Defaults.Exposed › Naprawy › Odwrotny DNS (PTR)

Jak naprawić Odwrotny DNS (PTR)

Odwrotny DNS to identyfikator serwera, który wysyła pocztę Twojej firmy. Gdy dostawca odbierający, jak Gmail czy Microsoft 365, sprawdza, kto stoi za adresem wysyłającym, i dostaje nazwę, która się broni, Twoja poczta wygląda prawowicie. Gdy identyfikatora brak — albo nazwa i numer się nie zgadzają — Twoje całkiem prawdziwe faktury i oferty są traktowane jak podejrzane i po cichu wyrzucane do kosza lub odrzucane.

W skrócie dla Twojej firmy: Twoje faktury, oferty i odpowiedzi do klientów po cichu lądują w spamie albo w ogóle nie docierają — więc transakcje utykają, płatności przychodzą późno, a klienci sądzą, że ich zignorowałeś, przy czym nic z tego nie pojawia się jako błąd, który byś zauważył.

Ile może Cię to kosztować

• Wysyłasz ofertę gorącemu potencjalnemu klientowi, wpada mu do spamu, a on idzie do konkurenta, który «faktycznie odpowiedział» — a Ty nawet nie wiedziałeś, że e-mail nie dotarł.
• Faktury do klientów znikają w koszu, płatności przychodzą tygodnie później, a Twój przepływ gotówki obrywa, bo nikt nigdy nie zobaczył e-maila.
• Klient narzeka, że nigdy mu nie odpisałeś — ale odpisałeś; jego dostawca poczty po cichu wyrzucił Twoją odpowiedź, bo Twój serwer wysyłający nie mógł udowodnić, kim jest.
• Twoja domena gładko przechodzi kontrolę bezpieczeństwa nowego klienta we wszystkim innym, a potem zostaje oznaczona, bo Twój serwer pocztowy nie ma porządnej tożsamości — drobiazg, który sprawia, że wyglądasz na niedbałego.
• Przeszedłeś na tani VPS albo nową aplikację do wysyłki newsletterów i faktur, i z dnia na dzień Twoja dostarczalność spada — bo ten nowy serwer wysyłający nie ma identyfikatora w odwrotnym DNS i duzi dostawcy już mu nie ufają.

Dlaczego to ma znaczenie. Każdy duży dostawca poczty sprawdza tożsamość serwera, który wysyła Twoją pocztę, i sprawdza ją przy każdej wiadomości. Jeśli ten serwer nie potrafi udowodnić, kim jest — albo jeśli jego nazwa i numer się sobie przeczą — Twoja prawdziwa poczta firmowa jest traktowana, jakby mogła być spamem. Tracisz odpowiedzi, płatności i zaufanie, a ponieważ nic się nie odbija, zwykle nigdy nie dowiadujesz się dlaczego.

W skrócie

Gdy Twoja firma wysyła e-mail, wychodzi on z serwera pocztowego, a każdy serwer w internecie ma numeryczny adres — swoje IP. Odwrotny DNS (wpis „PTR”) to identyfikator tego serwera: pozwala każdemu, kto widzi numer, sprawdzić właściwą nazwę za nim, jak mail.twojafirma.com.

Duzi dostawcy odbierający — Gmail, Microsoft 365, Yahoo — sprawdzają ten identyfikator przy każdej wysyłanej przez Ciebie wiadomości. Serwer, który potrafi się nazwać i u którego nazwa i numer się zgadzają, wygląda jak prawowity serwer pocztowy. Serwer bez identyfikatora, albo z identyfikatorem, który nie pasuje, wygląda dokładnie jak anonimowe, jednorazowe maszyny, których używają spamerzy. Więc Twoje prawdziwe faktury i oferty zaczynają każdą rozmowę pod podejrzeniem — a wiele z nich przegrywa.

Frustrujące jest to, że nic Ci nie mówi, że tak się dzieje. Nie ma odbicia, nie ma błędu. Twoja poczta po prostu po cichu osiąga gorsze wyniki.

Ile może Cię to kosztować

Oto codzienne sposoby, w jakie brakujący lub niedopasowany wpis odwrotnego DNS zamienia się w utracone pieniądze i zaufanie. Nigdy nie podajemy nazwy prawdziwej firmy — to wzorce, które widzimy w danych.

• Oferta, która nigdy nie dotarła. Wysyłasz szczegółową ofertę potencjalnemu klientowi, który prosił o nią tego ranka. Jego dostawca nie może zweryfikować Twojego serwera wysyłającego, więc wrzuca wiadomość do spamu. Klient nie grzebie w koszu. Po południu wziął ofertę konkurenta — tę, która „faktycznie się pojawiła”. Przypisujesz to powolnemu leadowi; w rzeczywistości Twojego e-maila nigdy nie zobaczono.
• Faktura w próżni. Fakturujesz dobrego klienta. Ląduje mu w folderze spamu. Trzydzieści dni później ścigasz płatność zaległą nie z jego winy — a teraz jest niezręczna rozmowa, napięta relacja i luka w przepływie gotówki, której dało się całkowicie uniknąć.
• «Nigdy nie odpisałeś». Klient jest zirytowany, że zignorowałeś jego pytanie. Nie zignorowałeś — odpisałeś tego samego dnia. Jego dostawca poczty po cichu wyrzucił Twoją odpowiedź, bo Twój serwer wysyłający wyglądał na niegodny zaufania. Wyglądasz nieprofesjonalnie za coś, co faktycznie zrobiłeś dobrze.
• Domowej roboty serwer wysyłający, który po cichu wszystko zatruł. By zaoszczędzić, Twoja poczta (albo tylko newslettery i automatyczne faktury) zaczęła wychodzić przez tani VPS lub nową aplikację wysyłającą. Ten serwer nigdy nie dostał identyfikatora w odwrotnym DNS. Z dnia na dzień Twoja dostarczalność osiadła w całej rozciągłości — a ponieważ nie ma komunikatu o błędzie, miesiące zajęło samo podejrzenie przyczyny.
• Flaga w kontroli bezpieczeństwa. Dział IT większego klienta przeprowadza rutynową kontrolę Twojej domeny podczas wdrożenia. Wszystko inne jest w porządku, ale Twój serwer pocztowy nie ma porządnej tożsamości. To drobny punkt techniczny, ale czyta się jak niedbalstwo — i teraz naprawiasz to pod presją terminu albo tłumaczysz, podczas gdy domena konkurenta właśnie gładko przeszła.

Wątek wspólny dla wszystkich: koszt ląduje na Tobie, jest niewidoczny, gdy się dzieje, a naprawa jest darmowa.

Czym to właściwie jest

Zwykły DNS zamienia nazwę w numer: wpisujesz twojafirma.com, a DNS oddaje adres IP, z którym się połączyć. Odwrotny DNS robi coś przeciwnego — zamienia numer z powrotem w nazwę. Dla IP 203.0.113.10 odwrotne odpytanie (wpis „PTR”) odpowiada mail.twojafirma.com.

Dlaczego odbiorcom to zależy: gdy Twój serwer pocztowy łączy się z Gmailem, by doręczyć wiadomość, Gmail widzi łączące się IP. Pierwszą rzeczą, jaką robi poważny filtr poczty, jest pytanie „kim jest ta maszyna?” — przez odwrotne odpytanie tego IP. Prawdziwy firmowy serwer pocztowy ma odpowiedź (mail.twojafirma.com). Jednorazowa maszyna spamerska zwykle nie ma jej albo ma ogólną, przydzieloną przez dostawcę nazwę jak host-203-0-113-10.jakisisp.net. Więc obecność i jakość identyfikatora to jeden z pierwszych sygnałów zaufania stosowanych wobec Twojej poczty — zanim SPF, DKIM czy treść wiadomości w ogóle zostaną obejrzane.

Sprawdza serwer pocztowy, nie Twoją stronę. To zbija ludzi z tropu. Adres Twojej strony jest często za CDN-em lub proxy (jak Cloudflare) i nigdy nie będzie miał pasującego identyfikatora — i to w porządku, bo odwrotny DNS dla poczty dotyczy IP serwera MX, zupełnie osobnej maszyny. Ta kontrola poprawnie wyszukuje główny serwer pocztowy Twojej domeny (wpis MX o najniższym priorytecie), rozwiązuje go do jego IP i sprawdza identyfikator na tym IP.

Połowa, którą większość konfiguracji robi źle: musi pasować w obie strony. Posiadanie nazwy samo w sobie nie wystarcza. Gmail i inne duże filtry robią coś surowszego, zwanego odwrotnym DNS potwierdzonym w przód (FCrDNS):

1. Sprawdź IP → uzyskaj nazwę (np. mail.twojafirma.com).
2. Teraz sprawdź tę nazwę z powrotem → musi rozwiązać się na to samo IP, od którego zacząłeś.

Jeśli oba kierunki się zgadzają, serwer jest potwierdzony i w pełni zaufany. Jeśli jest nazwa, ale wskazuje gdzie indziej (lub donikąd), serwer jest tylko częściowo zaufany — identyfikator, który nie przetrwa drugiego spojrzenia, traktowany jest słabiej, niż byś chciał. PTR wskazujący na nazwę hosta kontrolowaną przez atakującego, która nie rozwiązuje się z powrotem, jest pod pewnymi względami gorszy niż brak PTR w ogóle.

Dokładnie tak ta kontrola to ocenia:

• Potwierdzony w przód (FCrDNS): IP nazywa host, a ten host wskazuje z powrotem na to samo IP. Pełna punktacja — to poprawna konfiguracja i to, czemu odbiorcy ufają.
• Identyfikator istnieje, ale nie potwierdza się: jest wpis PTR, ale nazwa nie rozwiązuje się z powrotem na IP serwera pocztowego. Tylko częściowy kredyt — wygląda na skonfigurowane, ale duże filtry nie zaufają mu w pełni.
• Brak identyfikatora w ogóle: brak wpisu PTR na IP serwera pocztowego. Brak punktów, a koszt dostarczalności jest realny.

Słowo o wadze: w metodologii to punktowana kontrola bezpieczeństwa poczty (warta 25 punktów, element priorytetu P2). To nie najcięższa kontrola poczty — tą są SPF i DMARC, które powstrzymują wprost podszywanie się — ale to prawdziwa, oceniana część Twojej pozycji pocztowej, i jedna z nielicznych, która zależy od tego, czy Twój dostawca zrobi coś dobrze, a nie Ty. Jeśli wysyłasz wyłącznie przez Google Workspace lub Microsoft 365, niemal na pewno już ją przechodzisz; firmy, które nie przechodzą, to te wysyłające przez własny lub zewnętrzny serwer.

Jak wygląda „dobrze”: IP Twojego głównego serwera pocztowego ma wpis PTR wskazujący na prawdziwą nazwę hosta, którą posiadasz, a ta nazwa rozwiązuje się prosto z powrotem na to samo IP — oba kierunki się zgadzają (FCrDNS potwierdzony).

Jak to naprawić (za darmo, ~10 minut czyjegoś czasu)

Przekaż tę sekcję temu, kto jest właścicielem adresu IP Twojego serwera pocztowego — zwykle Twojemu dostawcy poczty lub hostingu, albo centrum danych dla samodzielnie hostowanej maszyny — i zaznacz, że naprawa jest darmowa. To jedno ustawienie poczty, którego niemal na pewno nie możesz zmienić sam w swoim zwykłym panelu DNS, bo odwrotnym DNS rządzi ten, kto jest właścicielem IP, a nie ten, kto jest właścicielem domeny. My pobieramy opłatę jedynie za monitorowanie, że pozostaje poprawne, nigdy za wykonanie zmiany.

Krok 1 — Znajdź IP serwera pocztowego wysyłającego. Zidentyfikuj główny host MX domeny (serwer pocztowy o najniższej liczbie priorytetu) i rozwiąż go do jego adresu IP:

dig MX twojafirma.com        # znajdź główny (najniższy priorytet) host MX
dig A mail.twojafirma.com    # rozwiąż ten host do jego IP

To IP potrzebuje identyfikatora. Nie używaj IP strony — to inna maszyna, często za CDN-em, który nigdy nie będzie pasował.

Krok 2 — Poproś właściciela IP o ustawienie wpisu PTR. Odwrotny DNS żyje u tego, kto kontroluje blok IP, więc prośba idzie do:

• Google Workspace / Gmail: zarządzane automatycznie dla serwerów pocztowych Google — jeśli domena wysyłająca tylko przez Google jakimś cudem pokazuje się jako niezaliczona, zgłoś to wsparciu Google. (W praktyce te przechodzą.)
• Microsoft 365: podobnie zarządzane automatycznie dla serwerów Microsoftu.
• Samodzielnie hostowany lub VPS-owy serwer pocztowy: otwórz zgłoszenie u dostawcy hostingu lub w centrum danych z prośbą o ustawienie PTR (odwrotnego DNS) dla Twojego IP na nazwę hosta Twojej poczty. Większość dostawców udostępnia to w panelu pod „Reverse DNS”, „rDNS” lub „PTR”. W dużych chmurach to ustawienie jednopolowe (np. AWS wymaga krótkiego formularza prośby, by włączyć rDNS na Elastic IP; większość hostingów VPS pozwala ustawić to natychmiast).
• Zewnętrzna aplikacja wysyłająca (narzędzie do newslettera / fakturowania / CRM): jeśli wysyła z własnych współdzielonych serwerów, dostawca obsługuje odwrotny DNS — nic nie musisz ustawiać i możesz to dla tego ruchu zignorować. Jeśli wysyła z dedykowanego IP, które od niego kupiłeś, poproś o ustawienie na nim PTR.

Powiedz im, jaki wpis chcesz, na przykład: 203.0.113.10 → mail.twojafirma.com.

Krok 3 — Spraw, by potwierdzał się w przód (to krok, który większość ludzi pomija). Nazwa hosta w PTR musi też rozwiązywać się z powrotem na to samo IP przez zwykły wpis A, który kontrolujesz w swoim własnym DNS. Więc:

• PTR mówi 203.0.113.10 → mail.twojafirma.com (to ustawia Twój dostawca).
• Wpis A mówi mail.twojafirma.com → 203.0.113.10 (to ustawiasz w swoim DNS, np. Cloudflare → DNS → dodaj wpis A, Name mail, content 203.0.113.10).

Oba kierunki muszą wskazywać na siebie nawzajem. Dopiero wtedy jest potwierdzony w przód i w pełni zaufany.

Krok 4 — Sprawdź ponownie swoją domenę. Potwierdź, że serwer pocztowy pokazuje teraz odwrotny DNS potwierdzony w przód i że kontrola przechodzi. Zmiany DNS propagują się w ciągu minut do kilku godzin.

Częste błędy

• Ustawienie identyfikatora na IP strony zamiast serwera pocztowego. Odwrotny DNS dla poczty dotyczy serwera MX. Umieszczenie PTR na adresie Twojej strony/CDN nic nie daje dostarczalności — identyfikator dostaje niewłaściwa maszyna.
• Zatrzymanie się na «PTR istnieje». Sama nazwa zdobywa tylko częściowe zaufanie. Jeśli nie rozwiązuje się z powrotem na to samo IP, surowe filtry (Gmail, M365, Yahoo) nie zaufają jej w pełni. Zawsze dokończ potwierdzenie w przód (Krok 3).
• Zapomnienie o wpisie A po tym, jak dostawca ustawi PTR. Dostawca ustawia połowę odwrotną; Ty musisz ustawić połowę w przód w swoim własnym DNS. Ludzie robią jedno i zakładają, że gotowe.
• Zwrócenie się do niewłaściwej strony. Wysłanie prośby do rejestratora domeny lub dostawcy DNS zamiast do właściciela IP daje Ci „nie możemy tego zrobić” — bo naprawdę nie mogą. Musi trafić do tego, kto jest właścicielem IP.
• Ogólne nazwy hostów dostawcy. PTR jak host-203-0-113-10.jakisisp.net technicznie istnieje, ale nic nie daje Twojej marce ani zaufaniu. Użyj prawdziwej nazwy hosta na własnej domenie, która potwierdza się w przód.

Gdzie to się wpisuje

Odwrotny DNS to tożsamość serwera; SPF, DKIM i DMARC to warstwa autoryzacji i ochrony domeny przed podszywaniem. Odpowiadają na różne pytania, a duzi dostawcy sprawdzają je wszystkie. SPF wymienia, które usługi mogą wysyłać w Twoim imieniu; DKIM kryptograficznie podpisuje Twoje wiadomości, by nie dało się ich zmienić; DMARC łączy oba i mówi odbiorcom, co zrobić z pocztą, która kontroli nie przejdzie — oraz chroni widoczną nazwę nadawcy, którą faktycznie widzą Twoi klienci. Odwrotny DNS leży pod tym wszystkim, ręcząc, że maszyna wysyłająca jest w ogóle prawdziwym, nazwanym serwerem pocztowym. Ustaw poprawnie SPF, DKIM i DMARC dla najsilniejszej obrony przed podszywaniem; ustaw poprawnie odwrotny DNS, by nowy lub samodzielnie hostowany serwer wysyłający nie był po cichu pozbawiony zaufania, zanim reszta dostanie szansę. Każda z tych napraw jest darmowa.

Najczęstsze pytania