Defaults.Exposed › Popravki › Obratni DNS (PTR)

Kako popraviti Obratni DNS (PTR)

Obratni DNS je osebna izkaznica za strežnik, ki pošilja e-pošto vašega podjetja. Ko ponudnik, kot je Gmail ali Microsoft 365, preveri, kdo stoji za pošiljateljevim naslovom in dobi ime, ki se izkaže, vaša pošta izgleda legitimno. Brez izkaznice — ali kadar se ime in številka ne ujemata — vaši povsem pravi računi in ponudbe dobijo obravnavo sumljive pošte in so tiho zavrženi ali zavrnjeni.

Bistvo za vaše podjetje: Vaši računi, ponudbe in odgovori strankam tiho pristanejo v neželeni pošti ali nikoli ne prispe — posli zaostajajo, plačila prihajajo z zamudo in stranke mislijo, da ste jih ignorirali, pri čemer nič od tega ne kaže napake, ki bi jo opazili.

Kaj vas to lahko stane

• Potencialni stranki pošljete ponudbo, ta pristane v neželeni pošti in gre k konkurentu, ki je 'dejansko odgovoril' — vi pa niti niste vedeli, da e-pošta ni prispela.
• Računi strankam izginejo v nezeleno pošto, plačila prihajajo tedne pozneje in vaš denarni tok utrpi, ker nihče ni nikoli videl e-pošte.
• Stranka se pritoži, da se niste nikoli odzvali — a ste se; njihov ponudnik poštnih storitev je tiho zavrgel vaš odgovor, ker vaš pošiljalni strežnik ni mogel dokazati, kdo je.
• Vaša domena prestane varnostni pregled novega naročnika pri vsem drugem, nato pa je označena, ker vaš poštni strežnik nima prave identitete — majhna stvar, ki izgleda malomarno.
• Prešli ste na cenejši VPS ali novo aplikacijo za pošiljanje glasil in računov in čez noč je stopnja dostave padla — ker ta novi pošiljalni strežnik nima obratne DNS izkaznice in mu večji ponudniki ne zaupajo več.

Zakaj je to pomembno. Vsak večji ponudnik e-pošte preverja identiteto strežnika, ki pošilja vašo pošto, in to preveri pri vsaki sporočilu. Če ta strežnik ne more dokazati, kdo je — ali kadar se njegovo ime in številka medsebojno protislovita — je vaša pristna poslovna e-pošta obravnavana, kot da bi bila neželena pošta. Izgubite odgovore, plačila in zaupanje, ker pa se nič ne vrne, ponavadi nikoli ne ugotovite zakaj.

Na kratko

Ko vaše podjetje pošlje e-pošto, ta odide s poštnega strežnika in vsak strežnik na internetu ima numerični naslov — njegov IP. Obratni DNS (zapis “PTR”) je izkaznica tega strežnika: komurkoli, ki vidi številko, omogoča iskanje pravilnega imena za njim, kot je mail.vasepodjetje.com.

Veliki ponudniki za prejemanje — Gmail, Microsoft 365, Yahoo — preverijo to izkaznico pri vsakem sporočilu, ki ga pošljete. Strežnik, ki se zna poimensko identificirati in kjer sta ime in številka skladna, izgleda kot legitimen poštni strežnik. Strežnik brez izkaznice ali z izkaznico, ki se ne ujema, izgleda natanko kot anonimni strežniki za enkratno rabo, ki jih uporabljajo pošiljatelji neželene pošte. Zato vaši pravi računi in ponudbe vstopajo v vsak pogovor pod sumom — in veliko jih izgubi.

Frustrirajoče je, da vam nič ne pove, da se to dogaja. Ni vrnjenih sporočil, ni napak. Vaša e-pošta preprosto tiho slabše deluje.

Kaj vas to lahko stane

To so vsakodnevni načini, ko manjkajoč ali neujemajoč se zapis obratnega DNS-a privede do izgube denarja in zaupanja. Nikoli ne omenjamo resničnih podjetij — to so vzorci, ki jih vidimo v podatkih.

• Ponudba, ki ni pristala. Potencialni stranki pošljete podrobno ponudbo, ki jo je zahtevala tisto jutro. Njihov ponudnik ne more preveriti vašega pošiljajočega strežnika in sporoće odloži v neželeno pošto. Čez popoldne je vzela konkurenčno ponudbo — tisto, ki je ‘dejansko prispela’. Vi to pripisujete počasnemu povpraševanju; dejansko vaša e-pošta ni bila nikoli videna.
• Račun v praznini. Fakturirate dobri stranki. Pristane v mapi z neželeno pošto. Trideset dni pozneje lovite zaostalo plačilo, ki ni zamudilo po njihovi krivdi — in zdaj je neroden pogovor, napeto razmerje in denarno vrzel, ki jo je bilo mogoče v celoti preprečiti.
• “Niste odgovorili.” Stranka je jezna, da ste ji ignorirali vprašanje. Niste — odgovorili ste isti dan. Njihov ponudnik poštnih storitev je tiho zavrgel vaš odgovor, ker je vaš pošiljalni strežnik izgledal nezaupanja vreden. Izgledali neprofesionalno za nečim, kar ste dejansko pravilno naredili.
• Lastni pošiljalni strežnik, ki je tiho zastrupil vse. Da bi prihranili, je vaša pošta (ali samo glasila in avtomatski računi) začela odhajati prek cenejšega VPS-a ali nove aplikacije za pošiljanje. Ta strežnik nikoli ni dobil izkaznice obratnega DNS-a. Čez noč je stopnja dostave po vsem oslabela — in ker ni sporočila o napaki, je trajalo mesece, da ste sploh posumili na vzrok.
• Oznaka varnostnega pregleda. IT ekipa večjega naročnika med vključitvijo opravi rutinsko preverjanje vaše domene. Vse ostalo je v redu, a vaš poštni strežnik nima prave identitete. Je manjša tehnična točka, a izgleda malomarno — in zdaj odpravljate pod pritiskom roka ali se opravičujete za to, medtem ko je domena konkurence preprosto prestala preverjanje.

Skupna nit: strošek pade na vas, je neviden med dogajanjem in popravek je brezplačen.

Kaj to dejansko je

Normalni DNS pretvori ime v številko: vnesete vasepodjetje.com in DNS vrne IP naslov za povezavo. Obratni DNS naredi nasprotno — pretvori številko nazaj v ime. Ob IP-ju 203.0.113.10 obratna poizvedba (zapis “PTR”) odgovori mail.vasepodjetje.com.

Zakaj prejemnike zanima: ko se vaš poštni strežnik poveže z Gmailom za dostavo sporočila, Gmail vidi IP, ki se povezuje. Prva stvar, ki jo naredi resen filter pošte, je vprašanje “kdo je ta stroj?” — z obratno poizvedbo tega IP-ja. Pravi poštni strežnik podjetja ima odgovor (mail.vasepodjetje.com). Strežnik za enkratno rabo, ki ga pošiljatelji nezelene pošte navadno nimajo, ali ima generično ime, dodeljeno s strani ponudnika, kot je host-203-0-113-10.someisp.net. Prisotnost in kakovost izkaznice je zato eden od prvih signalov zaupanja za vašo pošto — pred SPF, DKIM ali vsebino sporočila.

Preverja poštni strežnik, ne vaše spletne strani. To zbega ljudi. Naslov vaše spletne strani je pogosto za CDN ali posredniškim strežnikom (kot je Cloudflare) in nikoli ne bo imel ujemajoče izkaznice — in to je v redu, ker obratni DNS za e-pošto zadeva IP MX poštnega strežnika, ki je povsem ločen stroj.

Polovica, ki jo večina nastavitev naredi narobe: ujemati se mora v obeh smereh. Imeti ime samo po sebi ni dovolj. Gmail in drugi veliki filtri naredijo strožje, kar se imenuje forward-confirmed reverse DNS (FCrDNS):

1. Poiščite IP → dobite ime (npr. mail.vasepodjetje.com).
2. Zdaj to ime poiščite nazaj → mora razrešiti na isti IP, s katerim ste začeli.

Če sta si obe smeri skladni, je strežnik potrjen in mu popolnoma zaupajo. Če obstaja ime, a kaže nekam drugam (ali nikamor), je strežnik le napol zaupan — izkaznica, ki ne preživi drugega pogleda. PTR, ki kaže na ime gostitelja pod nadzorom napadalca in se ne razreši nazaj, je v nekaterih pogledih slabši kot brez PTR-ja sploh.

Točno tako to preverjanje ocenjuje:

• Forward-confirmed (FCrDNS): IP imenuje gostitelja in ta gostitelj kaže nazaj na isti IP. Polne točke — to je pravilna konfiguracija.
• Izkaznica obstaja, a se ne potrdi: obstaja zapis PTR, a ime se ne razreši nazaj na IP poštnega strežnika. Le delne točke.
• Brez izkaznice: pri IP-ju poštnega strežnika ni zapisa PTR. Nič točk in strošek dostavljivosti je resen.

Opomba o teži: v metodologiji je to ocenjevano preverjanje e-pošte (vredno 25 točk, prednostni element P2). Ni najpomembnejše preverjanje e-pošte — to je SPF in DMARC — a je eden od redkih, ki je odvisen od tega, da vaš ponudnik naredi nekaj pravilno, ne vi.

Kako izgleda “dobro”: IP vašega primarnega poštnega strežnika ima zapis PTR, ki kaže na pravo ime gostitelja v vaši lasti, in to ime se razreši nazaj na isti IP — obe smeri sta skladni (FCrDNS potrjen).

Kako to popraviti (brezplačno, ~10 minut časa nekoga)

Posredujte ta razdelek tistemu, ki je lastnik IP naslova vašega poštnega strežnika — navadno vašemu ponudniku e-pošte ali gostovanja, ali vašemu podatkovnemu centru za samostojno gostovano škatlo — in upoštevajte, da je popravek brezplačen. To je ena nastavitev e-pošte, ki je skoraj zagotovo ne morete sami spremeniti v vašem normalnem DNS panelu, ker obratni DNS nadzira tisti, ki ima IP, ne tisti, ki ima domeno. Zaračunavamo le spremljanje, da ostane pravilno, nikoli pa same spremembe.

1. korak — Poiščite IP pošiljajočega poštnega strežnika. Identificirajte primarnega MX gostitelja domene (poštni strežnik z najnižjo prioritetno številko) in ga razrešite na njegov IP:

dig MX vasepodjetje.com        # najdite primarni (najnižje prioritetni) MX gostitelj
dig A mail.vasepodjetje.com    # razrešite tega gostitelja na njegov IP

Ta IP je tisti, ki potrebuje izkaznico. Ne uporabite IP spletne strani — gre za ločen stroj, ki je pogosto za CDN-om.

2. korak — Prosite lastnika IP-ja za nastavitev zapisa PTR. Obratni DNS je pri tistem, ki nadzira blok IP-jev, zato zahteva gre k:

• Google Workspace / Gmail: samodejno upravljano za Googlove lastne poštne strežnike.
• Microsoft 365: prav tako samodejno upravljano za Microsoftove strežnike.
• Samostojno gostovani ali VPS poštni strežnik: odprite zahtevek pri vašem ponudniku gostovanja ali podatkovnem centru, s prošnjo za nastavitev PTR (obratnega DNS-a) za vaš IP na vaše ime poštnega gostitelja. Večina ponudnikov to izpostavi v nadzorni plošči pod “Obratni DNS”, “rDNS” ali “PTR”.
• Aplikacija za pošiljanje tretje osebe (glasila / fakturiranje / CRM): če pošilja s svojih lastnih skupnih strežnikov, ponudnik obravnava obratni DNS — za vas ni ničesar za nastaviti. Če pošilja z namenskega IP-ja, ki ste ga kupili pri njih, jih prosite za nastavitev PTR.

Povejte jim zapis, ki ga hočete, na primer: 203.0.113.10 → mail.vasepodjetje.com.

3. korak — Naredite, da gre forward-potrditev (ta korak večina spregleda). Ime gostitelja v PTR se mora prav tako razrešiti nazaj na isti IP prek normalnega zapisa A, ki ga nadzirate v lastnem DNS. Torej:

• PTR pravi 203.0.113.10 → mail.vasepodjetje.com (vaš ponudnik to nastavi).
• Zapis A pravi mail.vasepodjetje.com → 203.0.113.10 (to nastavite vi v vašem DNS, npr. Cloudflare → DNS → dodajte zapis A, Ime mail, vsebina 203.0.113.10).

Obe smeri morata kazati ena na drugo. Šele takrat je forward-confirmed in popolnoma zaupano.

4. korak — Ponovno preverite svojo domeno. Potrdite, da poštni strežnik zdaj kaže forward-confirmed obratni DNS in preverjanje prestane. Spremembe DNS se razširijo v minutah do nekaj ur.

Pogoste napake

• Nastavitev izkaznice na IP spletne strani namesto na IP poštnega strežnika. Obratni DNS za e-pošto zadeva MX strežnik. Postavljanje PTR-ja na vaš spletni/CDN naslov ne naredi nič za dostavljivost.
• Zaustaviti se pri “PTR obstaja”. Samo ime prinese le delno zaupanje. Če se ne razreši nazaj na isti IP, ga strogi filtri (Gmail, M365, Yahoo) ne bodo popolnoma zaupali.
• Pozabiti na zapis A po tem, ko ponudnik nastavi PTR. Ponudnik nastavi obratno polovico; vi morate nastaviti naprej usmerjen del v lastnem DNS. Ljudje naredijo eno in domnevajo, da so končali.
• Prositi napačno stranko. Pošiljanje zahteve vašemu registrarju domene ali gostitelju DNS namesto lastniku IP-ja vam prinese “tega ne moremo narediti” — ker dejansko ne morejo.
• Generična imena gostiteljev ponudnika. PTR, kot je host-203-0-113-10.someisp.net, tehnično obstaja, a ne naredi ničesar za vašo blagovno znamko ali zaupanje. Uporabite pravo ime gostitelja na vaši lastni domeni, ki forward-potrjuje.

Kje se to uvršča

Obratni DNS je identiteta strežnika; SPF, DKIM in DMARC so pooblastilo domene in plast zaščite pred lažnim predstavljanjem. Odgovorijo na različna vprašanja in veliki ponudniki preverijo vse. SPF navaja, katere storitve smejo pošiljati v vašem imenu; DKIM kriptografsko podpiše vaša sporočila, da jih ni mogoče spremeniti; DMARC poveže oba skupaj in pove prejemnikom, kaj storiti s pošto, ki ne prestane preveritve. Obratni DNS se nahaja pod vsem tem in preverja, da je stroj, ki pošilja, pravi, poimenski poštni strežnik sploh. Pravilno nastavite SPF, DKIM in DMARC za najmočnejšo zaščito pred lažnim predstavljanjem; pravilno nastavite obratni DNS, da nov ali samostojno gostovani pošiljalni strežnik ni tiho nezaupen, preden ostalo sploh dobi priložnost. Vsak od teh popravkov je brezplačen.

Pogosta vprašanja