. Zpětný DNS dělá opak — přemění číslo zpět na jméno. U IP 203.0.113.10 zpětné vyhledávání (záznam “PTR”) odpoví mail.yourcompany.com.

Proč se přijímajícím serverům to záleží: když se váš poštovní server připojí k Gmailu pro doručení zprávy, Gmail vidí připojující se IP. První věc, kterou seriózní poštovní filtr udělá, je zeptat se “Kdo je tato stroj?” — zpětným vyhledáváním na této IP. Skutečný obchodní poštovní server má odpověď (mail.yourcompany.com). Jednorázový spamovací stroj obvykle ne, nebo má obecné jméno přidělené poskytovatelem jako host-203-0-113-10.someisp.net. Přítomnost a kvalita průkazu je tedy jedním z úplně prvních signálů důvěry aplikovaných na vaši poštu — před SPF, DKIM nebo obsahem zprávy.

Kontroluje poštovní server, nikoli váš web. Toto lidi zmatuje. Adresa vašeho webu je často za CDN nebo proxy (jako Cloudflare) a nikdy nebude mít odpovídající průkaz — a to je v pořádku, protože zpětný DNS pro e-mail se týká IP MX poštovního serveru, zcela samostatného stroje. Tato kontrola správně vyhledá primární poštovní server vaší domény (MX záznam s nejnižší prioritou), přeloží jej na jeho IP a zkontroluje průkaz na té IP.

Polovina, kterou většina nastavení pokazí: musí odpovídat oběma směry. Mít jméno samo nestačí. Gmail a ostatní velké filtry dělají něco přísnějšího, nazývaného forward-confirmed reverse DNS (FCrDNS):

1. Vyhledat IP → získat jméno (např. mail.yourcompany.com).
2. Nyní toto jméno znovu vyhledat → musí se přeložit na stejnou IP, ze které jste začali.

Pokud oba směry souhlasí, server je potvrzen a plně důvěryhodný. Pokud je jméno, ale ukazuje jinam (nebo nikam), server je pouze napůl důvěryhodný — průkaz, který nepřežije druhý pohled, je považován za slabší, než byste doufali.

Přesně takto tato kontrola boduje:

• Forward-confirmed (FCrDNS): IP pojmenovává hostitele a ten hostitel ukazuje zpět na stejnou IP. Plný počet bodů — toto je správná konfigurace a to, čemu přijímající servery důvěřují.
• Průkaz existuje, ale nepotvrzuje: existuje PTR záznam, ale jméno se nepřeloží zpět na IP poštovního serveru. Pouze částečný kredit — vypadá nakonfigurovaně, ale velké filtry mu plně nedůvěřují.
• Žádný průkaz vůbec: žádný PTR záznam na IP poštovního serveru. Žádný kredit a náklady na doručitelnost jsou skutečné.

Poznámka k váze: v metodologii je toto hodnocená kontrola e-mailového zabezpečení (25 bodů, prioritní položka P2). Není to nejsilnější e-mailová kontrola — to jsou SPF a DMARC, které zastavují přímé vydávání se — ale je to skutečná, hodnocená část vašeho e-mailového postavení a jedna z mála, která závisí na tom, aby váš poskytovatel něco správně udělal, spíše než vy. Pokud posíláte pouze prostřednictvím Google Workspace nebo Microsoft 365, téměř jistě ji již splňujete; firmy, které selhávají, jsou ty, které odesílají prostřednictvím vlastního nebo serverů třetích stran.

Jak vypadá ‘dobré’ nastavení: IP vašeho primárního poštovního serveru má PTR záznam ukazující na skutečné jméno hostitele, které vlastníte, a toto jméno se přeloží přímo zpět na stejnou IP — oba směry souhlasí (FCrDNS potvrzeno).

Jak to opravit (zdarma, ~10 minut čí čas)

Předejte tuto sekci tomu, kdo vlastní IP adresu vašeho poštovního serveru — obvykle váš poskytovatel e-mailu nebo hostingu, nebo vaše datové centrum pro sami provozovaný server — a poznamenejte, že oprava je zdarma. Toto je jediné e-mailové nastavení, které téměř jistě nemůžete sami změnit ve svém normálním panelu DNS, protože zpětný DNS je ovládán tím, kdo vlastní IP, nikoli tím, kdo vlastní doménu. Účtujeme pouze monitoring, zda zůstane správné, nikdy za provedení změny.

Krok 1 — Najděte IP odesílajícího poštovního serveru. Identifikujte primárního MX hostitele domény (poštovní server s nejnižším číslem priority) a přeložte jej na jeho IP adresu:

dig MX yourcompany.com        # najít primárního (nejnižší prioritu) MX hostitele
dig A mail.yourcompany.com    # přeložit tohoto hostitele na jeho IP

Tato IP je ta, která potřebuje průkaz. Nepoužívejte IP webu — je to jiný stroj a často za CDN, který nikdy nebude odpovídat.

Krok 2 — Požádejte vlastníka IP o nastavení PTR záznamu. Zpětný DNS žije u toho, kdo ovládá blok IP, takže žádost jde na:

• Google Workspace / Gmail: automaticky spravováno pro vlastní poštovní servery Google — pokud doména odesílající pouze prostřednictvím Google stále ukazuje jako selhání, kontaktujte podporu Google. (V praxi tito prochází.)
• Microsoft 365: stejně automaticky spravováno pro servery Microsoft.
• Sami provozovaný nebo VPS poštovní server: otevřete tiket u svého hostingového poskytovatele nebo datového centra s žádostí o nastavení PTR (zpětný DNS) pro vaši IP na název vašeho poštovního hostitele. Většina poskytovatelů to zpřístupňuje ve svém ovládacím panelu pod “Reverse DNS,” “rDNS” nebo “PTR.”
• Aplikace třetí strany pro odesílání (newsletter / fakturace / CRM): pokud odesílá z vlastních sdílených serverů, zpětný DNS zajišťuje poskytovatel — vy nemáte co nastavovat. Pokud odesílá z dedikované IP, kterou jste od nich koupili, požádejte je o nastavení PTR na ní.

Řekněte jim, jaký záznam chcete, například: 203.0.113.10 → mail.yourcompany.com.

Krok 3 — Zajistěte forward-confirmation (toto je krok, který většina lidí vynechá). Název hostitele v PTR musí být také přeložitelný zpět na stejnou IP prostřednictvím normálního A záznamu, který ovládáte ve svém vlastním DNS. Takže:

• PTR říká 203.0.113.10 → mail.yourcompany.com (nastavuje váš poskytovatel).
• A záznam říká mail.yourcompany.com → 203.0.113.10 (nastavujete vy v DNS, např. Cloudflare → DNS → přidat A záznam, Název mail, obsah 203.0.113.10).

Oba směry musí ukazovat na sebe. Teprve pak je to forward-confirmed a plně důvěryhodné.

Krok 4 — Znovu zkontrolujte svou doménu. Potvrďte, že poštovní server nyní ukazuje forward-confirmed zpětný DNS a kontrola projde. Změny DNS se šíří během minut až několika hodin.

Běžné chyby

• Nastavení průkazu na IP webu místo poštovního serveru. Zpětný DNS pro e-mail se týká MX serveru. Umístění PTR na adresu vašeho webu/CDN nedělá nic pro doručitelnost — nesprávný stroj dostane průkaz.
• Zastavení na “PTR existuje.” Samotné jméno získává pouze částečnou důvěru. Pokud se nepřeloží zpět na stejnou IP, přísné filtry (Gmail, M365, Yahoo) mu plně nedůvěřují. Vždy dokončete forward-confirmation (Krok 3).
• Zapomenutí A záznamu poté, co poskytovatel nastaví PTR. Poskytovatel nastaví zpětnou část; vy musíte nastavit přední část ve svém vlastním DNS. Lidé udělají jedno a předpokládají, že jsou hotovi.
• Žádost o to špatné straně. Zaslání žádosti vašemu registrátorovi domény nebo hostiteli DNS místo vlastníka IP dostane “to nemůžeme udělat” — protože opravdu nemohou. Musí to jít k tomu, kdo vlastní IP.
• Obecné názvy hostitelů poskytovatele. PTR jako host-203-0-113-10.someisp.net technicky existuje, ale nedělá nic pro vaši značku nebo důvěru. Použijte skutečné jméno hostitele na vaší vlastní doméně, které forward-confirmuje.

Kde to zapadá do celku

Zpětný DNS je identitou serveru; SPF, DKIM a DMARC jsou autorizační a anti-imitační vrstvou domény. Odpovídají na různé otázky a velcí poskytovatelé kontrolují všechny. SPF uvádí, které služby mohou odesílat vaším jménem; DKIM kryptograficky podepisuje vaše zprávy, aby nemohly být pozměněny; DMARC spojuje obojí dohromady a říká přijímajícím serverům, co dělat s poštou, která selže — a chrání viditelné jméno odesílatele, které vaši zákazníci skutečně vidí. Zpětný DNS sedí pod vším tím, ručíc za to, že stroj provádějící odesílání je skutečný, pojmenovaný poštovní server. Správně nastavte SPF, DKIM a DMARC pro nejsilnější anti-imitační ochranu; správně nastavte zpětný DNS, aby nový nebo sami provozovaný odesílající server nebyl tiše nedůvěryhodný dříve, než zbytek vůbec dostane šanci. Každá z těchto oprav je zdarma.

Časté dotazy