Defaults.Exposed › Javítások › Fordított DNS (PTR)

Hogyan javítsd ki: Fordított DNS (PTR)

A fordított DNS az e-maileket küldő szerver személyazonossági igazolványa. Amikor egy fogadó szolgáltató, mint a Gmail vagy a Microsoft 365, megkérdezi, ki áll a küldő cím mögött, és egy ellenőrizhető nevet kap vissza, a leveled hitelesnek tűnik. Ha nincs igazolvány – vagy a név és a szám nem egyezik –, a tökéletesen valódi számláid és ajánlataid gyanúsnak minősülnek, és csendben elkerülnek vagy visszautasítódnak.

Az üzleted szempontjából lényeg: A számláid, ajánlataid és ügyfélválaszaid csendben a spambe kerülnek, vagy egyáltalán nem érkeznek meg – így az üzletek elakadnak, a kifizetések heteket késnek, és az ügyfelek azt hiszik, figyelmen kívül hagytad őket, és ez sehol sem jelenik meg hibaként.

Mibe kerülhet ez neked

• Elküldöd az ajánlatot egy forró érdeklődőnek, a spambe kerül, és ők a versenytársat választják, aki 'valóban válaszolt' – és soha nem is tudod meg, hogy az e-mail nem érkezett meg.
• A számlák az ügyfelek kukájába kerülnek, a kifizetések hetekkel késnek, és a pénzforgalmad megsínyli, mert senki nem látta soha az e-mailt.
• Egy ügyfél panaszkodik, hogy soha nem válaszoltál – de válaszoltál. A levelező-szolgáltatójuk csendben szemetesbe tette a válaszodat, mert a küldő szervered nem tudta igazolni, ki ő.
• A domained minden más területen megfelel egy új ügyfél biztonsági felülvizsgálatán, majd megbukik, mert a levelezőszervednek nincs megfelelő azonossága – egy apróság, amely gondatlannak mutat.
• Olcsó VPS-re vagy új alkalmazásra váltottál a hírleveleid és számláid küldéséhez, és egyik napról a másikra csökken a kézbesítési arányod – mert az új küldőszervernek nincs fordított DNS-igazolványa, és a nagy szolgáltatók már nem bíznak benne.

Miért fontos. Minden nagyobb e-mail-szolgáltató ellenőrzi a leveled küldő szerverének azonosságát, és minden egyes üzenetben ellenőrzi. Ha a szerver nem tudja igazolni kilétét – vagy ha a neve és a száma egymásnak ellentmond –, a valódi üzleti e-mailedre úgy tekintenek, mintha spam lehet. Elveszíted a válaszokat, a kifizetéseket és a bizalmat, és mivel semmi nem pattan vissza, általában soha nem tudod meg, miért.

Röviden

Amikor a vállalkozásod e-mailt küld, az egy levelezőszerverről indul el, és az interneten lévő minden szervernek van egy numerikus címe – az IP-je. A fordított DNS (egy „PTR-rekord”) az a szerver névjegye: lehetővé teszi, hogy bárki, aki látja a számot, megkereshesse a megfelelő nevet mögötte, pl. mail.yourcompany.com.

A nagy fogadó szolgáltatók – Gmail, Microsoft 365, Yahoo – minden elküldött üzenetben ellenőrzik ezt a névjegyet. Egy szerver, amely be tudja azonosítani magát, és ahol a neve és a száma egyeznek egymással, legitim levelezőszervernek tűnik. Egy igazolvány nélküli szerver, vagy egy nem egyező igazolvánnyal rendelkező szerver, pontosan úgy néz ki, mint az eldobható, névtelen gépek, amelyeket a spamküldők használnak. Tehát a valódi számláid és ajánlataid minden egyes kommunikációt gyanúval kezdenek – és sok elvész.

A frusztráló rész, hogy semmi nem értesít erről. Nincs visszapattanás, nincs hiba. Az e-mailjeid csupán csendben alulteljesítenek.

Mibe kerülhet ez neked

Ezek a mindennapi módok, ahogyan egy hiányzó vagy nem egyező fordított DNS-rekord pénzbe és bizalomvesztésbe kerül. Sosem nevesítünk valódi vállalkozást – ezek az adatokban látott minták.

• Az ajánlat, amely sosem jutott el. Részletes ajánlatot küldesz egy érdeklődőnek, aki azon a reggelen kérte. A szolgáltatójuk nem tudja hitelesíteni a küldőszervedet, ezért spambe ejti az üzenetet. Ők nem túrnak a kukában. Délutánra a versenytárs ajánlatát fogadták el – azt, amelyik „valóban megjelent.” Te lassú leadként könyveled el; a valóságban az e-mailedet soha nem látták.
• A számlán a vákuumban. Számlát küldöl egy jó ügyfélnek. A kukájukba kerül. Harminc nappal később egy lejárt kifizetést hajszolsz, amely az ő hibájukon kívül esik – és most van egy kínos beszélgetés, egy megterhelt kapcsolat és egy teljesen elkerülhető cash-flow-hiány.
• „Soha nem válaszoltál.” Egy ügyfél bosszankodik, hogy figyelmen kívül hagytad a kérdését. Nem hagytad – ugyanazon a napon válaszoltál. A levelező-szolgáltatójuk csendben szemetesbe tette a választ, mert a küldőszervered megbízhatatlannak tűnt. Te valami jól csináltál, de mégis nem professzionálisnak tűnsz.
• A DIY küldőszerver, amely csendben mindent megmérgezett. Pénzt megtakarítva, a leveleid (vagy legalábbis a hírleveleid és automatizált számláid) egy olcsó VPS-en vagy egy új küldő alkalmazáson keresztül kezdtek el menni. Az a szerver soha nem kapott fordított DNS-igazolványt. Egyik napról a másikra esett a kézbesítési arányod – és mivel nem volt hibaüzenet, hónapokig tartott, mire gyanakodtál az okra.
• A biztonsági felülvizsgálat megjelölése. Egy nagyobb ügyfél IT-csapata rutin ellenőrzést végez a domainen az onboarding során. Minden más rendben, de a levelezőszerednek nincs megfelelő azonossága. Technikai részletkérdés, de gondatlanságnak tűnik – és most határidő alatt kell javítanod, vagy megmagyarázni azt, amikor egy versenytárs domainere simán átjutott.

Az összes szál: a költség rád hárul, láthatatlan, amíg folyamatban van, és a javítás ingyenes.

Mi is ez pontosan

A normál DNS nevet számmá alakít: beírod a yourcompany.com nevet, és a DNS visszaadja az IP-t, amelyhez csatlakozni kell. A Fordított DNS az ellentétet teszi – számból nevet csinál. A 203.0.113.10 IP-ból a fordított keresés (egy „PTR-rekord”) visszaadja a mail.yourcompany.com nevet.

Miért törődnek a fogadók ezzel: amikor a levelezőszervered csatlakozik a Gmailhez, hogy kézbesítsen egy üzenetet, a Gmail látja a csatlakozó IP-t. Az első dolog, amit egy komoly levélszűrő tesz, az az, hogy megkérdezi: „Ki ez a gép?” – fordított keresést végez ezen az IP-n. Egy valódi üzleti levelezőszerverre van válasz (mail.yourcompany.com). Egy eldobható spamgépre általában nincs, vagy van egy generikus szolgáltató által hozzárendelt neve, pl. host-203-0-113-10.someisp.net. Tehát a névjegy megléte és minősége az egyik legelső bizalmi jel, amelyet a leveleidre alkalmaznak – mielőtt az SPF, DKIM vagy az üzenet tartalma egyáltalán szóba kerülne.

A webhely szerverét ellenőrzi, nem a te szervered. Ez megzavar embereket. A webhely címe gyakran egy CDN vagy proxy mögé esik (mint a Cloudflare), és soha nem lesz egyező névjegy – és ez rendben van, mert az e-mail fordított DNS-e az MX levelezőszerver IP-jéről szól, egy teljesen különálló gépről. Ez az ellenőrzés helyesen a domain elsődleges levelezőszerverét (a legalacsonyabb prioritású MX-rekordot) nézi meg, IP-re oldja fel, és az azon IP-n lévő névjegyet ellenőrzi.

Az a fele, amelyet a legtöbb beállítás rosszul csinál: mindkét irányban egyeznie kell. Önmagában egy névvel rendelkezni nem elegendő a Gmail és más nagy szűrők számára, amelyek szigorúbbat tesznek, amelyet forward-confirmed reverse DNS-nek (FCrDNS) hívnak:

1. Keresés az IP-ből → kapj egy nevet (pl. mail.yourcompany.com).
2. Most keresed vissza azt a nevet → ugyanarra az IP-re kell visszamutatnia, amelyből elindultál.

Ha a két irány megegyezik, a szerver megerősített és teljesen megbízható. Ha van egy név, de máshova mutat (vagy sehova), a szerver csak félig megbízható – egy névjegy, amely nem állja ki a második pillantást, gyengébben kezelendő, mint remélnéd.

Ez pontosan, ahogyan ez az ellenőrzés pontozza:

• Forward-confirmed (FCrDNS): az IP megnevez egy hosztet, és az a hoszt visszamutat ugyanarra az IP-re. Teljes pontszám – ez a helyes konfiguráció, és ezt bíznak meg a fogadók.
• Névjegy létezik, de nem erősíti meg: van PTR-rekord, de a név nem mutat vissza a levelezőszerver IP-jére. Csak részleges kredit – konfigurálva tűnik, de a nagy szűrők nem bíznak benne teljesen.
• Nincs névjegy egyáltalán: nincs PTR-rekord a levelezőszerver IP-jén. Nincs kredit, és a kézbesítési költség valós.

Megjegyzés a súlyról: a módszertanban ez egy pontozásos e-mail-biztonsági ellenőrzés (25 pontot ér, P2 prioritású elem). Nem ez az egyetlen legsúlyosabb e-mail-ellenőrzés – az az SPF és DMARC, amelyek megakadályozzák a közvetlen megszemélyesítést –, de a besorolásod valódi, pontozásos részét képezi, és az egyike azoknak, amelyek a szolgáltatódtól függnek, nem tőled. Ha csak Google Workspace-en vagy Microsoft 365-ön keresztül küldesz, szinte biztosan már megfelelsz; azok a vállalkozások buknak meg, amelyek a saját vagy harmadik feles szervereiken küldnek.

Mit jelent a „jó” beállítás: az elsődleges levelezőszervered IP-jén van PTR-rekord, amely egy valódi, saját hosztnévedre mutat, és az a hosztnév visszamutat ugyanarra az IP-re – a két irány megegyezik (FCrDNS megerősített).

Hogyan javítsd ki (ingyenes, ~10 perc valaki idejéből)

Add át ezt a részt annak, aki az IP-t tulajdonolja a levelezőszervereden – általában az e-mail vagy tárhelyszolgáltatód, vagy az adatközpont egy önhosztolt boxhoz – és jegyezd meg, hogy a javítás ingyenes. Ez az az e-mail-beállítás, amelyet szinte biztosan nem tudsz saját magad elvégezni a normál DNS-panelben, mert a fordított DNS-t az IP tulajdonosa irányítja, nem a domain tulajdonosa. Mi csak azért számítunk fel díjat, hogy figyeljük, hogy helyes marad-e, a módosítást soha nem fizettetjük.

1. lépés – Találd meg a küldőszerver IP-jét. Azonosítsd a domain elsődleges MX hosztját (a legalacsonyabb prioritású levelezőszervert), és oldd fel IP-re:

dig MX yourcompany.com        # találd meg az elsődleges (legalacsonyabb prioritású) MX hosztet
dig A mail.yourcompany.com    # oldd fel az IP-re

Ez az az IP, amelynek névjegyre van szüksége. Ne a webhely IP-jét használd – ez egy különböző gép, és gyakran egy CDN mögé esik, amely soha nem fog egyezni.

2. lépés – Kérd meg az IP tulajdonosát a PTR-rekord beállítására. A fordított DNS azé, aki az IP-blokkot irányítja, tehát a kérés a következőkhöz megy:

• Google Workspace / Gmail: automatikusan kezeli a Google saját levelezőszervereihez – ha egy csak Google-on keresztül küldő domain még sem felel meg, fordulj a Google ügyfélszolgálathoz. (A gyakorlatban ezek megfelnek.)
• Microsoft 365: hasonlóképpen automatikusan kezeli a Microsoft szervereihez.
• Önhosztolt vagy VPS levelezőszerver: nyiss egy jegyet a tárhelyszolgáltatódnál vagy adatközpontodnál, kérve, hogy állítsa be a PTR-t (fordított DNS) az IP-dhez a levelező-hosztnévedre. A legtöbb szolgáltató a vezérlőpanelükben teszi lehetővé ezt a „Reverse DNS,” „rDNS” vagy „PTR” alatt.
• Harmadik feles küldő alkalmazás (hírlevél / számlázó / CRM eszköz): ha a saját megosztott szervereiről küld, a szolgáltató kezeli a fordított DNS-t – nincs mit beállítanod. Ha dedikált IP-t vettél tőlük, kérd meg őket, hogy állítsák be a PTR-t rajta.

Mondd meg nekik, milyen rekordot szeretnél, például: 203.0.113.10 → mail.yourcompany.com.

3. lépés – Tedd forward-confirmedé (ez az a lépés, amelyet a legtöbben kihagynak). A PTR-ben lévő hosztnévnek normál A-rekordként is vissza kell mutatnia ugyanarra az IP-re a saját DNS-edben. Tehát:

• A PTR azt mondja: 203.0.113.10 → mail.yourcompany.com (ezt a szolgáltatód állítja be).
• Az A-rekord azt mondja: mail.yourcompany.com → 203.0.113.10 (ezt te állítod be a saját DNS-edben, pl. Cloudflare → DNS → adj hozzá A rekordot, Name mail, content 203.0.113.10).

Mindkét iránynak egymásra kell mutatnia. Csak akkor forward-confirmed és teljesen megbízható.

4. lépés – Ellenőrizd újra a domained. Erősítsd meg, hogy a levelezőszerver most forward-confirmed fordított DNS-t mutat, és az ellenőrzés megfelel. A DNS-módosítások perceken belül, néhány óra alatt terjednek.

Gyakori hibák

• A névjegy beállítása a webhely IP-jén a levelezőszerver IP-je helyett. A fordított DNS az e-mailhez az MX-szerverre vonatkozik. A PTR elhelyezése a web/CDN-cíedre nem segít a kézbesíthetőségen – a rossz gép kapja a névjegyet.
• Megállni annál, hogy ‘a PTR létezik’. Egy önálló névjegy csak részleges bizalmat kap. Ha nem mutat vissza ugyanarra az IP-re, a szigorú szűrők (Gmail, M365, Yahoo) nem bíznak meg teljesen benne. Mindig teljesítsd a forward-megerősítést (3. lépés).
• Az A-rekord elfelejtése, miután a szolgáltató beállította a PTR-t. A szolgáltató beállítja a fordított felét; a saját DNS-edben neked kell beállítanod az előre felé mutató felét. Az emberek elvégzik az egyiket, és feltételezik, hogy készen vannak.
• Rossz félnek kérni. A kérés a domain-regisztrátorhoz vagy DNS-gazdához küldése „nem tudjuk megtenni” választ kap – mert valóban nem tudják. Az IP tulajdonosához kell mennie.
• Generikus szolgáltató hoszt neve. Egy PTR, mint host-203-0-113-10.someisp.net, technikailag létezik, de semmit sem tesz a márkáért vagy a bizalomért. Használj egy valódi hosztnevet a saját domainen, amely forward-confirmedl.

Hol illeszkedik ez a képbe

A fordított DNS a szerver azonossága; az SPF, DKIM és DMARC a domain felhatalmazási és megszemélyesítés-ellenes rétege. Különböző kérdésekre válaszolnak, és a nagy szolgáltatók mindegyiket ellenőrzik. Az SPF felsorolja, mely szolgáltatások küldhetnek a nevedben; a DKIM kriptográfiailag aláírja az üzeneteidet, hogy ne lehessen manipulálni őket; a DMARC összeköti a kettőt, és megmondja a fogadóknak, mit tegyenek az e-mailekkel, amelyek meghibásodnak – és védi az ügyfelek által ténylegesen látott „from” nevet. A fordított DNS mindezek alatt helyezkedik el, igazolva, hogy a küldést végző gép egy valódi, named levelezőszerver. Helyezd el az SPF-et, DKIM-et és DMARC-ot a legerősebb megszemélyesítés-ellenes védelemhez; helyezd el a fordított DNS-t, hogy egy új vagy önhosztolt küldőszervert ne bízzanak meg csendben, mielőtt a többi egyáltalán szóba kerülne. Mindegyik javítás ingyenes.

GYIK