Defaults.Exposed › Pembaikan › DNS Terbalik (PTR)

Cara memperbaiki DNS Terbalik (PTR)

DNS terbalik ialah kad pengenalan untuk pelayan yang menghantar e-mel perniagaan anda. Apabila pembekal penerima seperti Gmail atau Microsoft 365 mencari siapa di sebalik alamat penghantaran dan mendapat nama yang boleh disahkan, mel anda kelihatan sah. Apabila tiada kad — atau nama dan nombor tidak sepadan — invois dan sebut harga anda yang tulen dilayan sebagai mencurigakan dan secara senyap dijunk atau ditolak.

Kesimpulan untuk perniagaan anda: Invois, sebut harga dan balasan pelanggan anda secara senyap mendarat dalam spam atau tidak tiba langsung — jadi urusan perniagaan terhenti, pembayaran datang lewat, dan pelanggan fikir anda mengabaikan mereka, dan tiada satu pun daripada ini muncul sebagai ralat yang anda perasan.

Apakah kos yang boleh timbul

Anda menghantar sebut harga kepada prospek yang berminat, ia jatuh ke dalam spam mereka, dan mereka pergi kepada pesaing yang 'sebenarnya membalas' — dan anda tidak pernah tahu e-mel itu tidak mendarat.
Invois kepada pelanggan hilang ke dalam folder sampah, pembayaran datang berapa minggu kemudian, dan aliran tunai anda terjejas kerana tiada siapa yang pernah melihat e-mel itu.
Pelanggan mengadu anda tidak pernah membalas — tetapi anda membalas pada hari yang sama; pembekal mel mereka secara senyap membuang balasan anda kerana pelayan penghantaran anda tidak dapat membuktikan siapa ia.
Domain anda lulus semakan keselamatan klien baru dalam segala-galanya, kemudian ditandakan kerana pelayan mel anda tidak mempunyai identiti yang betul — perkara kecil yang membuat anda kelihatan cuai.
Anda berpindah ke VPS murah atau aplikasi baru untuk menghantar surat berita dan invois, dan kadar penghantaran anda merosot dalam sekelip mata — kerana pelayan penghantaran baru itu tidak mempunyai kad DNS terbalik dan pembekal besar tidak lagi mempercayainya.

Mengapa ia penting. Setiap pembekal mel utama menyemak identiti pelayan yang menghantar mel anda, dan mereka menyemaknya pada setiap mesej. Jika pelayan itu tidak dapat membuktikan siapa ia — atau jika nama dan nombor saling bercanggah — e-mel perniagaan tulen anda dilayan seolah-olah ia mungkin spam. Anda kehilangan balasan, pembayaran, dan kepercayaan, dan kerana tiada yang dipantulkan, anda biasanya tidak pernah tahu punca sebenarnya.

Versi ringkas

Apabila perniagaan anda menghantar e-mel, ia bertolak dari pelayan mel, dan setiap pelayan di internet mempunyai alamat berangka — IP-nya. DNS terbalik (rekod “PTR”) ialah kad nama pelayan itu: ia membolehkan sesiapa yang melihat nombor itu mencari nama yang betul di sebaliknya, seperti mail.yourcompany.com.

Pembekal penerima besar — Gmail, Microsoft 365, Yahoo — menyemak kad itu pada setiap mesej yang anda hantar. Pelayan yang boleh menamakan dirinya sendiri, dan di mana nama dan nombor bersetuju antara satu sama lain, kelihatan seperti pelayan mel yang sah. Pelayan tanpa kad, atau kad yang tidak sepadan, kelihatan persis seperti mesin sekali guna tanpa nama yang digunakan oleh pengirim spam. Jadi invois dan sebut harga tulen anda memulakan setiap perbualan di bawah syak wasangka — dan banyak daripada mereka kalah.

Bahagian yang mengecewakan ialah tiada yang memberitahu anda ia berlaku. Tiada pantulan, tiada ralat. E-mel anda hanya berprestasi rendah secara senyap.

Apa yang ini boleh koskan anda

Ini adalah cara harian apabila rekod DNS terbalik yang hilang atau tidak sepadan bertukar menjadi kehilangan wang dan kepercayaan. Kami tidak pernah menamakan perniagaan sebenar — ini adalah corak yang kami lihat merentas data.

Sebut harga yang tidak mendarat. Anda menghantar sebut harga terperinci kepada prospek yang memintanya pada pagi itu. Pembekal mereka tidak dapat mengesahkan pelayan penghantaran anda, jadi ia menjatuhkan mesej dalam spam. Mereka tidak menggali melalui sampah. Pada petang itu mereka telah mengambil sebut harga pesaing — yang “benar-benar muncul.” Anda anggap ia sebagai lead yang lambat; pada hakikatnya e-mel anda tidak pernah dilihat.
Invois dalam kekosongan. Anda menghantar invois kepada pelanggan yang baik. Ia mendarat dalam folder sampah mereka. Tiga puluh hari kemudian anda mengejar pembayaran yang sudah tertunggak tanpa kesalahan mereka — dan kini ada perbualan yang canggung, hubungan yang tertekan, dan jurang aliran tunai yang sepenuhnya boleh dielak.
“Anda tidak pernah membalas.” Pelanggan marah kerana anda mengabaikan soalan mereka. Anda tidak — anda membalas pada hari yang sama. Pembekal mel mereka secara senyap membuang balasan anda kerana pelayan penghantaran anda kelihatan tidak boleh dipercayai. Anda kelihatan tidak profesional untuk sesuatu yang sebenarnya anda lakukan dengan betul.
Pelayan penghantaran DIY yang secara senyap meracuni segalanya. Untuk menjimatkan wang, mel anda (atau hanya surat berita dan invois automatik anda) mula keluar melalui VPS murah atau aplikasi penghantaran baru. Pelayan itu tidak pernah mendapat kad DNS terbalik. Dalam sekelip mata, kadar penghantaran anda merosot merentas semua — dan kerana tiada mesej ralat, ia mengambil masa berbulan-bulan untuk mengesyaki punca sebenarnya.
Bendera semakan keselamatan. Pasukan IT klien yang lebih besar menjalankan semakan rutin ke atas domain anda semasa onboarding. Segalanya baik-baik sahaja, tetapi pelayan mel anda tidak mempunyai identiti yang betul. Ia adalah poin teknikal kecil, tetapi ia dibaca sebagai kecuaian — dan kini anda membetulkannya di bawah tekanan tarikh akhir, atau menerangkannya, apabila domain pesaing hanya lulus semakan.

Benang melalui semua ini: kos mendarat pada anda, ia tidak kelihatan semasa berlaku, dan pembetulannya percuma.

Apa yang ia sebenarnya

DNS biasa menukar nama kepada nombor: anda taip yourcompany.com, dan DNS memberikan alamat IP untuk disambungkan. DNS terbalik melakukan sebaliknya — ia menukar nombor kembali kepada nama. Diberikan IP 203.0.113.10, carian terbalik (rekod “PTR”) menjawab mail.yourcompany.com.

Mengapa penerima ambil berat: apabila pelayan mel anda menyambung ke Gmail untuk menghantar mesej, Gmail melihat IP yang menyambung. Perkara pertama yang penapis mel yang serius lakukan ialah bertanya “siapa mesin ini?” — dengan melakukan carian terbalik pada IP itu. Pelayan mel perniagaan sebenar mempunyai jawapan (mail.yourcompany.com). Mesin spam sekali guna biasanya tidak, atau mempunyai nama generik yang diberikan pembekal seperti host-203-0-113-10.someisp.net. Jadi kehadiran dan kualiti kad itu adalah salah satu isyarat kepercayaan pertama yang digunakan pada mel anda — sebelum SPF, DKIM, atau kandungan mesej pun mendapat peluang.

Ia menyemak pelayan mel, bukan laman web anda. Perkara ini mengelirukan orang. Alamat laman web anda selalunya berada di belakang CDN atau proksi (seperti Cloudflare) dan tidak akan pernah mempunyai kad yang sepadan — dan itu tidak mengapa, kerana DNS terbalik untuk e-mel adalah tentang IP pelayan mel MX, mesin yang sama sekali berbeza. Semakan ini dengan betul mencari pelayan mel utama domain anda (rekod MX dengan nombor keutamaan terendah), menyelesaikannya kepada IP-nya, dan menyemak kad pada IP itu.

Separuh yang kebanyakan persediaan terlepas: ia mesti sepadan dalam kedua-dua arah. Mempunyai nama tidak mencukupi dengan sendirinya. Gmail dan penapis besar lain melakukan sesuatu yang lebih ketat, dipanggil DNS terbalik yang disahkan ke hadapan (FCrDNS):

Cari IP → dapatkan nama (cth. mail.yourcompany.com).
Kini cari nama itu semula ke hadapan → ia mesti menyelesaikan kepada IP yang sama yang anda mulakan.

Jika kedua-dua arah bersetuju, pelayan disahkan dan dipercayai sepenuhnya. Jika ada nama tetapi ia menunjuk ke tempat lain (atau tidak ke mana-mana), pelayan hanya separuh dipercayai — kad yang tidak bertahan semakan kedua dianggap lebih lemah daripada yang anda harapkan.

Begitulah semakan ini menilainya:

Disahkan ke hadapan (FCrDNS): IP menamakan hos, dan hos itu menunjuk kembali kepada IP yang sama. Markah penuh — ini adalah konfigurasi yang betul, dan itulah yang dipercayai penerima.
Kad wujud tetapi tidak mengesahkan: ada rekod PTR, tetapi nama tidak menyelesaikan kembali kepada IP pelayan mel. Kredit separa sahaja — ia kelihatan dikonfigurasi tetapi penapis besar tidak akan mempercayainya sepenuhnya.
Tiada kad langsung: tiada rekod PTR pada IP pelayan mel. Tiada kredit, dan kos penghantaran adalah nyata.

Nota tentang berat: dalam metodologi ini ia adalah semakan keselamatan e-mel yang dinilai (bernilai 25 mata, item keutamaan P2). Ia bukan semakan e-mel terberat — itu ialah SPF dan DMARC, yang menghalang peniruan secara terang-terangan — tetapi ia adalah bahagian tulen yang dinilai daripada kedudukan e-mel anda, dan salah satu yang bergantung pada pembekal anda melakukan sesuatu dengan betul dan bukannya anda. Jika anda menghantar melalui Google Workspace atau Microsoft 365 sahaja, anda hampir pasti sudah lulus; perniagaan yang gagal adalah yang menghantar melalui kotak mereka sendiri atau pihak ketiga.

Apa yang “baik” kelihatan: IP pelayan mel utama anda mempunyai rekod PTR yang menunjuk kepada nama hos sebenar yang anda miliki, dan nama hos itu menyelesaikan terus kembali kepada IP yang sama — kedua-dua arah bersetuju (FCrDNS disahkan).

Cara membetulkannya (percuma, ~10 minit masa seseorang)

Berikan bahagian ini kepada sesiapa yang memiliki alamat IP pelayan mel anda — biasanya pembekal e-mel atau pengehosan anda, atau pusat data anda untuk kotak yang dihoskan sendiri — dan perhatikan bahawa pembetulan adalah percuma. Ini adalah satu-satunya tetapan e-mel yang hampir pasti tidak boleh anda ubah sendiri dalam panel DNS biasa anda, kerana DNS terbalik dikawal oleh sesiapa yang memiliki IP, bukan oleh sesiapa yang memiliki domain. Kami hanya mengenakan bayaran untuk memantau bahawa ia kekal betul, tidak untuk membuat perubahan.

Langkah 1 — Cari IP pelayan mel penghantaran. Kenal pasti hos MX utama domain (pelayan mel dengan nombor keutamaan terendah) dan selesaikan ke IP-nya:

dig MX yourcompany.com        # cari hos MX utama (keutamaan terendah)
dig A mail.yourcompany.com    # selesaikan hos itu kepada IP-nya

IP itulah yang memerlukan kad. Jangan gunakan IP laman web — ia adalah mesin berbeza dan selalunya berada di belakang CDN yang tidak akan sepadan.

Langkah 2 — Minta pemilik IP untuk menetapkan rekod PTR. DNS terbalik berada dengan sesiapa yang mengawal blok IP, jadi permintaan pergi kepada:

Google Workspace / Gmail: diuruskan secara automatik untuk pelayan mel Google sendiri — jika domain yang menghantar hanya melalui Google entah bagaimana menunjukkan sebagai gagal, bawa ke sokongan Google. (Dalam amalan ini lulus.)
Microsoft 365: begitu juga diuruskan secara automatik untuk pelayan Microsoft.
Pelayan mel yang dihoskan sendiri atau VPS: buka tiket dengan pembekal pengehosan atau pusat data anda meminta mereka menetapkan PTR (DNS terbalik) untuk IP anda kepada nama hos mel anda. Kebanyakan pembekal mendedahkan ini dalam panel kawalan mereka di bawah “Reverse DNS,” “rDNS,” atau “PTR.”
Aplikasi penghantaran pihak ketiga (surat berita / invois / alat CRM): jika ia menghantar dari pelayan dikongsi sendiri, pembekal menguruskan DNS terbalik — tiada apa untuk anda tetapkan, dan anda boleh abaikan ini untuk trafik itu. Jika ia menghantar dari IP khusus yang anda beli dari mereka, minta mereka menetapkan PTR padanya.

Beritahu mereka rekod yang anda mahu, contohnya: 203.0.113.10 → mail.yourcompany.com.

Langkah 3 — Jadikan ia disahkan ke hadapan (ini adalah langkah yang kebanyakan orang terlepas). Nama hos dalam PTR mesti juga menyelesaikan kembali kepada IP yang sama melalui rekod A biasa yang anda kawal dalam DNS anda sendiri. Jadi:

PTR menyatakan 203.0.113.10 → mail.yourcompany.com (pembekal anda menetapkan ini).
Rekod A menyatakan mail.yourcompany.com → 203.0.113.10 (anda menetapkan ini dalam DNS anda, cth. Cloudflare → DNS → tambah rekod A, Nama mail, kandungan 203.0.113.10).

Kedua-dua arah mesti menunjuk antara satu sama lain. Hanya kemudian ia disahkan ke hadapan dan dipercayai sepenuhnya.

Langkah 4 — Semak semula domain anda. Sahkan pelayan mel kini menunjukkan DNS terbalik yang disahkan ke hadapan dan semakan lulus. Perubahan DNS merebak dalam beberapa minit hingga beberapa jam.

Kesilapan biasa

Menetapkan kad pada IP laman web dan bukannya IP pelayan mel. DNS terbalik untuk e-mel adalah tentang pelayan MX. Meletakkan PTR pada alamat web/CDN anda tidak membuat apa-apa untuk penghantaran — mesin yang salah mendapat kad.
Berhenti pada “PTR wujud.” Nama sahaja hanya memperolehi kepercayaan separa. Jika ia tidak menyelesaikan kembali kepada IP yang sama, penapis ketat (Gmail, M365, Yahoo) tidak akan mempercayainya sepenuhnya. Sentiasa lengkapkan pengesahan ke hadapan (Langkah 3).
Terlupa rekod A selepas pembekal menetapkan PTR. Pembekal menetapkan separuh terbalik; anda mesti menetapkan separuh ke hadapan dalam DNS anda sendiri. Orang melakukan satu dan menganggap mereka selesai.
Meminta pihak yang salah. Menghantar permintaan kepada pendaftar domain atau hos DNS anda dan bukannya pemilik IP mendapat “kami tidak boleh melakukan itu” — kerana mereka benar-benar tidak boleh. Ia mesti pergi kepada sesiapa yang memiliki IP.
Nama hos pembekal generik. PTR seperti host-203-0-113-10.someisp.net secara teknikal wujud tetapi tidak membuat apa-apa untuk jenama atau kepercayaan anda. Gunakan nama hos sebenar pada domain anda sendiri yang mengesahkan ke hadapan.

Di mana ini sesuai

DNS terbalik adalah identiti pelayan; SPF, DKIM dan DMARC adalah lapisan kebenaran dan anti-peniruan domain. Mereka menjawab soalan yang berbeza, dan pembekal besar menyemak semua mereka. SPF menyenaraikan perkhidmatan yang boleh menghantar sebagai anda; DKIM menandatangani mesej anda secara kriptografi supaya ia tidak boleh diubah; DMARC menghubungkan keduanya dan memberitahu penerima apa yang perlu dilakukan dengan mel yang gagal — dan melindungi nama “dari” yang kelihatan yang pelanggan anda lihat. DNS terbalik berada di bawah semua itu, memastikan mesin yang melakukan penghantaran adalah pelayan mel yang sebenar dan dinamai. Betulkan SPF, DKIM dan DMARC untuk pertahanan peniruan paling kuat; betulkan DNS terbalik supaya pelayan penghantaran baru atau dihoskan sendiri tidak secara senyap tidak dipercayai sebelum yang lain mendapat peluang. Setiap satu pembetulan ini adalah percuma.

Soalan Lazim

Saya bukan orang teknikal — bolehkah saya menangani perkara ini sendiri?

Biasanya tidak, dan itu tidak mengapa. Tidak seperti kebanyakan tetapan e-mel, yang satu ini tidak diubah dalam DNS domain anda sendiri — ia ditetapkan oleh sesiapa yang memiliki alamat internet (IP) pelayan mel anda, iaitu pembekal e-mel atau pengehosan anda. Tugas anda hanyalah meneruskan bahagian 'Cara membetulkannya' kepada mereka. Ia adalah perubahan pantas di pihak mereka, dan ia percuma.

Jika saya menggunakan Google Workspace atau Microsoft 365, adakah saya sudah dilindungi?

Hampir pasti ya — kedua-duanya menguruskan DNS terbalik secara automatik untuk pelayan mel mereka sendiri, jadi domain yang menghantar hanya melalui mereka lulus ini tanpa anda perlu melakukan apa-apa. Jika semakan kami masih menandakannya, hampir sentiasa bermakna sebahagian mel anda keluar melalui pelayan berbeza (kotak anda sendiri, VPS murah, atau aplikasi penghantaran pihak ketiga), dan pelayan itulah yang tiada kad. Bahagian pembetulan menerangkan siapa yang perlu dihubungi.

Bolehkah membetulkan ini memutuskan e-mel saya?

Tidak. Ini hanya menambah atau membetulkan rekod identiti pelayan penghantaran — ia tidak mengubah ke mana mel anda pergi, siapa yang dibenarkan menghantar, atau mana-mana tetapan peti masuk anda. Ia hanya menjadikan e-mel yang anda sudah hantar lebih berkemungkinan dipercayai dan dihantar.

Apakah perbezaan antara ini dan SPF, DKIM dan DMARC?

Ketiga-tiga itu menjawab 'adakah domain ini dibenarkan menghantar mesej ini?' DNS terbalik menjawab soalan yang berbeza dan lebih awal: 'adakah mesin yang melakukan penghantaran itu merupakan pelayan mel sebenar yang boleh dikenal pasti, atau kotak tanpa nama?' Pembekal besar menyemak kedua-duanya. Anda mahu semuanya betul — tetapi DNS terbalik adalah yang menangkap pelayan penghantaran baru atau dihoskan sendiri sebelum SPF dan DKIM pun berpeluang.

Kami mempunyai rekod DNS terbalik tetapi semakan masih tidak lulus sepenuhnya — mengapa?

Kerana mempunyai nama tidak mencukupi; nama itu mesti boleh disahkan dalam kedua-dua arah. Kad itu menyatakan pelayan dipanggil, katakan, mail.yourcompany.com — tetapi Gmail kemudian mencari nama itu dan menjangkakan ia menunjuk terus kembali kepada IP yang sama. Jika ia tidak (atau menunjuk ke tempat lain), pembekal menganggapnya tidak disahkan dan hanya separuh mempercayainya. Padanan dua hala ini dipanggil DNS terbalik yang disahkan ke hadapan, dan itulah bahagian yang kebanyakan persediaan terlepas.

Adakah pembetulan itu benar-benar percuma, atau adakah ini tawaran berbayar?

Pembetulan sentiasa percuma — ia adalah perubahan konfigurasi kecil yang dibuat oleh pembekal anda, bukan produk yang anda beli. Sesiapa yang memberitahu anda bahawa menetapkan DNS terbalik memerlukan pelan berbayar adalah tersalah. Kami hanya mengenakan bayaran untuk memantau bahawa ia kekal betul dari masa ke masa, tidak untuk membuat perubahan.