nixp.ru v3.0

20 октября 2017,
пятница,
19:21:59 MSK

DevOps с компанией «Флант»
Аватар пользователя xoy
xoy написал 12 января 2016 года в 16:53 (6588 просмотров) Ведет себя как Сид; открыл 2 темы в форуме, оставил 59 комментариев на сайте.

В интернетах пишут, что крайне необходима, но примеры намекают об обратном…

пример: Берем некий абстрактный контакт root at nixp dot ru;). И смотрим, у него почта в домене nixp.ru
Ага определяем имя почтовика:

 dig mx nixp.ru +short
10 mail.server.homestyle.ru.


Выясняем адрес почтового сервера

dig mail.server.homestyle.ru +short
212.158.169.249


Проверяем обратную зону

dig 249.169.158.212.in-addr.arpa
; <<>> DiG 9.9.5-3ubuntu0.6-Ubuntu <<>> 249.169.158.212.in-addr.arpa ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39255 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;249.169.158.212.in-addr.arpa. IN A
;; AUTHORITY SECTION: 169.158.212.in-addr.arpa. 1799 IN SOA ns.caravan.ru. dnsmaster.caravan.ru. 2008071052 7200 3600 43200 3600
;; Query time: 138 msec ;; SERVER: 127.0.1.1#53(127.0.1.1) ;; WHEN: Tue Jan 12 16:32:26 MSK 2016 ;; MSG SIZE rcvd: 116


В ответ получаем, что prt записи в зоне 169.158.212.in-addr.arpa которой заведует caravan.ru обратной записи для этого почтовика(ip адреса) нет…

Прочие тесты которые влияют на лояльность приема почты другими серверами:

dig txt nixp.ru +short
"v=spf1 ip4:217.23.150.55 mx:mail.server.homestyle.ru -all"
dig txt _domainkey.nixp.ru +short (записи соответствующие запросу отсутствуют) dig txt mail._domainkey.nixp.ru +short (записи соответствующие запросу отсутствуют)


Следовательно, почтовик работает и по всей видимости не только для домена nixp.ru и логично предположить проблем с ним нет (иначе пользователи были б расстроены).
Планирую замутить всвой сервак и внедрить DKMI и SPF, но достаточно ли этого будет? Не хочется пускаться во все тяжкие с провайдером…

fhunter

Многие сервера, при получении почты и неработающей PTR записи на этот домен — автоматом считают сообщение спамом. По крайней мере считали пару лет назад.

xoy

Пару лет назад, я тоже это знал твердо. Но может с внедрением DKIM что-то изменилось?
Ладно… Будем попробывать на своем примере, ктому-же запрос на PTR уже отправлен, только не известно сколько ответа ждать. Может успею и без нее потестить…

iRoot

Если бы не было правил, то был бы хаос, это лирика, к тому что надо начинать построение емайл сервера с тщательного чтения документации а не методом тыка. Если хотите нормальный сервак, то следуйте rfc5321 и особенно тщательно к вашему вопросу: rfc1912 секция 2.1

Как админ емайл серверов могу вас уверить, что попытки отправки почты на легитимные серваки с IP без PTR будут отвергнуты даже без анализа почты. Кстати Гугл начиная с лета 2015 года отказывается принимать почту с IP без корректной реверс зоны даже с IPv6.

В уважающих себя организациях, которые не скупятся на дипломированных специалистов требования к емайл сервакам еще более жестче — если прямая и обратная зона IP не совпадает, то подключающийся IP идет лесом и после многократных попыток идет а бан фаервола.

DKIM и SPF и DMARC — это средство борьбы со спамом и обманом и никак не относится к правилам обмена почтой.
Согласно логам, ~80% спама идет именно с IP у которых нет прямой и/или обратной DNS записи что обычно справедливо для PBL зоны (то есть residential IP- зараженые домашние компы)

Кстати, диамические IP тоже идут лесом…
Может проканать на бесплатных почтовиках, т.к. им плевать на правила, лишь бы как можно больше людей не переживающих за то что их просто трэкают как лаборатоных мышей, но в корпоративах и интерпрайзах — не проканает.

P.S.
Кстати ваш анализ реверс зоны NIXP.RU не верен, ШЗ емайл сервака отвечающего за почту nixp.ru нормално резолвиться:

nslookup 212.158.169.249

Server: 213.186.33.99
Address: 213.186.33.99#53

Non-authoritative answer:
249.169.158.212.in-addr.arpa name = mail.server.homestyle.ru.

Authoritative answers can be found from:
169.158.212.in-addr.arpa nameserver = ns.caravan.ru.
169.158.212.in-addr.arpa nameserver = ns2.caravan.ru.
ns.caravan.ru internet address = 217.23.128.1
ns2.caravan.ru internet address = 217.23.146.1

Используйте nslookup ip.ip.ip.ip
или
dig -x ip.ip.ip.ip
для поиска PTR

xoy

Да, rfc вещь обязательная. Просто, уточняю, может что-то упустил. А с почтовиком из примера, немного подумав понял, что почта на нем нужна только для приема входящих сообщений. Отправка с него будет проблематична.