Defaults.Exposed › Korjaukset › Käänteinen DNS (PTR)

Kuinka korjata Käänteinen DNS (PTR)

Käänteinen DNS on yrityksesi sähköpostia lähettävän palvelimen henkilöllisyystodistus. Kun vastaanottava palveluntarjoaja kuten Gmail tai Microsoft 365 tarkistaa, kuka on lähettävän osoitteen takana, ja saa nimen, joka täsmää, postisi näyttää legitiimiltä. Kun henkilöllisyystodistusta ei ole – tai nimi ja numero eivät täsmää – täysin aidot laskusi ja tarjouksesi päätyvät epäilyttäviin ja hylätään tai menevät roskapostiin.

Lyhyesti liiketoiminnallesi: Laskusi, tarjouksesi ja asiakasvastauksesi päätyvät hiljaa roskapostiin tai eivät saavu lainkaan – joten kaupat pysähtyvät, maksut tulevat myöhässä ja asiakkaat luulevat sinun sivuuttaneen heidät, eikä mikään tästä näy sinulle virheenä.

Mitä tämä voi maksaa sinulle

Lähetät tarjouksen kuumalle prospektille, se tippuu heidän roskapostiinsa, ja he menevät kilpailijalle, joka 'aidosti vastasi' – etkä koskaan tiedänyt, ettei sähköposti mennyt läpi.
Asiakkaille lähetetyt laskut katoavat roskapostiin, maksut tulevat viikkojen myöhässä ja kassavirtasi kärsii, koska kukaan ei koskaan nähnyt sähköpostia.
Asiakas valittaa, ettet koskaan vastannut – mutta vastasit samana päivänä. Heidän sähköpostintarjoajansa hylkäsi vastauksesi hiljaa, koska lähettävä palvelimesi ei pystynyt todistamaan henkilöllisyyttään. Näytät epäammattimaiselta jostakin, jonka teit oikein.
Verkkotunnuksesi läpäisee uuden asiakkaan tietoturvatarkastuksen kaikessa muussa, sitten saat huomautuksen, koska postipalvelimellasi ei ole kunnollista henkilöllisyyttä – pieni asia, joka saa sinut näyttämään huolimattomalta.
Siirryit halvalle VPS-palvelimelle tai uuteen sovellukseen lähettämään uutiskirjeesi ja laskusi, ja yön yli toimitusprosenttisi tippui – koska kyseisellä uudella lähettäväpalvelimella ei ole käänteinen DNS -henkilöllisyystodistusta ja suuret palveluntarjoajat eivät enää luota siihen.

Miksi tällä on merkitystä. Jokainen merkittävä sähköpostipalveluntarjoaja tarkistaa postisi lähettävän palvelimen henkilöllisyyden, ja he tarkistavat sen jokaisesta viestistä. Jos kyseinen palvelin ei pysty todistamaan henkilöllisyyttään – tai jos sen nimi ja numero ovat ristiriidassa – aitoa liikepostiasi käsitellään ikään kuin se voisi olla roskapostia. Menetät vastauksia, maksuja ja luottamusta, ja koska mikään ei palautu, et yleensä koskaan tiedä miksi.

Lyhyesti

Kun yrityksesi lähettää sähköpostin, se lähtee postipalvelimelta, ja jokaisella internet-palvelimella on numeerinen osoite – sen IP. Käänteinen DNS (“PTR-tietue”) on kyseisen palvelimen henkilöllisyystodistus: se antaa kenelle tahansa, joka näkee numeron, mahdollisuuden hakea oikea nimi sen takaa, kuten mail.yrityksesi.fi.

Suuret vastaanottavat palveluntarjoajat – Gmail, Microsoft 365, Yahoo – tarkistavat tuon henkilöllisyystodistuksen jokaisesta lähettämästäsi viestistä. Palvelin, joka pystyy nimeämään itsensä, ja jossa nimi ja numero täsmäävät keskenään, näyttää legitiimiltä postipalvelimelta. Palvelin ilman henkilöllisyystodistusta tai jolla on henkilöllisyystodistus, joka ei täsmää, näyttää täsmälleen kuin anonyymit, kertakäyttöiset koneet, joita roskapostittajat käyttävät. Niinpä aidot laskusi ja tarjouksesi aloittavat jokaisen viestin epäilyn alla – ja monet niistä häviävät.

Turhauttavaa on, ettei mikään kerro sinulle siitä tapahtuvan. Ei palautusta, ei virheilmoitusta. Sähköpostisi yksinkertaisesti alisuoriutuu hiljaa.

Mitä tämä voi maksaa yrityksellesi

Nämä ovat arkipäiväisiä tapoja, joilla puuttuva tai epäyhteensopiva käänteinen DNS -tietue muuttuu menetetyiksi rahoiksi ja luottamukseksi. Emme nimeä oikeita yrityksiä – nämä ovat malleja, joita näemme datassa.

Tarjous, joka ei mennyt läpi. Lähetät yksityiskohtaisen tarjouksen prospektille, joka pyysi sitä kyseisaamuna. Heidän palveluntarjoajansa ei pysty varmistamaan lähettävää palvelintasi, joten se pudottaa viestin roskapostiin. He eivät kaivele roskapostia. Iltapäivällä he ovat ottaneet kilpailijan tarjouksen – sen, joka “aidosti näkyi”. Kirjaat sen hitaaksi liidiksi; todellisuudessa sähköpostiasi ei koskaan nähty.
Lasku tyhjiössä. Laskutat hyvän asiakkaan. Se päätyy heidän roskapostiinsa. 30 päivää myöhemmin jahdat erääntynyttä maksua – ilman heidän omaa syytään – ja nyt on kiusallinen keskustelu, jännittyneempi suhde ja kassavirtaaukko, joka olisi ollut täysin vältettävissä.
“Et koskaan vastannut.” Asiakas on vihainen, ettet välittänyt heidän kysymyksestään. Välitit – vastasit samana päivänä. Heidän sähköpostintarjoajansa hylkäsi vastauksesi hiljaa, koska lähettävä palvelimesi näytti epäluotettavalta. Näytät epäammattimaiselta jostakin, jonka teit oikein.
Itsehostettu lähettäjäpalvelin, joka hiljaa pilasi kaiken. Säästääksesi rahaa posti (tai vain uutiskirjeesi ja automaattiset laskusi) alkoi lähteä halvan VPS-palvelimen tai uuden lähetyssovelluksen kautta. Kyseisellä palvelimella ei koskaan ollut käänteistä DNS -henkilöllisyystodistusta. Yön yli toimitusprosenttisi laski kauttaaltaan – ja koska virheilmoitusta ei ole, syyn selvittäminen kesti kuukausia.”
Tietoturva-auditoinnin huomautus. Suuremman asiakkaan IT-tiimi suorittaa rutiinitarkistuksen verkkotunnuksellasi liittymisen aikana. Kaikki muu on kunnossa, mutta postipalvelimellasi ei ole kunnollista henkilöllisyyttä. Se on pieni tekninen asia, mutta se luetaan huolimattomuudeksi – ja nyt korjaat asiaa aikataulupaineessa tai selittelet sitä, kun kilpailijan verkkotunnus vain läpäisi.

Kaikkien näiden yhteinen tekijä: kustannus koituu sinulle, se on näkymätön tapahtuessaan ja korjaus on ilmainen.

Mitä se oikeasti on

Normaali DNS muuttaa nimen numeroksi: kirjoitat yrityksesi.fi ja DNS palauttaa IP-osoitteen, johon muodostaa yhteys. Käänteinen DNS tekee päinvastoin – se muuttaa numeron takaisin nimeksi. Annetulla IP:llä 203.0.113.10 käänteishaku (“PTR-tietue”) vastaa mail.yrityksesi.fi.

Miksi vastaanottajat välittävät: kun postipalvelimesi muodostaa yhteyden Gmailiin toimittaakseen viestin, Gmail näkee yhdistävän IP:n. Ensimmäinen asia, jonka vakava roskapostisuodatin tekee, on kysyä “kuka tämä kone on?” – tekemällä käänteishaku kyseiselle IP:lle. Todellinen yrityksen postipalvelin vastaa (mail.yrityksesi.fi). Kertakäyttöisellä roskapostipalvelimella ei yleensä ole vastausta, tai sillä on palveluntarjoajan antama yleinen nimi kuten host-203-0-113-10.jokinisp.net. Joten henkilöllisyystodistuksen olemassaolo ja laatu on yksi ensimmäisistä luottamussignaaleista, joita sovelletaan postiisi – ennen SPF:ää, DKIM:iä tai viestin sisältöä.

Se tarkistaa postipalvelimen, ei verkkosivustosi. Tämä hämmentää ihmisiä. Verkkosivustosi osoite on usein CDN:n tai välityspalvelimen (kuten Cloudflaren) takana eikä koskaan saa vastaavaa henkilöllisyystodistusta – ja se on ihan ok, koska sähköpostin käänteinen DNS koskee MX-postipalvelimen IP:tä, täysin erillistä konetta. Tämä tarkistus hakee oikein verkkotunnuksesi ensisijaisen postipalvelimen (matalin prioriteetti MX-tietue), ratkaisee sen IP:ksi ja tarkistaa henkilöllisyystodistuksen kyseisestä IP:stä.

Puoli, jonka useimmat asetukset tekevät väärin: sen täytyy täsmätä molempiin suuntiin. Pelkkä nimen olemassaolo ei yksinään riitä. Gmail ja muut suuret suodattimet tekevät jotain tiukempaa, kutsutaan eteenpäin-vahvistettu käänteinen DNS (FCrDNS):

Haku IP:llä → saadaan nimi (esim. mail.yrityksesi.fi).
Nyt haetaan kyseinen nimi takaisin → sen täytyy osoittaa samaan IP:hen, josta aloitettiin.

Jos kaksi suuntaa ovat yhtä mieltä, palvelin on vahvistettu ja täysin luotettava. Jos nimi on olemassa, mutta se osoittaa jonnekin muualle (tai ei minnekään), palvelin on vain puoleksi luotettava – henkilöllisyystodistus, joka ei kestä toista katsausta, on heikompi kuin toivottaisiin.

Tässä on, miten tämä tarkistus pisteytyy:

Eteenpäin-vahvistettu (FCrDNS): IP nimeää isäntäkoneen, ja kyseinen isäntäkone osoittaa takaisin samaan IP:hen. Täydet pisteet – tämä on oikea konfiguraatio, johon vastaanottajat luottavat.
Henkilöllisyystodistus on olemassa mutta ei vahvistu: PTR-tietue on olemassa, mutta nimi ei osoita takaisin postipalvelimen IP:hen. Vain osittainen krediitti – näyttää konfiguroidulta, mutta suuret suodattimet eivät täysin luota siihen.
Ei henkilöllisyystodistusta lainkaan: postipalvelimen IP:ssä ei ole PTR-tietuetta. Ei krediittiä, ja toimituskykyyn kohdistuva kustannus on todellinen.

Korjausohje (ilmainen, n. 10 minuuttia jonkun aikaa)

Anna tämä osio kaikille, jotka omistavat postipalvelimesi IP-osoitteen – yleensä sähköposti- tai hosting-palveluntarjoajasi tai konesalisi itsehostetun palvelimen osalta – ja huomioi, että korjaus on ilmainen. Tämä on se yksi sähköpostiasetus, jota et todennäköisesti pysty muuttamaan itse tavallisessa DNS-paneelissasi, koska käänteinen DNS on IP:n omistajan hallinnassa, ei verkkotunnuksen omistajan. Veloitamme vain sen seurannasta, että se pysyy oikeana, emme koskaan muutoksen tekemisestä.

Vaihe 1 – Etsi lähettävän postipalvelimen IP. Tunnista verkkotunnuksesi ensisijainen MX-isäntä (matalin prioriteetti postipalvelin) ja ratkaise se IP-osoitteeksi:

dig MX yrityksesi.fi        # etsi ensisijainen (matalin prioriteetti) MX-isäntä
dig A mail.yrityksesi.fi    # ratkaise kyseinen isäntä sen IP:ksi

Kyseinen IP tarvitsee henkilöllisyystodistuksen. Älä käytä verkkosivustosi IP:tä – se on eri kone ja usein CDN:n takana, joka ei koskaan täsmää.

Vaihe 2 – Pyydä IP:n omistajaa asettamaan PTR-tietue. Käänteinen DNS kuuluu IP-lohkon hallitsijalle, joten pyyntö menee:

Google Workspace / Gmail: hallitaan automaattisesti Googlen omien postipalvelimien osalta – jos vain Googlen kautta lähettävä verkkotunnus jotenkin näkyy epäonnistuneen, ota yhteyttä Googlen tukeen. (Käytännössä nämä läpäisevät.)
Microsoft 365: samoin hallitaan automaattisesti Microsoftin palvelinten osalta.
Itsehostettu tai VPS-postipalvelin: avaa tiketti hosting-palveluntarjoajallesi tai konesalillesi pyytäen heitä asettamaan PTR (käänteinen DNS) IP:llesi postiisäntänimellesi. Useimmat palveluntarjoajat tarjoavat tämän ohjauspaneelissaan “Käänteinen DNS”, “rDNS” tai “PTR” kohdassa. Suurilla pilvialustoilla se on yhden kentän asetus (esim. AWS vaatii lyhyen pyyntölomakkeen aktivoidakseen rDNS:n Elastic IP:ssä; useimmat VPS-palveluntarjoajat antavat sen asettaa välittömästi).
Kolmannen osapuolen lähetyssovellus (uutiskirje/laskutus/CRM-työkalu): jos se lähettää omilta jaetuulta palvelimiltaan, palveluntarjoaja käsittelee käänteistä DNS:ää – sinulla ei ole mitään asetettavaa, ja voit sivuuttaa tämän kyseisen liikenteen osalta. Jos se lähettää dedikoidulta IP:ltä, jonka ostit heiltä, pyydä heitä asettamaan PTR siihen.

Kerro heille haluamasi tietue, esimerkiksi: 203.0.113.10 → mail.yrityksesi.fi.

Vaihe 3 – Tee siitä eteenpäin-vahvistettu (tämä on vaihe, jonka useimmat unohtavat). PTR:n isäntänimen täytyy myös osoittaa takaisin samaan IP:hen normaalin A-tietueen kautta, jonka sinä hallitset omassa DNS:ssäsi. Joten:

PTR sanoo 203.0.113.10 → mail.yrityksesi.fi (palveluntarjoajasi asettaa tämän).
A-tietue sanoo mail.yrityksesi.fi → 203.0.113.10 (sinä asetat tämän DNS:ssäsi, esim. Cloudflare → DNS → lisää A-tietue, nimi mail, sisältö 203.0.113.10).

Molempien suuntien täytyy osoittaa toisiinsa. Vasta sitten se on eteenpäin-vahvistettu ja täysin luotettava.

Vaihe 4 – Tarkista verkkotunnuksesi uudelleen. Vahvista, että postipalvelin näyttää nyt eteenpäin-vahvistetun käänteisen DNS:n ja tarkistus läpäisee. DNS-muutokset aktivoituvat minuuteissa tai muutamassa tunnissa.

Yleisimmät virheet

Henkilöllisyystodistuksen asettaminen verkkosivuston IP:lle postipalvelimen sijaan. Sähköpostin käänteinen DNS koskee MX-palvelinta. PTR:n asettaminen web/CDN-osoitteellesi ei tee mitään toimituskyvylle – väärä kone saa henkilöllisyystodistuksen.
Pysähtyminen “PTR on olemassa.” Pelkkä nimi ansaitsee vain osittaisen luottamuksen. Jos se ei osoita takaisin samaan IP:hen, tiukat suodattimet (Gmail, M365, Yahoo) eivät täysin luota siihen. Suorita aina eteenpäin-vahvistus (Vaihe 3).
A-tietueen unohtaminen palveluntarjoajan asettaessa PTR:n. Palveluntarjoaja asettaa käänteisen puolen; sinun täytyy asettaa eteenpäin-puoli omassa DNS:ssäsi. Ihmiset tekevät toisen ja olettavat olevansa valmiita.
Väärän osapuolen pyytäminen. Pyynnön lähettäminen verkkotunnusrekisteröijälle tai DNS-palveluntarjoajalle sen sijaan, että pyydät IP:n omistajaa, saa vastaukseksi “emme pysty tekemään sitä” – koska he todella eivät pysty. Sen täytyy mennä IP:n hallitsijalle.
Yleiset palveluntarjoajan isäntänimet. PTR kuten host-203-0-113-10.jokinisp.net on teknisesti olemassa, mutta ei tee mitään brändillesi tai luottamuksellesi. Käytä oikeaa isäntänimeä omalla verkkotunnuksellasi, joka vahvistuu eteenpäin.

Mihin tämä sopii

Käänteinen DNS on palvelimen henkilöllisyys; SPF, DKIM ja DMARC ovat verkkotunnuksen valtuutus- ja väärinkäytön estämiskerros. Ne vastaavat eri kysymyksiin, ja suuret palveluntarjoajat tarkistavat kaikki. SPF luettelee, mitkä palvelut saavat lähettää nimissäsi; DKIM allekirjoittaa kryptografisesti viestisi, jotta niitä ei voi muuttaa; DMARC yhdistää nämä kaksi ja kertoo vastaanottajille, mitä tehdä epäonnistuvalle postille – ja suojaa näkyvää “lähettäjä”-nimeä, jonka asiakkaasi oikeasti näkevät. Käänteinen DNS istuu kaiken tämän alla, vakuuttaen, että lähetystä suorittava kone on todellinen, nimetty postipalvelin ensinnäkään. Saa SPF, DKIM ja DMARC oikeiksi vahvimmaksi esiintymissuojauksi; saa käänteinen DNS oikeaksi, jotta uusi tai itsehostettu lähettäjäpalvelin ei ole hiljaa epäluotettu ennen kuin muilla on mahdollisuus vaikuttaa. Jokainen näistä korjauksista on ilmainen.

UKK

En ole tekninen – voiko tämän hoitaa itse?

Yleensä ei, ja se on ihan ok. Toisin kuin useimmat sähköpostiasetukset, tätä ei muuteta omassa verkkotunnuksesi DNS:ssä – sen asettaa kuka tahansa omistaa palvelimesi sähköpostia lähettävän internet-osoitteen (IP:n), eli sähköposti- tai hosting-palveluntarjoajasi. Tehtäväsi on yksinkertaisesti toimittaa heille alla oleva 'Korjausohje'. Se on nopea muutos heidän puoleltaan, ja se on ilmainen.

Jos käytän Google Workspacea tai Microsoft 365:tä, olen jo suojattu?

Lähes varmasti kyllä – molemmat hallitsevat automaattisesti käänteistä DNS:ää omien postipalvelimiensa osalta, joten vain niiden kautta lähettävä verkkotunnus läpäisee tämän ilman toimenpiteitäsi. Jos tarkistuksemme silti merkitsee ongelman, se tarkoittaa lähes aina, että osa postistasi menee ulos eri palvelimen kautta (oma kone, halpa VPS tai kolmannen osapuolen lähetyssovellus), ja kyseiseltä palvelimelta puuttuu henkilöllisyystodistus. Korjausosio selittää, ketä ottaa yhteyttä.

Voiko korjaaminen rikkoa sähköpostini?

Ei. Tämä vain lisää tai korjaa lähettävän palvelimen henkilöllisyystietueen – se ei muuta minne postisi menee, kuka saa lähettää sitä tai mitään postilaatikkoasetuksistasi. Se yksinkertaisesti tekee jo lähettämästäsi sähköpostista todennäköisemmin luotetun ja toimitetun.

Mitä eroa tällä on SPF:llä, DKIM:llä ja DMARC:illa?

Nuo kolme vastaavat kysymykseen 'onko tällä verkkotunnuksella lupa lähettää tämä viesti?' Käänteinen DNS vastaa eri, aiempaan kysymykseen: 'onko lähetystä suorittava kone todellinen, tunnistettava postipalvelin vai anonyymi laite?' Suuret palveluntarjoajat tarkistavat molemmat. Haluat kaikki oikeiksi – mutta käänteinen DNS on se, joka pysäyttää uuden tai itsehostetun lähettävän palvelimen jo ennen kuin SPF ja DKIM pääsevät edes vaikuttamaan.

Meillä on käänteinen DNS -tietue mutta tarkistus ei täysin läpäise – miksi?

Koska pelkän nimen olemassaolo ei riitä; nimen täytyy täsmätä molempiin suuntiin. Henkilöllisyystodistus sanoo palvelimen olevan nimeltä esim. mail.yrityksesi.fi – mutta Gmail katsoo sitten kyseistä nimeä ja odottaa sen osoittavan takaisin täsmälleen samaan IP-osoitteeseen. Jos näin ei tapahdu (tai osoittaa jonnekin muualle), palveluntarjoajat pitävät sitä vahvistamattomana ja luottavat siihen vain puoliksi. Tätä kaksisuntaista täsmäystä kutsutaan eteenpäin-vahvistetuksi käänteiseksi DNS:ksi, ja se on osa, jonka useimmat asetukset jättävät tekemättä.

Onko korjaus todella ilmainen, vai onko tämä lisämyyntiä?

Korjaus on aina ilmainen – se on pieni konfigurointimuutos palveluntarjoajasi toimesta, ei ostettava tuote. Kuka tahansa, joka sanoo käänteisen DNS:n asettamisen vaativan maksullisen suunnitelman, on väärässä. Veloitamme vain sen seurannasta, että se pysyy oikeana ajan myötä, ei koskaan muutoksen tekemisestä.