Defaults.Exposed › Cách khắc phục › Reverse DNS (PTR)

Cách khắc phục Reverse DNS (PTR)

Reverse DNS là thẻ ID cho máy chủ gửi email doanh nghiệp của bạn. Khi nhà cung cấp nhận như Gmail hay Microsoft 365 tra cứu ai đằng sau địa chỉ gửi và nhận được tên khớp, thư của bạn trông hợp lệ. Khi không có thẻ — hoặc tên và số không khớp — hóa đơn và báo giá hoàn toàn thật của bạn bị coi là đáng ngờ và âm thầm bị spam hoặc từ chối.

Điểm mấu chốt với doanh nghiệp bạn: Hóa đơn, báo giá và thư trả lời khách hàng của bạn âm thầm rơi vào spam hoặc không đến gì cả — vì vậy giao dịch đình trệ, thanh toán đến muộn, và khách hàng nghĩ bạn đã bỏ qua họ, không cái nào trong số này hiện ra như lỗi bạn sẽ nhận thấy.

Điều này có thể gây thiệt hại gì

• Bạn gửi báo giá cho khách hàng tiềm năng nóng, nó rơi vào spam, và họ tìm đối thủ 'thực sự đã trả lời' — bạn không bao giờ biết email không hạ cánh.
• Hóa đơn cho khách hàng biến vào thư rác, thanh toán đến muộn nhiều tuần, và dòng tiền của bạn chịu hậu quả vì không ai nhìn thấy email.
• Khách hàng phàn nàn bạn không trả lời họ — nhưng bạn đã; nhà cung cấp thư của họ âm thầm vứt thư trả lời vì máy chủ gửi của bạn không thể chứng minh mình là ai.
• Tên miền của bạn vượt qua xem xét bảo mật của khách hàng mới về mọi thứ khác, sau đó bị gắn cờ vì máy chủ thư của bạn không có danh tính đúng — một điều nhỏ khiến bạn trông bất cẩn.
• Bạn chuyển sang VPS rẻ hoặc ứng dụng mới để gửi newsletter và hóa đơn, và chỉ qua đêm tỷ lệ phân phối của bạn giảm — vì máy chủ gửi mới không có thẻ reverse-DNS và các nhà cung cấp lớn không còn tin tưởng nó.

Tại sao điều này quan trọng. Mọi nhà cung cấp email lớn đều kiểm tra danh tính của máy chủ gửi thư của bạn, và họ kiểm tra trên mọi thư. Nếu máy chủ đó không thể chứng minh mình là ai — hoặc nếu tên và số của nó mâu thuẫn nhau — email doanh nghiệp hợp lệ của bạn được xử lý như thể có thể là spam. Bạn mất thư trả lời, thanh toán và niềm tin, và vì không có gì bị trả lại, bạn thường không bao giờ biết tại sao.

Tóm tắt ngắn

Khi doanh nghiệp bạn gửi email, nó đi từ máy chủ thư, và mỗi máy chủ trên internet có địa chỉ số — IP của nó. Reverse DNS (bản ghi “PTR”) là thẻ tên của máy chủ: nó cho phép bất kỳ ai thấy số tìm kiếm tên đúng đằng sau nó, như mail.yourcompany.com.

Các nhà cung cấp nhận lớn — Gmail, Microsoft 365, Yahoo — kiểm tra thẻ đó trên mọi thư bạn gửi. Máy chủ có thể đặt tên chính nó, và tên và số đồng ý với nhau, trông như máy chủ thư hợp lệ. Máy chủ không có thẻ, hoặc thẻ không khớp, trông y hệt như những máy ẩn danh, dùng một lần mà spammer dùng. Vì vậy hóa đơn và báo giá hợp lệ của bạn bắt đầu mỗi cuộc trò chuyện dưới sự nghi ngờ — và nhiều trong số chúng thua.

Phần bực bội là không có gì cho bạn biết điều đó đang xảy ra. Không có thông báo bounce, không có lỗi. Email của bạn chỉ âm thầm kém hiệu quả.

Điều này có thể khiến bạn mất gì

Đây là những cách hàng ngày mà bản ghi reverse-DNS thiếu hoặc không khớp biến thành tiền và niềm tin thoát ra khỏi cửa. Chúng tôi không bao giờ nêu tên doanh nghiệp thật — đây là những mô hình chúng tôi thấy trong dữ liệu.

• Báo giá không đến được. Bạn gửi báo giá chi tiết cho khách hàng tiềm năng đã yêu cầu buổi sáng đó. Nhà cung cấp của họ không thể xác minh máy chủ gửi, nên nó bỏ thư vào spam. Họ không đào qua thư rác. Đến buổi chiều họ đã nhận báo giá của đối thủ — cái “thực sự xuất hiện.” Bạn cho rằng đây là khách hàng chậm; thực tế email của bạn không bao giờ được thấy.
• Hóa đơn trong khoảng trống. Bạn xuất hóa đơn cho khách hàng tốt. Nó hạ cánh trong thư rác của họ. Ba mươi ngày sau bạn đang đòi thanh toán quá hạn không phải lỗi của họ — và giờ đây có cuộc trò chuyện khó xử, quan hệ căng thẳng, và khoảng cách dòng tiền hoàn toàn có thể tránh được.
• “Bạn không trả lời.” Khách hàng tức giận bạn đã bỏ qua câu hỏi của họ. Bạn không — bạn đã trả lời cùng ngày. Nhà cung cấp thư của họ âm thầm vứt phản hồi vì máy chủ gửi của bạn trông không đáng tin. Bạn trông không chuyên nghiệp vì điều gì đó bạn thực sự đã làm đúng.
• Máy chủ gửi DIY đã âm thầm đầu độc mọi thứ. Để tiết kiệm tiền, thư (hoặc chỉ newsletter và hóa đơn tự động) bắt đầu đi qua VPS rẻ hoặc ứng dụng gửi mới. Máy chủ đó không bao giờ có thẻ reverse-DNS. Chỉ qua đêm, tỷ lệ phân phối của bạn giảm trên toàn diện — và vì không có thông báo lỗi, mất nhiều tháng để nghi ngờ nguyên nhân.
• Gắn cờ xem xét bảo mật. Nhóm IT của khách hàng lớn hơn chạy kiểm tra thường quy trên tên miền của bạn trong khi onboarding. Mọi thứ khác đều ổn, nhưng máy chủ thư của bạn không có danh tính đúng. Đây là điểm kỹ thuật nhỏ, nhưng nó đọc như bất cẩn — và giờ đây bạn đang sửa nó dưới áp lực thời hạn, hoặc giải thích nó, khi tên miền đối thủ chỉ vượt qua.

Điểm chung qua tất cả: chi phí đổ lên bạn, nó vô hình khi đang xảy ra, và việc sửa miễn phí.

Thực ra nó là gì

DNS thông thường chuyển tên thành số: bạn gõ yourcompany.com, và DNS trả về địa chỉ IP để kết nối. Reverse DNS làm ngược lại — nó chuyển số thành tên. Cho IP 203.0.113.10, tra cứu ngược (bản ghi “PTR”) trả lời mail.yourcompany.com.

Tại sao người nhận quan tâm: khi máy chủ thư của bạn kết nối với Gmail để giao thư, Gmail thấy IP kết nối. Điều đầu tiên bộ lọc thư nghiêm túc làm là hỏi “máy này là ai?” — bằng cách thực hiện tra cứu ngược trên IP đó. Máy chủ thư doanh nghiệp thật có câu trả lời (mail.yourcompany.com). Máy spam dùng một lần thường không, hoặc có tên chung do nhà cung cấp gán như host-203-0-113-10.someisp.net. Vì vậy sự hiện diện và chất lượng của thẻ là một trong những tín hiệu tin tưởng đầu tiên được áp dụng cho thư của bạn — trước cả SPF, DKIM, hoặc nội dung thư thậm chí có cơ hội được xem.

Nó kiểm tra máy chủ thư, không phải website. Điều này gây nhầm lẫn với mọi người. Địa chỉ website của bạn thường đằng sau CDN hoặc proxy (như Cloudflare) và sẽ không bao giờ có thẻ khớp — và điều đó ổn, vì reverse DNS cho email là về IP của máy chủ thư MX, một máy hoàn toàn riêng biệt. Kiểm tra này tìm máy chủ thư chính của tên miền (bản ghi MX priority thấp nhất), giải quyết nó sang IP, và kiểm tra thẻ trên IP đó.

Nửa mà hầu hết cài đặt bỏ sót: nó phải khớp từ cả hai hướng. Có tên không đủ. Gmail và các bộ lọc lớn khác làm điều nghiêm ngặt hơn, gọi là forward-confirmed reverse DNS (FCrDNS):

1. Tra cứu IP → nhận tên (ví dụ mail.yourcompany.com).
2. Bây giờ tra cứu tên đó trở lại → nó phải giải quyết sang cùng IP bạn bắt đầu từ.

Nếu hai hướng đồng ý, máy chủ được xác nhận và hoàn toàn tin tưởng. Nếu có tên nhưng nó trỏ đi nơi khác (hoặc không đến đâu), máy chủ chỉ được nửa tin tưởng — thẻ không sống sót qua cái nhìn thứ hai được coi là yếu hơn bạn mong.

Đó chính xác là cách kiểm tra này tính điểm:

• Forward-confirmed (FCrDNS): IP đặt tên host, và host đó trỏ trở lại cùng IP. Điểm đầy đủ — đây là cấu hình đúng, và đó là điều người nhận tin tưởng.
• Thẻ tồn tại nhưng không xác nhận: có bản ghi PTR, nhưng tên không giải quyết trở lại IP máy chủ thư. Chỉ điểm một phần — trông được cấu hình nhưng các bộ lọc lớn sẽ không hoàn toàn tin tưởng nó.
• Không có thẻ gì cả: không có bản ghi PTR trên IP máy chủ thư. Không có điểm, và chi phí phân phối là thật.

Lưu ý về trọng số: trong phương pháp này đây là kiểm tra email có điểm (đáng giá 25 điểm, mục ưu tiên P2). Đây không phải kiểm tra email đơn lẻ nặng nhất — đó là SPF và DMARC, ngăn chặn mạo danh hoàn toàn — nhưng nó là phần thật, có điểm của trạng thái email của bạn, và là một trong số ít phụ thuộc vào nhà cung cấp của bạn làm đúng thay vì bạn. Nếu bạn chỉ gửi qua Google Workspace hoặc Microsoft 365, bạn gần như chắc chắn đã vượt qua; các doanh nghiệp thất bại là những người gửi qua máy chủ riêng hoặc bên thứ ba.

“Tốt” trông như thế nào: IP của máy chủ thư chính của bạn có bản ghi PTR trỏ đến tên host thật bạn sở hữu, và tên host đó giải quyết thẳng trở lại cùng IP — hai hướng đồng ý (FCrDNS được xác nhận).

Cách sửa (miễn phí, ~10 phút thời gian của ai đó)

Chuyển phần này cho người sở hữu địa chỉ IP của máy chủ thư của bạn — thường là nhà cung cấp email hoặc hosting, hoặc trung tâm dữ liệu cho box tự lưu trữ — và lưu ý rằng việc sửa miễn phí. Đây là cài đặt email duy nhất bạn gần như chắc chắn không thể thay đổi bản thân trong bảng DNS thông thường, vì reverse DNS được kiểm soát bởi người sở hữu IP, không phải người sở hữu tên miền. Chúng tôi chỉ tính phí để theo dõi rằng nó luôn đúng, không bao giờ để thực hiện thay đổi.

Bước 1 — Tìm IP của máy chủ thư gửi. Xác định host MX chính của tên miền (máy chủ thư với số priority thấp nhất) và giải quyết nó sang IP:

dig MX yourcompany.com        # tìm host MX chính (priority thấp nhất)
dig A mail.yourcompany.com    # giải quyết host đó sang IP

IP đó là cái cần thẻ. Đừng dùng IP website — đó là máy khác và thường đằng sau CDN mà sẽ không bao giờ khớp.

Bước 2 — Yêu cầu chủ sở hữu IP đặt bản ghi PTR. Reverse DNS nằm với ai kiểm soát khối IP, vì vậy yêu cầu đến:

• Google Workspace / Gmail: được quản lý tự động cho máy chủ riêng của Google — nếu tên miền chỉ gửi qua Google bằng cách nào đó hiển thị là thất bại, hãy liên hệ hỗ trợ Google. (Trong thực tế những thứ này đạt.)
• Microsoft 365: tương tự được quản lý tự động cho máy chủ Microsoft.
• Máy chủ thư tự lưu trữ hoặc VPS: mở ticket với nhà cung cấp hosting hoặc trung tâm dữ liệu yêu cầu họ đặt PTR (reverse DNS) cho IP của bạn thành tên host thư. Hầu hết nhà cung cấp hiển thị điều này trong bảng điều khiển dưới “Reverse DNS,” “rDNS,” hoặc “PTR.”
• Ứng dụng gửi bên thứ ba (newsletter / hóa đơn / CRM): nếu nó gửi từ máy chủ chia sẻ riêng, nhà cung cấp xử lý reverse DNS — không có gì để bạn đặt. Nếu nó gửi từ IP riêng bạn mua từ họ, yêu cầu họ đặt PTR trên nó.

Cho họ biết bản ghi bạn muốn, ví dụ: 203.0.113.10 → mail.yourcompany.com.

Bước 3 — Làm nó forward-confirm (đây là bước hầu hết mọi người bỏ sót). Tên host trong PTR cũng phải giải quyết trở lại cùng IP qua bản ghi A thông thường bạn kiểm soát trong DNS riêng của bạn. Vì vậy:

• PTR nói 203.0.113.10 → mail.yourcompany.com (nhà cung cấp của bạn đặt cái này).
• Bản ghi A nói mail.yourcompany.com → 203.0.113.10 (bạn đặt cái này trong DNS của bạn, ví dụ Cloudflare → DNS → thêm bản ghi A, Name mail, content 203.0.113.10).

Cả hai hướng phải trỏ đến nhau. Chỉ khi đó mới được forward-confirmed và hoàn toàn tin tưởng.

Bước 4 — Kiểm tra lại tên miền. Xác nhận máy chủ thư giờ hiển thị forward-confirmed reverse DNS và kiểm tra đạt. Thay đổi DNS lan truyền trong vài phút đến vài giờ.

Các lỗi phổ biến

• Đặt thẻ trên IP website thay vì IP máy chủ thư. Reverse DNS cho email là về máy chủ MX. Đặt PTR trên địa chỉ web/CDN của bạn không làm gì cho phân phối — máy sai nhận thẻ.
• Dừng ở “PTR tồn tại.” Tên riêng chỉ kiếm được tin tưởng một phần. Nếu nó không giải quyết trở lại cùng IP, các bộ lọc nghiêm ngặt (Gmail, M365, Yahoo) sẽ không hoàn toàn tin tưởng nó. Luôn hoàn thành forward-confirmation (Bước 3).
• Quên bản ghi A sau khi nhà cung cấp đặt PTR. Nhà cung cấp đặt nửa ngược; bạn phải đặt nửa xuôi trong DNS riêng. Mọi người làm một và cho rằng đã xong.
• Yêu cầu sai bên. Gửi yêu cầu cho đăng ký tên miền hoặc nhà cung cấp DNS thay vì chủ sở hữu IP nhận được “chúng tôi không thể làm điều đó” — vì họ thực sự không thể. Nó phải đến với người sở hữu IP.
• Tên host nhà cung cấp chung. PTR như host-203-0-113-10.someisp.net kỹ thuật tồn tại nhưng không làm gì cho thương hiệu hoặc tin tưởng của bạn. Dùng tên host thật trên tên miền của bạn mà forward-confirms.

Vị trí trong bức tranh tổng thể

Reverse DNS là danh tính máy chủ; SPF, DKIM và DMARC là lớp ủy quyền và chống mạo danh của tên miền. Chúng trả lời các câu hỏi khác nhau, và các nhà cung cấp lớn kiểm tra tất cả chúng. SPF liệt kê dịch vụ nào có thể gửi thay mặt bạn; DKIM ký mật mã thư của bạn để chúng không thể bị giả mạo; DMARC kết hợp hai cái và nói với người nhận phải làm gì với thư thất bại — và bảo vệ tên ‘from’ hiển thị mà khách hàng của bạn thực sự thấy. Reverse DNS nằm bên dưới tất cả những thứ đó, đảm bảo máy đang gửi là máy chủ thư thật, có tên ngay từ đầu. Sửa SPF, DKIM và DMARC cho phòng thủ mạo danh mạnh nhất; sửa reverse DNS để máy chủ gửi mới hoặc tự lưu trữ không bị không tin tưởng âm thầm trước khi phần còn lại thậm chí có cơ hội. Mọi bản sửa đều miễn phí.

FAQ