Defaults.Exposed › Remedieri › DNS invers (PTR)

Cum să remediezi DNS invers (PTR)

DNS-ul invers este ecusoanele de identificare al serverului care trimite email-ul afacerii tale. Când un furnizor receptor precum Gmail sau Microsoft 365 caută cine se află în spatele adresei de trimitere și primește un nume care verifică, email-ul tău pare legitim. Când nu există ecuson — sau numele și numărul nu sunt de acord — facturile și ofertele tale perfect reale sunt tratate ca suspecte și aruncate la gunoi sau respinse în tăcere.

Concluzia pentru afacerea ta: Facturile, ofertele și răspunsurile clienților tăi ajung în tăcere în spam sau nu mai sosesc deloc — astfel că tranzacțiile se blochează, plățile sosesc cu săptămâni întârziere, iar clienții cred că i-ai ignorat, fără ca vreuna din acestea să apară ca o eroare pe care ai observa-o.

Ce te poate costa

Trimiți o ofertă unui prospect fierbinte, aceasta ajunge în spam, și aceștia merg la concurentul care 'a răspuns cu adevărat' — și tu nu știi niciodată că email-ul nu a ajuns.
Facturile clienților dispar în junk, plățile sosesc cu săptămâni întârziere, iar fluxul de numerar are de suferit deoarece nimeni nu a văzut niciodată email-ul.
Un client se plânge că nu l-ai contactat niciodată înapoi — dar ai făcut-o; furnizorul de email i-a aruncat în tăcere răspunsul tău deoarece serverul tău de trimitere nu a putut dovedi cine este.
Domeniul tău trece de revizuirea de securitate a unui nou client pe toate celelalte verificări, apoi este semnalat deoarece serverul tău de email nu are o identitate corespunzătoare — un lucru mic care te face să pari neglijent.
Ai trecut la un VPS ieftin sau o nouă aplicație pentru a trimite newsletter-urile și facturile, iar rata de livrare a scăzut brusc — deoarece acel nou server de trimitere nu are ecuson DNS invers și furnizorii mari nu mai au încredere în el.

De ce contează. Fiecare furnizor de email major verifică identitatea serverului care trimite email-ul tău și verifică la fiecare mesaj. Dacă acel server nu se poate dovedi cine este — sau dacă numele și numărul se contrazic — email-ul tău de business autentic este tratat ca și cum ar putea fi spam. Pierzi răspunsuri, plăți și încredere, iar pentru că nimic nu se întoarce, de obicei nu afli niciodată de ce.

Pe scurt

Când afacerea ta trimite un email, acesta pleacă de la un server de email, și fiecare server de pe internet are o adresă numerică — IP-ul său. DNS-ul invers (o “înregistrare PTR”) este ecusonul de identificare al acelui server: îi permite oricui vede numărul să caute numele propriu din spatele lui, precum mail.companiamea.com.

Furnizorii mari receptori — Gmail, Microsoft 365, Yahoo — verifică acel ecuson pe fiecare mesaj pe care îl trimiți. Un server care se poate numi, și unde numele și numărul sunt de acord între ele, pare un server de email legitim. Un server fără ecuson, sau cu un ecuson care nu se potrivește, arată exact ca mașinile anonime, de unică folosință pe care le folosesc spammerii. Astfel facturile și ofertele tale autentice încep fiecare conversație sub suspiciune — și multe dintre ele pierd.

Partea frustrantă este că nimic nu îți spune că se întâmplă. Nu există nicio întoarcere, nicio eroare. Email-ul tău pur și simplu performează în tăcere sub standard.

Ce te poate costa

Acestea sunt modalitățile zilnice prin care o înregistrare DNS invers lipsă sau nepotrivită transformă bani și încredere în pierderi. Nu numim niciodată o afacere reală — acestea sunt tipare pe care le vedem în date.

Oferta care nu a ajuns. Trimiți o ofertă detaliată unui prospect care a cerut-o în dimineața aceea. Furnizorul lor nu poate verifica serverul tău de trimitere, astfel pune mesajul în spam. Nu caută prin gunoi. După-amiaza au luat oferta concurentului — cea care “a apărut cu adevărat.” Tu pui pe seama unui prospect lent; în realitate email-ul tău nu a fost văzut niciodată.
Factura în gol. Facturezi un client bun. Ajunge în folderul junk. Treizeci de zile mai târziu urmărești o plată restantă fără greșeala lor — și acum există o conversație incomodă, o relație tensionată și un decalaj de flux de numerar care era complet evitabil.
“Nu ai răspuns niciodată.” Un client este supărat că l-ai ignorat. Nu l-ai ignorat — ai răspuns în aceeași zi. Furnizorul de email i-a aruncat în tăcere răspunsul tău deoarece serverul tău de trimitere părea nedemn de încredere. Pari neprofesionist pentru ceva ce ai făcut corect.
Serverul de trimitere DIY care a otrăvit totul în tăcere. Pentru a economisi bani, email-ul tău (sau numai newsletter-urile și facturile automate) a început să iasă printr-un VPS ieftin sau o nouă aplicație de trimitere. Acel server nu a primit niciodată un ecuson DNS invers. Peste noapte, rata de livrare a scăzut pe toată linia — și deoarece nu există mesaj de eroare, a durat luni să suspectezi chiar cauza.
Semnalul de la revizuire de securitate. Echipa IT a unui client mai mare rulează o verificare de rutină pe domeniul tău în timpul integrării. Totul este în regulă, dar serverul tău de email nu are identitate corespunzătoare. Este un punct tehnic minor, dar apare ca neglijență — și acum remediezi sub presiunea termenului limită sau o explici, când domeniul unui concurent pur și simplu a trecut.

Firul prin toate acestea: costul cade pe tine, este invizibil în timp ce se întâmplă, iar remedierea este gratuită.

Ce este de fapt

DNS-ul normal transformă un nume într-un număr: tastezi companiamea.com și DNS-ul returnează adresa IP la care să te conectezi. DNS-ul invers face opusul — transformă un număr înapoi în un nume. Dat IP-ul 203.0.113.10, o căutare inversă (o “înregistrare PTR”) răspunde mail.companiamea.com.

De ce le pasă receptorilor: când serverul tău de email se conectează la Gmail pentru a livra un mesaj, Gmail vede IP-ul de conectare. Primul lucru pe care îl face un filtru serios de email este să întrebe “cine este această mașină?” — efectuând o căutare inversă pe acel IP. Un server de email legitim al afacerii are un răspuns (mail.companiamea.com). O mașină spam de unică folosință de obicei nu, sau are un nume generic atribuit de furnizor precum host-203-0-113-10.unISP.net. Deci prezența și calitatea ecusonului este unul din primele semnale de încredere aplicate email-ului tău — înainte ca SPF, DKIM sau conținutul mesajului să aibă măcar un moment.

Verifică serverul de email, nu site-ul web. Aceasta îi derutează pe oameni. Adresa site-ului tău web este adesea în spatele unui CDN sau proxy (precum Cloudflare) și nu va avea niciodată un ecuson corespunzător — și asta este în regulă, deoarece DNS-ul invers pentru email este despre IP-ul serverului de email MX, o mașină complet separată. Această verificare caută corect serverul tău de email principal (înregistrarea MX cu cel mai mic număr de prioritate), îl rezolvă la IP-ul său și verifică ecusonul pe acel IP.

Jumătatea pe care cele mai multe configurări o greșesc: trebuie să se potrivească în ambele direcții. A avea un nume nu este suficient de unul singur. Gmail și celelalte filtre mari fac ceva mai strict, numit DNS invers confirmat-înainte (FCrDNS):

Caută IP-ul → obții un nume (de exemplu mail.companiamea.com).
Acum caută acel nume înapoi → trebuie să rezolve la același IP de la care ai pornit.

Dacă cele două direcții sunt de acord, serverul este confirmat și pe deplin de încredere. Dacă există un nume dar indică altundeva (sau nicăieri), serverul este numai pe jumătate de încredere.

Exact așa notează această verificare:

Confirmat-înainte (FCrDNS): IP-ul denumește o gazdă, iar acea gazdă indică înapoi la același IP. Punctaj maxim — aceasta este configurarea corectă.
Ecusonul există dar nu confirmă: există o înregistrare PTR, dar numele nu se rezolvă înapoi la IP-ul serverului de email. Credit parțial numai.
Niciun ecuson: nicio înregistrare PTR pe IP-ul serverului de email. Niciun credit, și costul livrabilității este real.

Cum se remediază (gratuit, ~10 minute din timpul cuiva)

Predă această secțiune celui care deține adresa IP a serverului tău de email — de obicei furnizorul tău de email sau de găzduire, sau centrul de date pentru o cutie auto-găzduită — și notează că remedierea este gratuită. Aceasta este singura setare de email pe care aproape sigur nu o poți modifica singur în panoul DNS normal, deoarece DNS-ul invers este controlat de oricine deține IP-ul, nu de oricine deține domeniul. Percepem taxe numai pentru monitorizarea că rămâne corect, niciodată pentru efectuarea modificării.

Pasul 1 — Găsește IP-ul serverului de email de trimitere. Identifică gazda MX principală a domeniului (serverul de email cu cel mai mic număr de prioritate) și rezolv-o la IP-ul său:

dig MX companiamea.com        # găsește gazda MX principală (cu prioritatea cea mai mică)
dig A mail.companiamea.com    # rezolvă acea gazdă la IP-ul său

Acel IP este cel care are nevoie de ecuson. Nu folosi IP-ul site-ului web — este o mașină diferită și adesea în spatele unui CDN care nu se va potrivi niciodată.

Pasul 2 — Cere proprietarului IP să seteze înregistrarea PTR. DNS-ul invers se află la oricine controlează blocul IP, deci cererea se îndreaptă spre:

Google Workspace / Gmail: gestionat automat pentru serverele proprii de email Google.
Microsoft 365: similar gestionat automat pentru serverele Microsoft.
Un server de email auto-găzduit sau VPS: deschide un tichet la furnizorul de găzduire sau centrul de date cerând să seteze PTR-ul (DNS invers) pentru IP-ul tău la gazda ta de email. Majoritatea furnizorilor expun aceasta în panoul de control sub “DNS Invers,” “rDNS” sau “PTR.”
O aplicație de trimitere terță (newsletter / facturare / CRM): dacă trimite de pe propriile servere partajate, furnizorul gestionează DNS-ul invers — nu ai nimic de setat. Dacă trimite de pe un IP dedicat pe care l-ai cumpărat de la ei, cere-le să seteze PTR-ul pe el.

Spune-le înregistrarea pe care o dorești, de exemplu: 203.0.113.10 → mail.companiamea.com.

Pasul 3 — Fă-l confirmat-înainte (acesta este pasul pe care cei mai mulți oameni îl ratează). Gazda din PTR trebuie să se rezolve și înapoi la același IP printr-o înregistrare A normală pe care o controlezi în propriul tău DNS. Deci:

PTR-ul spune 203.0.113.10 → mail.companiamea.com (furnizorul tău setează aceasta).
Înregistrarea A spune mail.companiamea.com → 203.0.113.10 (tu setezi aceasta în DNS-ul tău, de exemplu Cloudflare → DNS → adaugă o înregistrare A, Nume mail, conținut 203.0.113.10).

Ambele direcții trebuie să indice una la cealaltă. Numai atunci este confirmat-înainte și pe deplin de încredere.

Pasul 4 — Reverificați domeniul. Confirmați că serverul de email arată acum DNS invers confirmat-înainte și verificarea trece. Modificările DNS se propagă în câteva minute până la câteva ore.

Greșeli comune

Setarea ecusonului pe IP-ul site-ului web în loc de serverul de email. DNS-ul invers pentru email este despre serverul MX. Punerea unui PTR pe adresa ta web/CDN nu face nimic pentru livrabilitate.
Oprirea la “PTR-ul există.” Un nume de unul singur câștigă numai încredere parțială. Dacă nu se rezolvă înapoi la același IP, filtrele stricte (Gmail, M365, Yahoo) nu îl vor fi pe deplin de încredere. Completează întotdeauna confirmarea-înainte (Pasul 3).
Uitarea înregistrării A după ce furnizorul setează PTR-ul. Furnizorul setează jumătatea inversă; tu trebuie să setezi jumătatea înainte în propriul tău DNS. Oamenii fac una și presupun că au terminat.
Adresarea la partenerul greșit. Trimiterea cererii la registratorul domeniului sau gazda DNS în loc de proprietarul IP obține “nu putem face asta” — deoarece chiar nu pot. Trebuie să meargă la oricine deține IP-ul.
Nume de gazdă generice ale furnizorului. Un PTR precum host-203-0-113-10.unISP.net există tehnic dar nu face nimic pentru marca sau încrederea ta. Folosește un nume de gazdă real pe propriul tău domeniu care se confirmă-înainte.

Unde se încadrează

DNS-ul invers este identitatea serverului; SPF, DKIM și DMARC sunt stratul de autorizare și anti-impersonificare al domeniului. Răspund la întrebări diferite, iar furnizorii mari le verifică pe toate. SPF listează ce servicii pot trimite ca tine; DKIM semnează criptografic mesajele tale astfel că nu pot fi modificate; DMARC le leagă pe cele două împreună și spune receptorilor ce să facă cu email-ul care eșuează — și protejează numele “de la” vizibil pe care îl văd cu adevărat clienții tăi. DNS-ul invers stă sub toate acestea, garantând că mașina care face trimiterea este un server de email real, numit în primul rând. Corectează SPF, DKIM și DMARC pentru cea mai puternică apărare împotriva impersonificării; corectează DNS-ul invers astfel încât un server de trimitere nou sau auto-găzduit să nu fie în tăcere neîncrezut înainte ca restul să aibă măcar o șansă. Fiecare din aceste remedieri este gratuită.

Întrebări frecvente

Nu sunt tehnic — pot rezolva asta singur?

De obicei nu, și este în regulă. Spre deosebire de majoritatea setărilor de email, aceasta nu este modificată în propriul DNS al domeniului tău — este setată de oricine deține adresa de internet (IP-ul) serverului tău de email, care este furnizorul tău de email sau de găzduire. Trebuie pur și simplu să le transmiți secțiunea 'Cum se remediază'. Este o modificare rapidă de la ei și este gratuită.

Dacă folosesc Google Workspace sau Microsoft 365, sunt deja acoperit?

Aproape sigur da — ambele gestionează DNS-ul invers automat pentru propriile servere de email, astfel un domeniu care trimite numai prin ele trece aceasta fără să faci nimic. Dacă verificarea tot o semnalează, aproape întotdeauna înseamnă că unele email-uri ale tale ies printr-un server diferit (propriul tău server, un VPS ieftin sau o aplicație de trimitere terță), și acel server este cel căruia îi lipsește ecusonul. Secțiunea de remediere explică cu cine să contactezi.

Ar putea remedierea să strice email-ul meu?

Nu. Aceasta numai adaugă sau corectează înregistrarea de identitate a serverului de trimitere — nu schimbă unde merge email-ul tău, cine are voie să îl trimită sau niciuna din setările căsuței tale poștale. Pur și simplu face email-ul pe care îl trimiți deja mai probabil să fie de încredere și livrat.

Care este diferența dintre aceasta și SPF, DKIM și DMARC?

Acele trei răspund la 'este acest domeniu autorizat să trimită acest mesaj?' DNS-ul invers răspunde la o întrebare diferită, mai timpurie: 'este mașina care trimite un server de email real, identificabil, sau o cutie anonimă?' Furnizorii mari verifică ambele. Vrei toate corecte — dar DNS-ul invers este cel care prinde un server de trimitere nou sau auto-găzduit înainte ca SPF și DKIM să aibă chiar ocazia să intre în joc.

Avem o înregistrare DNS invers dar verificarea tot nu trece complet — de ce?

Deoarece a avea un nume nu este suficient; numele trebuie să se verifice în ambele direcții. Ecusonul spune că serverul se numește, să zicem, mail.companiamea.com — dar Gmail caută acel nume și se așteaptă să indice înapoi la exact același IP. Dacă nu (sau indică altundeva), furnizorii îl tratează ca neconfirmat și îl au numai pe jumătate de încredere. Această potrivire bidirecțională se numește DNS invers confirmat-înainte, și este partea pe care cele mai multe configurări o ratează.

Remedierea este cu adevărat gratuită sau este o upsell plătit?

Remedierea este întotdeauna gratuită — este o mică modificare de configurare efectuată de furnizorul tău, nu un produs pe care să îl cumperi. Oricine îți spune că obținerea DNS-ului invers configurat necesită un plan plătit greșește. Percepem taxe numai pentru monitorizarea că rămâne corect în timp, niciodată pentru efectuarea modificării.