Defaults.Exposed › Taisymai › Atvirkštinis DNS (PTR)

Kaip ištaisyti Atvirkštinis DNS (PTR)

Atvirkštinis DNS yra jūsų verslo el. paštą siunčiančio serverio tapatybės kortelė. Kai gaunantis tiekėjas kaip „Gmail” ar „Microsoft 365” ieško, kas slypi už siuntimo adreso, ir gauna vardą, kuris pasitvirtina, jūsų paštas atrodo teisėtas. Kai nėra kortelės – arba vardas ir skaičius nesutampa – jūsų visiškai tikros sąskaitos faktūros ir pasiūlos laikomos įtartinomis ir tyliai metamos į šiukšles ar atmetamos.

Praktinė reikšmė jūsų verslui: Jūsų sąskaitos faktūros, pasiūlos ir klientų atsakymai tyliai patenka į šiukšles arba iš viso neateina – todėl sandoriai stringa, mokėjimai vėluoja ir klientai mano, kad juos ignoravote, ir nė vienas iš jų neatsiranda kaip klaida, kurią pastebėtumėte.

Ką tai gali kainuoti

Siunčiate pasiūlą šiltam perspektyviam klientui, ji patenka į šiukšles ir jie eina pas konkurentą, kuris 'iš tikrųjų atsakė' – ir jūs niekada nežinojote, kad el. laiškas nepataikė.
Klientų sąskaitos faktūros dingsta į šiukšles, mokėjimai vėluoja savaitėmis ir jūsų pinigų srautas nukenčia, nes niekas niekada nematė el. laiško.
Klientas skundžiasi, kad jūs neatsakėte į juos – bet atsakėte; jų pašto tiekėjas tyliai išmetė jūsų atsakymą, nes jūsų siuntimo serveris negalėjo įrodyti, kas jis yra.
Jūsų domenas praeina naujo kliento saugumo peržiūrą visuose kituose, tada pažymimas, nes jūsų pašto serveris neturi tinkamos tapatybės – mažas dalykas, kuris priverčia jus atrodyti nerūpestingai.
Perėjote prie pigaus VPS ar naujos programos, kad siųstumėte naujienlaiškius ir sąskaitas faktūras, ir per naktį jūsų pristatymo rodiklis krito – nes tas naujas siuntimo serveris neturi atvirkštinės DNS tapatybės kortelės ir didieji tiekėjai nebepasitiki juo.

Kodėl tai svarbu. Kiekvienas pagrindinis el. pašto tiekėjas tikrina serverio, siunčiančio jūsų paštą, tapatybę, ir jie tai tikrina kiekvienoje žinutėje. Jei tas serveris negali įrodyti, kas jis yra – arba jei jo vardas ir skaičius prieštarauja vienas kitam – jūsų tikras verslo el. paštas tvarkomas tarsi galėtų būti šiukšlės. Prarandate atsakymus, mokėjimus ir pasitikėjimą, ir kadangi nieko neatmuša, paprastai niekada nesužinote, kodėl.

Trumpa versija

Kai jūsų verslas siunčia el. laišką, jis ateina iš pašto serverio, ir kiekvienas serveris internete turi skaitmeninį adresą – jo IP. Atvirkštinis DNS (PTR įrašas) yra to serverio vardo kortelė: jis leidžia visiems, kas mato skaičių, peržvelgti tinkamą vardą už jo, kaip mail.jusuimone.com.

Didieji gaunantys tiekėjai – „Gmail”, „Microsoft 365”, „Yahoo” – tikrina tą kortelę kiekvienoje jūsų siunčiamoje žinutėje. Serveris, kuris gali save įvardyti, ir kur vardas bei skaičius sutampa tarpusavyje, atrodo kaip teisėtas pašto serveris. Serveris be kortelės arba su kortele, kuri nesutampa, atrodo lygiai kaip anoniminės, vienkartinės mašinos, kurias naudoja šiukšlių siuntėjai. Todėl jūsų tikros sąskaitos faktūros ir pasiūlos pradeda kiekvieną pokalbį su įtarimu – ir daugelis jų pralaimi.

Nusivylusi dalis yra ta, kad niekas jums apie tai nesako. Nėra atmetimo, nėra klaidos. Jūsų el. paštas tiesiog tyliai nepakankamai veikia.

Kiek tai gali jus kainuoti

Tai yra kasdieniai būdai, kaip trūkstamas ar nesutampantis atvirkštinio DNS įrašas virsta pinigų ir pasitikėjimo praradimu. Mes niekada nevardijame realių įmonių – tai yra modeliai, kuriuos matome duomenyse.

Pasiūla, kuri niekada neatėjo. Siunčiate išsamią pasiūlą perspektyviam klientui, kuris ją tą rytą paprašė. Jų tiekėjas negali patikrinti jūsų siuntimo serverio, todėl praleidžia žinutę į šiukšles. Jie nesikasa per šiukšles. Po pietų jie priėmė konkurento pasiūlą – tą, kuri „iš tikrųjų pasirodė.” Jūs įskaičiuojate tai kaip lėtą potencialų klientą; iš tikrųjų jūsų el. laiškas niekada nebuvo matytas.
Sąskaita faktūra tuštumoje. Jūs sąskaitą faktūrą gerai klientui. Ji patenka į šiukšlių aplanką. Po 30 dienų jūs persekiojate pradelstą mokėjimą ne dėl jų kaltės – ir dabar yra nepatogu pokalbis, įtempti santykiai ir pinigų srauto spraga, kuri buvo visiškai išvengiama.
„Jūs niekada neatsakėte.” Klientas yra piktas, kad ignoravote jų klausimą. Jūs neignoravote – atsakėte tą pačią dieną. Jų pašto tiekėjas tyliai išmetė jūsų atsakymą, nes jūsų siuntimo serveris atrodė nepatikimas. Jūs atrodote neprofesionaliai dėl kažko, ką iš tikrųjų padarėte teisingai.
Savarankiškas siuntimo serveris, kuris tyliai apnuodijo viską. Kad sutaupytumėte pinigų, jūsų paštas (ar tik naujienlaiškiai ir automatizuotos sąskaitos faktūros) pradėjo eiti per pigų VPS ar naują siuntimo programą. Tas serveris niekada negavo atvirkštinės DNS kortelės. Per naktį jūsų pristatymo rodiklis krito – ir kadangi nėra klaidos pranešimo, prireikė mėnesių net įtarti priežastį.
Saugumo peržiūros vėliavėlė. Didesnio kliento IT komanda atlieka įprastą tikrinimą jūsų domene įgijimo proceso metu. Viskas kita yra gerai, bet jūsų pašto serveris neturi tinkamos tapatybės. Tai yra mažas techninis taškas, bet skaitomas kaip nerūpestingumas – ir dabar jūs tai taisote spaudžiant terminui arba aiškinant, kai konkurento domenas tiesiog praėjo.

Visų šių situacijų sąsaja: išlaidos tenka jums, jos nematoma, kol tai vyksta, ir pataisymas yra nemokamas.

Kas tai iš tikrųjų yra

Normalus DNS paverčia vardą skaičiumi: jūs įvedate jusuimone.com ir DNS grąžina IP adresą, prie kurio prisijungti. Atvirkštinis DNS daro priešingai – jis paverčia skaičių atgal į vardą. Duodamas IP 203.0.113.10, atvirkštinė peržvalga (PTR įrašas) atsako mail.jusuimone.com.

Kodėl gavėjai rūpinasi: kai jūsų pašto serveris prisijungia prie „Gmail”, kad pristatytų žinutę, „Gmail” mato jungtį IP. Pirmasis dalykas, kurį rimtas pašto filtras daro, yra klausti „kas yra ši mašina?” – atlikdamas atvirkštinę peržvalgą to IP. Tikras verslo pašto serveris turi atsakymą (mail.jusuimone.com). Vienkartinė šiukšlių mašina paprastai neturi arba turi bendrą tiekėjo priskirtą vardą kaip host-203-0-113-10.koktiekejejo.net. Taigi kortelės buvimas ir kokybė yra vienas pirmų pasitikėjimo signalų, taikomų jūsų paštui – prieš SPF, DKIM ar žinutės turinys net nagrinėjami.

Tai tikrina pašto serverį, ne jūsų svetainę. Tai erzina žmones. Jūsų svetainės adresas dažnai yra už CDN ar tarpinio serverio (kaip „Cloudflare”) ir niekada neturės atitinkamos kortelės – ir tai yra gerai, nes el. pašto atvirkštinis DNS yra apie MX pašto serverio IP, visiškai atskirą mašiną. Šis tikrinimas teisingai ieško jūsų domeno pirminio pašto serverio (mažiausio prioriteto MX įrašas), sprendžia jį į jo IP ir tikrina to IP kortelę.

Pusė, kurią dauguma sąrankų padaro blogai: tai turi sutapti abiem kryptimis. Turėti vardą nepakanka pačiam sau. „Gmail” ir kiti dideli filtrai daro kažką griežtesnio, vadinamo pirmyn patvirtintu atvirkštiniu DNS (FCrDNS):

Peržvelgti IP → gauti vardą (pvz., mail.jusuimone.com).
Dabar peržvelgti tą vardą atgal → jis turi spręsti į tą patį IP, nuo kurio pradėjote.

Jei abi kryptys sutampa, serveris yra patvirtintas ir visiškai patikimas. Jei yra vardas, bet jis rodo į kur nors kitur (arba niekur), serveris yra tik pusiau patikimas – kortelė, kuri neišlaiko antro žvilgsnio, laikoma silpnesne nei tikėjotės. PTR, rodantis į prieglobos vardą, kurį valdo užpuolikas, ir kuris nesprendžia atgal, kai kuriais atžvilgiais yra blogesnis nei joks PTR.

Tai yra tiksliai kaip šis tikrinimas tai vertina:

Pirmyn patvirtinta (FCrDNS): IP įvardija prieglobiną, ir ta priegloba rodo atgal į tą patį IP. Pilni taškai – tai yra teisinga konfigūracija ir tai, kuo pasitiki gavėjai.
Kortelė egzistuoja, bet nepatvirtina: yra PTR įrašas, bet vardas nesprendžia atgal į pašto serverio IP. Tik dalinis kreditas – atrodo sukonfigūruota, bet dideli filtrai to visiškai nepasitikės.
Jokios kortelės visai: nėra PTR įrašo pašto serverio IP. Joks kreditas ir pristatymo kaina yra reali.

Pastaba apie svorį: metodologijoje tai yra vertinamas el. pašto saugumo tikrinimas (vertas 25 taškų, P2 prioriteto elementas). Tai nėra vienintelis sunkiausias el. pašto tikrinimas – tai yra SPF ir DMARC, kurie sustabdo visišką apsimetimą – bet tai yra tikroji, vertinama jūsų el. pašto stoties dalis ir viena iš nedaugelių, priklausančių nuo jūsų tiekėjo, teisingai nustatančio kažką, o ne nuo jūsų. Jei siunčiate tik per „Google Workspace” ar „Microsoft 365”, beveik tikrai jau tai praeinate; nesėkme žymimos įmonės yra tos, kurios siunčia per savo ar trečiosios šalies serverį.

Kaip atrodo „gerai”: jūsų pirminio pašto serverio IP turi PTR įrašą, rodantį į tikrą jūsų prieglobos vardą, ir tas prieglobos vardas sprendžia tiesiai atgal į tą patį IP – abi kryptys sutampa (FCrDNS patvirtinta).

Kaip tai ištaisyti (nemokama, ~10 minučių kažkieno laiko)

Perduokite šį skyrių tam, kas valdo jūsų pašto serverio IP adresą – paprastai jūsų el. pašto ar prieglobos tiekėjas, arba jūsų duomenų centras savęs prieglobos dėžutei – ir atkreipkite dėmesį, kad pataisymas yra nemokamas. Tai yra vienas el. pašto nustatymas, kurį beveik tikrai negalite patys pakeisti įprastame DNS skydelyje, nes atvirkštinį DNS valdo tas, kas valdo IP, ne tas, kas valdo domeną. Mes imame mokestį tik už stebėseną, kad tai išliktų teisinga, niekada ne už pakeitimą.

1 žingsnis – raskite siuntimo pašto serverio IP. Identifikuokite domeno pirminį MX prieglobinį (pašto serveris su mažiausiu prioriteto skaičiumi) ir spręskite jį į jo IP adresą:

dig MX jusuimone.com        # raskite pirminį (mažiausio prioriteto) MX prieglobinį
dig A mail.jusuimone.com    # spęskite tą prieglobinį į jo IP

Tas IP yra tas, kuriam reikia kortelės. Ne naudokite svetainės IP – tai yra kita mašina ir dažnai už CDN, kuri niekada nesutaps.

2 žingsnis – paprašykite IP savininko nustatyti PTR įrašą. Atvirkštinis DNS gyvena su tuo, kas valdo IP bloką, todėl užklausa eina į:

Google Workspace / Gmail: automatiškai valdoma Google pačių pašto serveriams – jei domenas, siunčiantis tik per Google, vis tiek rodomas kaip nepavykęs, kreipkitės į Google palaikymą. (Praktiškai jie praeina.)
Microsoft 365: taip pat automatiškai valdoma Microsoft serverių.
Savęs prieglobos ar VPS pašto serveris: atidarykite bilietą su prieglobos tiekėju ar duomenų centru, prašydami nustatyti PTR (atvirkštinį DNS) jūsų IP į jūsų pašto prieglobos vardą. Dauguma tiekėjų tai atskleidžia savo valdymo skydelyje pagal „Atvirkštinis DNS”, „rDNS” ar „PTR”. Didžiosiose debesų paslaugose tai yra vieno lauko nustatymas (pvz., AWS reikalauja trumpos užklausos formos, norint įjungti rDNS elastiniame IP; dauguma VPS prieglobų leidžia jums tai nustatyti akimirksniu).
Trečiosios šalies siuntimo programa (naujienlaiškiniai / sąskaitų faktūrų / CRM įrankis): jei jis siunčia iš savo bendrų serverių, tiekėjas valdo atvirkštinį DNS – jums nieko nereikia nustatyti, ir galite to nepaisyti tam srautui. Jei jis siunčia iš dedikuoto IP, kurį pirkote iš jų, paprašykite jų nustatyti PTR jame.

Pasakykite jiems norimą įrašą, pavyzdžiui: 203.0.113.10 → mail.jusuimone.com.

3 žingsnis – padarykite pirmyn patvirtintą (tai žingsnis, kurį dauguma žmonių praleidžia). PTR prieglobos vardas taip pat turi spręsti atgal į tą patį IP per normalų A įrašą, kurį valdote savo DNS. Taigi:

PTR sako 203.0.113.10 → mail.jusuimone.com (jūsų tiekėjas tai nustato).
A įrašas sako mail.jusuimone.com → 203.0.113.10 (jūs tai nustatote savo DNS, pvz., Cloudflare → DNS → pridėkite A įrašą, pavadinimas mail, turinys 203.0.113.10).

Abi kryptys turi rodyti viena į kitą. Tik tada tai yra pirmyn patvirtinta ir visiškai patikima.

4 žingsnis – vėl patikrinkite savo domeną. Patvirtinkite, kad pašto serveris dabar rodo pirmyn patvirtintą atvirkštinį DNS ir tikrinimas praeina. DNS pakeitimai išplinta per kelias minutes iki kelių valandų.

Dažnos klaidos

Kortelės nustatymas svetainės IP, o ne pašto serverio IP. Atvirkštinis DNS el. paštui yra apie MX serverį. PTR uždėjimas ant savo žiniatinklio / CDN adreso nieko nedaro pristatymo atžvilgiu – netinkama mašina gauna kortelę.
Stabdymasis ties „PTR egzistuoja”. Vardas pats savaime uždirba tik dalinį pasitikėjimą. Jei jis nesprendžia atgal į tą patį IP, griežti filtrai („Gmail”, M365, „Yahoo”) to visiškai nepasitikės. Visada užbaikite pirmyn patvirtinimą (3 žingsnis).
A įrašo pamiršimas po tiekėjo PTR nustatymo. Tiekėjas nustato atvirkštinę pusę; jūs turite nustatyti pirmyn pusę savo DNS. Žmonės padaro vieną ir mano, kad baigta.
Klausimo kėlimas netinkamam šaliai. Siuntimas užklausos domenų registratoriui ar DNS prieglobai vietoj IP savininko suteikia jums „mes to negalime” – nes jie iš tikrųjų negali. Tai turi eiti pas tą, kas valdo IP.
Bendrieji tiekėjo prieglobos vardai. PTR kaip host-203-0-113-10.koktiekejejo.net techniškai egzistuoja, bet nieko nedaro jūsų prekės ženklui ar pasitikėjimui. Naudokite tikrą prieglobos vardą savo domene, kuris pirmyn patvirtina.

Kur tai dera

Atvirkštinis DNS yra serverio tapatybė; SPF, DKIM ir DMARC yra domeno autorizacijos ir anti-apsimetimo sluoksnis. Jie atsako į skirtingus klausimus ir didieji tiekėjai tikrina visus juos. SPF išvardija, kurios paslaugos gali siųsti jūsų vardu; DKIM kriptografiškai pasirašo jūsų žinutes, kad jos negalėtų būti pakeistos; DMARC sujungia juos abu ir sako gavėjams, ką daryti su paštu, kuris nepavyksta – ir apsaugo matomo „nuo” vardo, kurį iš tikrųjų mato jūsų klientai. Atvirkštinis DNS guli po visu tuo, liudijant, kad siuntimą atliekanti mašina yra tikras, pavadintas pašto serveris. Teisingai gaukite SPF, DKIM ir DMARC stipriausiai apsimetimo gynybai; teisingai gaukite atvirkštinį DNS, kad naujas ar savęs prieglobos siuntimo serveris nebūtų tyliai nepasitikimas prieš kita net negauna galimybės. Kiekvienas iš šių pataisymų yra nemokamas.

DUK

Aš nesu technikas – ar galiu tai sutvarkyti pats?

Paprastai ne, ir tai gerai. Skirtingai nuo daugumos el. pašto nustatymų, šis nekeičiamas jūsų paties domeno DNS – jį nustato tas, kas valdo interneto adresą (IP) jūsų pašto serverio, kas yra jūsų el. pašto ar prieglobos tiekėjas. Jūsų darbas yra tiesiog perduoti jiems skyrių „Kaip tai ištaisyti”. Tai greitas pakeitimas iš jų pusės ir nemokamas.

Jei naudoju Google Workspace ar Microsoft 365, ar man jau yra apsaugota?

Beveik tikrai taip – abu automatiškai valdo atvirkštinį DNS savo pašto serveriams, todėl domenas, siunčiantis tik per juos, tai praeina nieko nedarant. Jei mūsų tikrinimas vis tiek pažymi, beveik visada reiškia, kad dalis jūsų pašto išeina per kitą serverį (jūsų paties dėžė, pigus VPS ar trečiosios šalies siuntimo programa), ir tas serveris yra tas, kuriam trūksta kortelės. Pataisymo skyrius paaiškina, su kuo susisiekti.

Ar tai ištaisymas gali sugadinti mano el. paštą?

Ne. Tai tik prideda ar taiso siuntimo serverio tapatybės įrašą – nekeičia to, kur eina jūsų paštas, kam leidžiama jį siųsti ar bet kurių jūsų gautinės dėžutės nustatymų. Tai tiesiog daro jūsų jau siunčiamą el. paštą labiau tikėtiną pasitikėjimui ir pristatymui.

Koks skirtumas tarp šio ir SPF, DKIM bei DMARC?

Tie trys atsako į klausimą 'ar šiam domenui leidžiama siųsti šią žinutę?' Atvirkštinis DNS atsako į kitą, ankstesnį klausimą: 'ar mašina, atliekanti siuntimą, yra tikras, identifikuojamas pašto serveris, ar anoniminis dėžė?' Didieji tiekėjai tikrina abu. Jums reikia visų jų teisingai – bet atvirkštinis DNS yra tas, kuris sugauna naują ar savęs prieglobos siuntimo serverį prieš SPF ir DKIM net nepataikymo.

Mes turime atvirkštinės DNS įrašą, bet tikrinimas vis tiek visiškai nepraėjo – kodėl?

Nes turėti vardą neužtenka; vardas turi pasitvirtinti abiem kryptimis. Kortelė sako, kad serveris vadinasi, tarkime, mail.jusuimone.com – bet „Gmail” tada ieško to vardo ir tikisi, kad jis rodo tiesiai atgal į tą patį IP. Jei taip nėra (arba rodo į kur nors kitur), tiekėjai laiko jį nepatvirtintu ir tik pusiau juo pasitiki. Šis dviračio sutapimas vadinamas pirmyn patvirtintu atvirkštiniu DNS, ir tai yra dalis, kurią dauguma sąrankų praleidžia.

Ar pataisymas iš tikrųjų nemokamas, ar tai mokamas papildymas?

Pataisymas visada yra nemokamas – tai nedidelis konfigūracijos pakeitimas, kurį atlieka jūsų tiekėjas, ne produktas, kurį perkate. Bet kas, kas sako, kad atvirkštinio DNS sąranka reikalauja mokamo plano, klysta. Mes imame mokestį tik už stebėseną, kad tai išliktų teisinga laikui bėgant, niekada ne už pakeitimą.