Defaults.Exposed › Ispravci › Obrnuti DNS (PTR)

Kako popraviti Obrnuti DNS (PTR)

Obrnuti DNS je osobna iskaznica servera koji šalje vašu poslovnu e-poštu. Kad primajući pružatelj poput Gmaila ili Microsoft 365 pretraži tko stoji iza adrese pošiljatelja i dobije ime koje se potvrdi, vaša pošta izgleda legitimno. Kad nema iskaznice — ili se ime i broj ne slažu — vaše savršeno stvarne fakture i ponude tretiraju se sa sumnjom i tiho završe u smeću ili budu odbijene.

Zaključak za vaše poslovanje: Vaše fakture, ponude i odgovori klijentima tiho završavaju u spamu ili uopće ne stižu — pa poslovi stoje, plaćanja stižu kasno, a klijenti misle da ste ih ignorirali, a ništa od toga se ne prikazuje kao greška koju biste primijetili.

Što vas ovo može koštati

Pošaljete ponudu toplom potencijalnom klijentu, ona padne u spam, a oni odu kod konkurenta koji je 'zapravo odgovorio' — a vi nikad ni niste znali da e-poruka nije stigla.
Fakture klijentima nestaju u smeću, plaćanja stižu tjednima kasno, a vaš novčani tok trpi jer nitko nikad nije vidio e-poruku.
Klijent se žali da mu se niste javili — ali jeste; njihov pružatelj pošte tiho je odbacio vaš odgovor jer vaš server za slanje nije mogao dokazati tko je.
Vaša domena prođe sigurnosni pregled novog klijenta na svemu ostalom, zatim bude označena jer vaš mail server nema pravo identitet — sitnica koja vas čini nemarnim.
Prešli ste na jeftin VPS ili novu aplikaciju za slanje newslettera i faktura, i preko noći vaša stopa isporuke padne — jer taj novi server za slanje nema obrnuti DNS i veliki pružatelji mu više ne vjeruju.

Zašto je to važno. Svaki veliki pružatelj e-pošte provjerava identitet servera koji šalje vašu poštu, i provjerava ga za svaku poruku. Ako taj server ne može dokazati tko je — ili ako mu se ime i broj međusobno proturiječe — vaša stvarna poslovna e-pošta tretira se kao da bi mogla biti spam. Gubite odgovore, plaćanja i povjerenje, a budući da se ništa ne vraća, obično nikad ne saznate zašto.

Ukratko

Kad vaše poduzeće šalje e-poruku, ona odlazi s mail servera, a svaki server na internetu ima numeričku adresu — svoj IP. Obrnuti DNS (“PTR” zapis) je iskaznica tog servera: svakome tko vidi broj omogućuje pretraživanje pravog imena iza njega, poput mail.vasatvrtka.com.

Veliki primajući pružatelji — Gmail, Microsoft 365, Yahoo — provjeravaju tu iskaznicu za svaku poruku koju šaljete. Server koji se može identificirati, i kod kojeg se ime i broj međusobno slažu, izgleda kao legitimni mail server. Server bez iskaznice, ili s iskaznicom koja se ne podudara, izgleda točno poput anonimnih, jednokratnih strojeva koje koriste spameri. Dakle, vaše stvarne fakture i ponude svaki razgovor počinju pod sumnjom — i mnogi od njih gube.

Frustrirajući dio je taj što vam nitko ne govori da se to događa. Nema povratka, nema greške. Vaša e-pošta samo tiho ispodprosječno funkcionira.

Što vas ovo može koštati

Ovo su svakodnevni načini na koje nedostajući ili neusklađeni zapis obrnutog DNS-a pretvara se u novac i povjerenje koji odu. Nikad ne imenujemo stvarno poduzeće — ovo su obrasci koje vidimo u podacima.

Ponuda koja nikad nije stigla. E-poštom šaljete detaljnu ponudu potencijalnom klijentu koji je tražio toga jutra. Njihov pružatelj ne može verificirati vaš server za slanje, pa poruku baci u spam. Ne pretražuju smeće. Do poslijepodneva su uzeli ponudu konkurenta — onu koja ‘je zapravo pokazala’. Pripisujete to sporom leadu; u stvarnosti vaša e-poruka nikad nije bila viđena.
Faktura u praznini. Fakturirate dobrom klijentu. Završi u njegovom smeću. Trideset dana kasnije tražite zakasnelu uplatu nema krivnjom s njihove strane — a sada postoji neugodan razgovor, napetost odnosa i rupa u novčanom toku koja je bila potpuno izbježiva.
“Nikad niste odgovorili.” Klijent je ljut što ste ignorirali njegovo pitanje. Niste — odgovorili ste isti dan. Njihov pružatelj pošte tiho je odbacio vaš odgovor jer vaš server za slanje izgledao nepouzdano. Izgledati neprofesionalno za nešto što ste zapravo ispravno napravili.
DIY server za slanje koji je tiho sve otrovao. Radi uštede novca, vaša pošta (ili samo newsletteri i automatske fakture) počela je odlaziti kroz jeftin VPS ili novu aplikaciju za slanje. Taj server nikad nije dobio iskaznicu obrnutog DNS-a. Preko noći vaša stopa isporuke je pala — i budući da nema poruke o grešci, trebalo je mjesecima i posumnjati u uzrok.
Oznaka na sigurnosnom pregledu. IT tim većeg klijenta provede rutinsku provjeru vaše domene tijekom uvođenja. Sve ostalo je u redu, ali vaš mail server nema pravo identitet. To je manji tehnički detalj, ali čita se kao nemar — i sada popravljate to pod pritiskom rokova, ili objašnjavate, dok je domena konkurenta jednostavno prošla.

Nit kroz sve ovo: trošak pada na vas, nevidljiv je dok se događa, a popravak je besplatan.

Što je to zapravo

Normalni DNS pretvara ime u broj: upišete vasatvrtka.com, i DNS vraća IP adresu za spajanje. Obrnuti DNS radi suprotno — broj pretvara natrag u ime. Za IP 203.0.113.10, obrnuto pretraživanje (“PTR zapis”) odgovara mail.vasatvrtka.com.

Zašto se primatelji brinu: kad vaš mail server se spoji na Gmail da dostavi poruku, Gmail vidi IP koji se spaja. Prva stvar koju ozbiljni mail filter radi je pitati “tko je ovaj stroj?” — provedbom obrnutog pretraživanja na tom IP-u. Pravi poslovni mail server ima odgovor (mail.vasatvrtka.com). Jednokratni spam stroj obično nema, ili ima generičko ime koje je dodijelio pružatelj poput host-203-0-113-10.nekiisp.net. Dakle, prisutnost i kvaliteta iskaznice jedan je od prvih signala povjerenja koji se primjenjuju na vašu poštu — prije nego SPF, DKIM ili sadržaj poruke uopće dođu na red.

Provjerava mail server, ne web stranicu. Ovo ljude zbunjuje. Adresa vaše web stranice često je iza CDN-a ili proxyja (poput Cloudflarea) i nikad neće imati odgovarajuću iskaznicu — i to je u redu, jer obrnuti DNS za e-poštu tiče se IP-a MX mail servera, potpuno odvojen stroj. Ova provjera ispravno pronalazi vaš primarni mail server (MX zapis s najnižim prioritetom), razrješava ga na IP i provjerava iskaznicu na tom IP-u.

Pola koje većina konfiguracija propušta: mora se podudarati u oba smjera. Samo imati ime nije dovoljno. Gmail i ostali veliki filteri rade nešto strože, zvano forward-confirmed reverse DNS (FCrDNS):

Pretraži IP → dobij ime (npr. mail.vasatvrtka.com).
Sada pretraži to ime natrag → mora razriješiti na isti IP od kojeg ste krenuli.

Ako se oba smjera slažu, server je potvrđen i u potpunosti mu se vjeruje. Ako postoji ime, ali upućuje negdje drugdje (ili nikamo), server je samo djelomično pouzdan — iskaznica koja ne preživi drugi pogled tretira se kao slabija nego što biste se nadali. PTR koji upućuje na ime hosta kojeg kontrolira napadač, a koji se ne razrješava natrag, u nekim je aspektima lošiji od nepostojanja PTR-a.

Točno tako ova provjera boduje:

Forward-confirmed (FCrDNS): IP imenuje host, a taj host upućuje natrag na isti IP. Pune ocjene — ovo je ispravna konfiguracija, i pružatelji joj vjeruju.
Iskaznica postoji, ali ne potvrđuje: postoji PTR zapis, ali se ime ne razrješava natrag na IP mail servera. Samo djelomični kredit — izgleda konfigurirano, ali veliki filteri neće mu u potpunosti vjerovati.
Nema iskaznice: nema PTR zapisa na IP-u mail servera. Nema kredita, a trošak isporučivosti je stvaran.

Napomena o težini: u metodologiji ovo je bodovana provjera sigurnosti e-pošte (vrijedna 25 bodova, prioritetni P2 stavka). Nije najtežeća provjera e-pošte — to su SPF i DMARC, koji zaustavljaju izravno lažno predstavljanje — ali je genuini, ocijenjeni dio vaše e-poštanske reputacije, i jedna od rijetkih koja ovisi o tome da vaš pružatelj nešto ispravno uradi, a ne vi sami. Ako šaljete samo kroz Google Workspace ili Microsoft 365, gotovo sigurno već prolazite; poduzeća koja ne prolaze su ona koja šalju kroz vlastiti ili server treće strane.

Kako izgleda ‘dobro’: IP primarnog mail servera ima PTR zapis koji upućuje na pravo ime hosta u vašem vlasništvu, a to ime razrješava se izravno natrag na isti IP — oba smjera se slažu (FCrDNS potvrđen).

Kako to popraviti (besplatno, ~10 minuta nečijeg vremena)

Proslijedite ovaj odjeljak onome tko posjeduje IP adresu vašeg mail servera — obično vašem pružatelju e-pošte ili hostinga, ili vašem podatkovnom centru za sam-hosteani server — i napomenite da je popravak besplatan. Ovo je jedna e-poštanska postavka koju gotovo sigurno ne možete sami promijeniti u normalnoj DNS ploči, jer obrnutim DNS-om upravlja onaj tko posjeduje IP, ne onaj tko posjeduje domenu. Mi naplaćujemo samo praćenje da ostane ispravno, nikad samu promjenu.

Korak 1 — Pronađite IP servera koji šalje poštu. Identificirajte primarni MX host domene (mail server s najnižim brojem prioriteta) i razriješite ga na IP adresu:

dig MX vasatvrtka.com        # pronađi primarni (najnižeg prioriteta) MX host
dig A mail.vasatvrtka.com    # razriješi taj host na IP

Taj IP je onaj koji treba iskaznicu. Ne koristite IP web stranice — radi se o drugom stroju i često je iza CDN-a koji se nikad neće podudarati.

Korak 2 — Zatražite od vlasnika IP-a da postavi PTR zapis. Obrnuti DNS živi s onim tko kontrolira IP blok, pa zahtjev ide:

Google Workspace / Gmail: automatski se upravljaju za Googleove vlastite mail servere — ako domena koja šalje samo kroz Google nekako prikazuje kao neuspješna, prijavite to Google podršci. (U praksi ovi prolaze.)
Microsoft 365: isto, automatski se upravljaju za Microsoftove servere.
Sam-hosteani ili VPS mail server: otvorite tiket kod vašeg pružatelja hostinga ili podatkovnog centra tražeći od njih da postave PTR (obrnuti DNS) za vaš IP na vaše ime mail hosta. Većina pružatelja ovo izlaže u upravljačkoj ploči pod “Reverse DNS”, “rDNS” ili “PTR”. Na velikim oblacima to je postavka s jednim poljem (npr. AWS zahtijeva kratki obrazac za zahtjev za omogućavanje rDNS-a na Elastic IP-u; većina VPS hostova to dopušta instantno).
Aplikacija treće strane za slanje (newsletter / fakturiranje / CRM alat): ako šalje s vlastitih dijeljenih servera, pružatelj upravlja obrnutim DNS-om — nema što vi postavljate, i ovo možete ignorirati za taj promet. Ako šalje s namjenskog IP-a kojeg ste kupili od njih, zamolite ih da postave PTR na njemu.

Recite im zapis koji želite, na primjer: 203.0.113.10 → mail.vasatvrtka.com.

Korak 3 — Neka bude forward-confirmed (ovaj korak većina propušta). Ime hosta u PTR-u mora se razriješiti natrag na isti IP putem normalnog A zapisa kojim vi upravljate u vlastitom DNS-u. Dakle:

PTR kaže 203.0.113.10 → mail.vasatvrtka.com (vaš pružatelj ovo postavlja).
A zapis kaže mail.vasatvrtka.com → 203.0.113.10 (vi ovo postavljate u svom DNS-u, npr. Cloudflare → DNS → dodajte A zapis, Naziv mail, sadržaj 203.0.113.10).

Oba smjera moraju upućivati jedan na drugi. Tek tada je forward-confirmed i u potpunosti pouzdan.

Korak 4 — Ponovo provjerite svoju domenu. Potvrdite da mail server sada prikazuje forward-confirmed obrnuti DNS i da provjera prolazi. DNS promjene propagiraju se u roku od nekoliko minuta do nekoliko sati.

Česte greške

Postavljanje iskaznice na IP web stranice umjesto mail servera. Obrnuti DNS za e-poštu tiče se MX servera. Stavljanje PTR-a na vaš web/CDN adresu ništa ne čini za isporučivost — pogrešni stroj dobiva iskaznicu.
Zaustavljanje na ‘PTR postoji.’ Samo ime donosi samo djelomično povjerenje. Ako se ne razrješava natrag na isti IP, strogi filteri (Gmail, M365, Yahoo) neće mu u potpunosti vjerovati. Uvijek dovršite forward-potvrdu (Korak 3).
Zaboravljanje A zapisa nakon što pružatelj postavi PTR. Pružatelj postavlja obrnuti dio; vi morate postaviti prednji dio u vlastitom DNS-u. Ljudi naprave jedan i pretpostave da su gotovi.
Upućivanje zahtjeva pogrešnoj strani. Slanje zahtjeva vašem registraru domene ili DNS hostu umjesto vlasniku IP-a daje vam “to ne možemo” — jer zaista ne mogu. Mora ići onome tko posjeduje IP.
Generička imena hosta pružatelja. PTR poput host-203-0-113-10.nekiisp.net tehnički postoji, ali ništa ne čini za vaš brend ili povjerenje. Koristite pravo ime hosta na vašoj vlastitoj domeni koje se forward-potvrđuje.

Gdje ovo stoji

Obrnuti DNS je identitet servera; SPF, DKIM i DMARC su autorizacijski i anti-lažni sloj domene. Odgovaraju na različita pitanja, a veliki pružatelji provjeravaju sve. SPF navodi koje usluge smiju slati u vaše ime; DKIM kriptografski potpisuje vaše poruke da ne mogu biti mijenjane; DMARC spaja to dvoje i govori primateljima što učiniti s poštom koja ne prođe provjeru — i štiti vidljivo ‘od’ ime koje vaši klijenti zaista vide. Obrnuti DNS leži ispod svega toga, jamčeći da stroj koji šalje je pravi, imenovan mail server. Ispravite SPF, DKIM i DMARC za najjaču obranu od lažnog predstavljanja; ispravite obrnuti DNS da novi ili sam-hosteani server za slanje ne bude tiho nepouzdan prije nego ostalo uopće dobije šansu. Svaki od ovih popravaka je besplatan.

Česta pitanja

Nisam tehničar — mogu li ovo sam riješiti?

Obično ne, i to je u redu. Za razliku od većine postavki e-pošte, ova se ne mijenja u DNS-u vaše vlastite domene — postavljaju je oni koji posjeduju internetsku adresu (IP) vašeg mail servera, što je vaš pružatelj e-pošte ili hostinga. Vaš posao je jednostavno proslijediti im odjeljak 'Kako to popraviti'. To je brza promjena s njihove strane, i besplatna je.

Ako koristim Google Workspace ili Microsoft 365, jesam li već pokriven?

Gotovo sigurno da — oba automatski upravljaju obrnutim DNS-om za vlastite mail servere, pa domena koja šalje samo kroz njih prolazi ovu provjeru bez da nešto radite. Ako naša provjera i dalje to označava, gotovo uvijek znači da dio vaše pošte odlazi kroz drugi server (vlastitu kutiju, jeftin VPS ili aplikaciju treće strane), i taj server je onaj koji nedostaje iskaznicu. Odjeljak za popravak objašnjava koga kontaktirati.

Može li popravak prekinuti moju e-poštu?

Ne. Ovo samo dodaje ili ispravlja identifikacijski zapis servera koji šalje — ne mijenja kamo ide vaša pošta, tko je smije slati niti ikakve postavke vašeg sandučića. Jednostavno čini e-poštu koju već šaljete vjerojatnije pouzdanom i dostavivom.

Koja je razlika između ovoga i SPF-a, DKIM-a i DMARC-a?

Ona trojica odgovaraju 'je li ovoj domeni dopušteno slati ovu poruku?' Obrnuti DNS odgovara na drukčije, ranije pitanje: 'je li stroj koji šalje pravi, prepoznatljivi mail server, ili anonimna kutija?' Veliki pružatelji provjeravaju oboje. Sve ih trebate ispravno — ali obrnuti DNS je onaj koji 'uhvati' potpuno novi ili sam-hosteani server za slanje prije nego SPF i DKIM uopće dođu na red.

Imamo zapis obrnutog DNS-a, ali provjera još uvijek ne prolazi u potpunosti — zašto?

Jer imati ime nije dovoljno; ime mora biti potvrđeno u oba smjera. Iskaznica kaže da se server zove, recimo, mail.vasatvrtka.com — ali Gmail zatim pretraži to ime i očekuje da ukazuje izravno natrag na isti IP. Ako ne ukazuje (ili ukazuje negdje drugdje), pružatelji ga tretiraju kao nepotvrđeno i samo djelomično mu vjeruju. Ovo dvostrano podudaranje zove se forward-confirmed reverse DNS, i to je dio koji većina konfiguracija propušta.

Je li popravak zaista besplatan, ili je ovo plaćeni upsell?

Popravak je uvijek besplatan — mala je to konfiguracijska promjena koju radi vaš pružatelj, nije proizvod koji kupujete. Tko god vam kaže da postavljanje obrnutog DNS-a zahtijeva plaćeni plan, griješi. Mi naplaćujemo samo praćenje da ostane ispravno, nikad samu promjenu.