Defaults.Exposed › Düzeltmeler › Ters DNS (PTR)

Ters DNS (PTR) nasıl düzeltilir

Ters DNS, işletme e-postanızı gönderen sunucunun kimlik kartıdır. Gmail veya Microsoft 365 gibi alıcı sağlayıcılar gönderen adresin arkasında kimin olduğunu arayıp adı doğrulandığında postanız meşru görünür. Kimlik kartı yoksa — ya da ad ile numara uyuşmuyorsa — son derece gerçek faturalarınız ve teklifleriniz şüpheli olarak değerlendirilir; sessizce spam'e atılır veya reddedilir.

İşletmeniz için sonuç: Faturalarınız, teklifleriniz ve müşteri yanıtlarınız sessizce spam'e düşer veya hiç ulaşmaz — anlaşmalar durur, ödemeler geç gelir ve müşteriler sizi görmezden geldiğinizi sanır; bunların hiçbiri fark edeceğiniz bir hata olarak görünmez.

Bu size ne mal olabilir

• Sabah teklifini isteyen sıcak bir müşteriye ayrıntılı bir teklif gönderirsiniz. Teklif spam'e düşer ve rakibinizin teklifini tercih ederler — ve e-postanızın ulaşmadığını asla bilmezsiniz.
• Faturalar iyi müşterilerin spam klasörüne gider, ödemeler haftalarca gecikerek nakit akışınıza zarar verir.
• Müşteri sizi yanıt vermediğiniz için şikâyet eder — ama yanıtladınız; posta sağlayıcısı yanıtınızı sessizce çöpe attı çünkü gönderen sunucunuz kim olduğunu kanıtlayamadı.
• Alan adınız başka her şeyde yeni bir müşterinin güvenlik incelemesinden geçer; ardından posta sunucunuzun gerçek bir kimliği olmadığı için işaretlenir — sizi dikkatsiz gösteren küçük bir ayrıntı.
• Haber bültenlerinizi ve otomatik faturalarınızı göndermek için ucuz bir VPS'e veya yeni bir uygulamaya geçtiniz ve bir gecede teslimat oranınız düştü — bu yeni gönderen sunucunun ters DNS kimlik kartı olmadığı ve büyük sağlayıcıların artık ona güvenmediği için.

Neden önemlidir. Her büyük e-posta sağlayıcısı, postanızı gönderen sunucunun kimliğini her mesajda kontrol eder. Bu sunucu kim olduğunu kanıtlayamazsa — ya da adı ve numarası birbiriyle çelişiyorsa — gerçek iş e-postanız sanki spam'miş gibi değerlendirilir. Yanıtları, ödemeleri ve güveni kaybedersiniz; hiçbir şey geri dönmediğinden genellikle nedenini asla anlayamazsınız.

Kısa özet

İşletmeniz bir e-posta gönderdiğinde posta sunucusundan ayrılır ve internetteki her sunucunun sayısal bir adresi vardır — IP’si. Ters DNS (bir “PTR kaydı”) bu sunucunun kimlik kartıdır: numara görüldüğünde, mail.sirketniz.com gibi arkasındaki gerçek adı bulmak için kullanılabilir.

Büyük alıcı sağlayıcılar — Gmail, Microsoft 365, Yahoo — gönderdiğiniz her mesajda bu kimlik kartını kontrol eder. Kendine ad koyabilen ve adı ile numarası birbiriyle örtüşen bir sunucu meşru bir posta sunucusu gibi görünür. Kimlik kartı olmayan ya da eşleşmeyen kimlik kartına sahip bir sunucu, spamcıların kullandığı anonim, tek kullanımlık makineler gibi görünür. Gerçek faturalarınız ve teklifleriniz her konuşmayı şüphe altında başlatır — ve pek çoğu kaybeder.

Can sıkıcı olan, bunun farkına varmamanızdır. Hiçbir geri dönüş, hiçbir hata yok. E-postanız sadece sessizce yetersiz çalışır.

Size maliyeti ne olabilir

Bunlar, eksik veya uyumsuz ters DNS kaydının para ve güven kaybına yol açmasının günlük biçimleridir. Gerçek bir işletmeyi asla adlandırmayız — bunlar veriler genelinde gördüğümüz örüntülerdir.

• Ulaşmayan teklif. O sabah teklif isteyen bir müşteriye ayrıntılı bir teklif gönderirsiniz. Sağlayıcısı gönderen sunucunuzu doğrulayamaz ve mesajı spam’e düşürür. Müşteri çöp kutusuna bakmaz. Öğleden sonra rakibinizin teklifini kabul etmişlerdir — ‘gerçekten gelen’ teklifi. Siz yavaş bir müşteri diye değerlendirirsiniz; gerçekte e-postanız hiç görülmemiştir.
• Yoklukta fatura. İyi bir müşteriye fatura gönderirsiniz. Çöp klasörüne düşer. Otuz gün sonra, kendi hatası olmayan gecikmiş ödemenin peşine düşüyorsunuzdur — ve artık garip bir konuşma, zorlu bir ilişki ve tamamen önlenebilir olan nakit akışı açığı var.
• “Hiç yanıt vermediniz.” Müşteri sorusunu görmezden geldiğiniz için sinirlidir. Hayır, aynı gün yanıtladınız. Posta sağlayıcısı yanıtınızı sessizce çöpe attı çünkü gönderen sunucunuz güvenilmez görünüyordu. Doğru yaptığınız bir şey için profesyonel görünmüyorsunuz.
• Her şeyi zehirlemiş olan DIY gönderme sunucusu. Para tasarrufu için postanız (ya da yalnızca haber bültenleriniz ve otomatik faturalarınız) ucuz bir VPS veya yeni bir gönderme uygulaması üzerinden çıkmaya başladı. Bu sunucu hiç ters DNS kimlik kartı almadı. Bir gecede teslimat oranınız genel olarak düştü — ve hata mesajı olmadığından nedenini şüphelenmeniz bile aylar aldı.
• Güvenlik incelemesinde işaretleme. Daha büyük bir müşterinin BT ekibi, başlarken alan adınız üzerinde rutin bir kontrol yapar. Her şey iyi, ama posta sunucunuzun gerçek bir kimliği yok. Küçük teknik bir nokta, ama dikkatsizlik olarak okunuyor — ve artık bir rakibin alan adı sorunsuz geçerken bunu bir son dakika baskısı altında açıklamak zorundasınız.

Tüm bu senaryolardaki ortak nokta: maliyet size düşüyor, olurken görünmüyor ve düzeltme ücretsiz.

Teknik olarak nedir

Normal DNS bir adı numaraya dönüştürür: sirketniz.com yazarsınız, DNS bağlanılacak IP adresini verir. Ters DNS tam tersini yapar — bir numarayı ada dönüştürür. 203.0.113.10 IP’si verildiğinde ters arama (bir “PTR kaydı”) mail.sirketniz.com yanıtını verir.

Alıcıların neden önem verdiği: posta sunucunuz Gmail’e bir mesaj teslim etmek için bağlandığında Gmail bağlanan IP’yi görür. Ciddi bir posta filtresi ilk olarak “bu makine kim?” diye sorar — o IP üzerinde ters arama yaparak. Gerçek bir iş posta sunucusu bir yanıt verir (mail.sirketniz.com). Tek kullanımlık bir spam makinesi genellikle vermez ya da host-203-0-113-10.birissp.net gibi genel bir sağlayıcı adı verir. Dolayısıyla kimlik kartının varlığı ve kalitesi, postanıza uygulanan ilk güven sinyallerinden biridir — SPF, DKIM veya mesaj içeriği incelenmeden önce.

Posta sunucunuzu kontrol eder, web sitenizi değil. Bu insanları yanıltır. Web sitenizin adresi çoğunlukla bir CDN veya proxy’nin (Cloudflare gibi) arkasındadır ve hiçbir zaman eşleşen kimlik kartına sahip olmaz — ve bu sorun değil, çünkü e-posta için ters DNS, tamamen farklı bir makine olan MX posta sunucusunun IP’siyle ilgilidir. Bu kontrol doğru biçimde alan adınızın birincil posta sunucusunu (en düşük öncelikli MX kaydı) arar, IP’sine çözer ve o IP üzerindeki kimlik kartını kontrol eder.

Çoğu kurulumun yanlış yaptığı yarısı: her iki yönde eşleşmesi gerekir. Tek başına bir ada sahip olmak yeterli değildir. Gmail ve diğer büyük filtreler ileri onaylı ters DNS (FCrDNS) denen daha katı bir şey yapar:

1. IP’yi arar → bir ad alır (örn. mail.sirketniz.com).
2. Şimdi o adı geri arar → başladığınız aynı IP’ye işaret etmesi gerekir.

İki yön uyuşursa sunucu onaylanmış ve tamamen güvenilirdir. Bir ad var ama başka bir yere (ya da hiçbir yere) işaret ediyorsa, sunucu yalnızca yarı güvenilirdir — ikinci bir bakışa dayanamayan kimlik kartı ümit ettiğinizden daha zayıf değerlendirilir.

“İyi” neye benzer: birincil posta sunucunuzun IP’sinde gerçek bir ana bilgisayar adına işaret eden PTR kaydı ve o ana bilgisayar adının aynı IP’ye geri çözülmesi — iki yön birbiriyle uyuşuyor (FCrDNS onaylandı).

Nasıl düzeltilir (ücretsiz, ~10 dakika biri için)

Bu bölümü posta sunucunuzun IP adresine sahip olan kişiye iletin — genellikle e-posta ya da barındırma sağlayıcınız veya kendi barındırılan bir sunucu için veri merkeziniz — ve düzeltmenin ücretsiz olduğunu belirtin. Bu, normal DNS panelinizde kendiniz değiştiremeyeceğiniz bir e-posta ayarıdır; çünkü ters DNS, alan adına sahip olanın değil, IP’ye sahip olanın kontrolündedir. Yalnızca doğru kaldığını izlemek için ücret alıyoruz, değişikliği yapmak için asla.

1. Adım — Gönderen posta sunucusunun IP’sini bulun. Alan adının birincil MX ana bilgisayarını (en düşük öncelikli posta sunucusu) belirleyin ve IP adresine çözün:

dig MX sirketniz.com        # birincil (en düşük öncelikli) MX ana bilgisayarını bulun
dig A mail.sirketniz.com    # o ana bilgisayarı IP'sine çözün

Kimlik kartına ihtiyaç duyan IP budur. Web sitesinin IP’sini kullanmayın — farklı bir makinedir ve çoğunlukla eşleşmeyecek bir CDN’in arkasındadır.

2. Adım — IP sahibinden PTR kaydını ayarlamasını isteyin. Ters DNS, IP bloğunu kimin kontrol ettiğiyle birlikte yaşar, dolayısıyla istek şuna gider:

• Google Workspace / Gmail: Google’ın kendi posta sunucuları için otomatik olarak yönetilir — yalnızca Google üzerinden gönderen bir alan adı bir şekilde başarısız gösteriliyorsa Google desteğine başvurun. (Pratikte bunlar geçer.)
• Microsoft 365: Benzer şekilde Microsoft’un sunucuları için otomatik olarak yönetilir.
• Kendi barındırdığınız veya VPS posta sunucusu: barındırma sağlayıcınıza veya veri merkezinize IP’niz için PTR (ters DNS) kaydını posta ana bilgisayar adınıza ayarlamalarını isteyen bir destek talebi açın. Çoğu sağlayıcı bunu kontrol panelinde “Ters DNS”, “rDNS” veya “PTR” altında sunar. Büyük bulutlarda bu tek alanlı bir ayardır.
• Üçüncü taraf gönderme uygulaması (haber bülteni / faturalama / CRM aracı): kendi paylaşımlı sunucularından gönderiyorsa sağlayıcı ters DNS’i yönetir — sizin ayarlayacağınız hiçbir şey yok. O trafik için bunu görmezden gelebilirsiniz. Onlardan satın aldığınız özel bir IP’den gönderiyorsa PTR’yi onlara ayarlatın.

İstediğiniz kaydı söyleyin, örneğin: 203.0.113.10 → mail.sirketniz.com.

3. Adım — İleri onaylamayı yapın (çoğu kişinin kaçırdığı adım budur). PTR’deki ana bilgisayar adının, kendi DNS’inizde kontrol ettiğiniz normal bir A kaydıyla aynı IP’ye geri çözülmesi gerekir. Yani:

• PTR, 203.0.113.10 → mail.sirketniz.com diyor (sağlayıcınız bunu ayarlar).
• A kaydı, mail.sirketniz.com → 203.0.113.10 diyor (bunu kendi DNS’inizde ayarlarsınız, örn. Cloudflare → DNS → A kaydı ekle, Ad mail, içerik 203.0.113.10).

Her iki yön de birbirini işaret etmeli. Ancak o zaman ileri onaylıdır ve tamamen güvenilirdir.

4. Adım — Alan adınızı yeniden kontrol edin. Posta sunucusunun artık ileri onaylı ters DNS gösterdiğini ve kontrolün geçtiğini doğrulayın. DNS değişiklikleri dakikalar ila birkaç saat içinde yayılır.

Yaygın hatalar

• Posta sunucusunun IP’si yerine web sitesinin IP’sine kimlik kartı takmak. E-posta için ters DNS MX sunucusuyla ilgilidir. Web/CDN adresinize PTR koymak teslimat açısından hiçbir şey yapmaz — yanlış makine kimlik kartını alır.
• “PTR mevcut” noktasında durmak. Tek başına bir ad yalnızca kısmi güven kazandırır. Aynı IP’ye geri çözülmüyorsa katı filtreler (Gmail, M365, Yahoo) tamamen güvenmez. Her zaman ileri onaylamayı tamamlayın (3. Adım).
• Sağlayıcı PTR’yi ayarladıktan sonra A kaydını unutmak. Sağlayıcı ters yarıyı ayarlar; ileriye giden yarıyı kendi DNS’inizde kendiniz ayarlamalısınız. İnsanlar birini yapar ve tamamlandığını varsayar.
• Yanlış tarafa sormak. İsteği IP sahibi yerine alan adı tescilcinize veya DNS barındırıcınıza göndermek “bunu yapamayız” yanıtı almanızı sağlar — çünkü gerçekten yapamazlar. IP’ye sahip olana gitmesi gerekir.
• Genel sağlayıcı ana bilgisayar adları. host-203-0-113-10.birissp.net gibi bir PTR teknik olarak var olur ama markanız veya güveniniz için hiçbir şey yapmaz. İleri onaylayan kendi alan adınızdaki gerçek bir ana bilgisayar adı kullanın.

Nereye düşüyor

Ters DNS sunucunun kimliğidir; SPF, DKIM ve DMARC ise alan adının yetkilendirme ve kimlik taklibine karşı koruma katmanıdır. Farklı soruları yanıtlarlar ve büyük sağlayıcılar hepsini kontrol eder. SPF hangi hizmetlerin sizin adınıza göndermesine izin verildiğini listeler; DKIM mesajlarınızı kriptografik olarak imzalar; DMARC ikisini bir araya getirir ve alıcılara başarısız olan postalarla ne yapacaklarını söyler — müşterilerin gördüğü görünür ‘gönderen’ adını da korur. Ters DNS bunların altında, gönderme yapan makinenin ilk başta gerçek, adlandırılmış bir posta sunucusu olduğunu onaylar. En güçlü kimlik taklidi savunması için SPF, DKIM ve DMARC’ı; yeni veya kendi barındırdığınız gönderme sunucusunun geri kalanı devreye girmeden önce sessizce güvensiz sayılmaması için ters DNS’i doğru yapın. Bu düzeltmelerin her biri ücretsizdir.

SSS