DNS A i PTR

Post by Marcin Debowski
MX wskazuje na mail.jakis.adres.pl, a rekord A mail.jakis.adres.pl na
staryIP. Jak to ogarnąć i czy się w ogóle da? Pewnie zmianą PTR na
mail.jakis.adres.pl, ale może jest jakieś bardziej eleganckie (w
praktyce) rozwiązanie?

PTR ma wskazywać na adres IP i domenę gdzie znaduje się serwer. PTR
ustawia ten co ci daje adres IP. Ja mam kilka adresów IP i na jednym z
nich jest MX i tam mi ustawili PTR.

Natomiast rekordy MX to tam gdzie domena mailowa oraz klucz DKIM, DMARC
i SPF.

Jeden MX może obsługiwać wiele domen i wiele domen na różnych IP i na
tych samych.

Marcin Debowski

2022-06-10 22:29:08 UTC

PTR ma wskazywać na adres IP i domenę gdzie znaduje się serwer. PTR

Zgadza się, ale co zrobić jeśli inne serwisy (u mnie www) tej domeny nie
są pod tym samym IP?

Post by KIKI
ustawia ten co ci daje adres IP. Ja mam kilka adresów IP i na jednym z
nich jest MX i tam mi ustawili PTR.
Natomiast rekordy MX to tam gdzie domena mailowa oraz klucz DKIM, DMARC
i SPF.

I z nimi nie ma problemu. Problem jest jedynie z PTR. Musiabym zmienić
PTR na mail.jakis.adres.pl co wydaje mi się dziwnym rozwiązanie, bo
dlaczego mta ma de facto zawłaszczać PTR dla sibie?

Zastanawiam się jak inni mają to zorganizowane bo to pewnie żadna
egzotyka, że w obrębie domen i subdomen, mail i www są na różnych IP, z
różnymi poddomenami.

Może się tym PTR nikt nie przejmuje jak DKIM, DMARC i SPF są prawodłowe?

--
Marcin

Dżon

2022-06-13 16:44:31 UTC

PTR ma wskazywać na adres IP i domenę gdzie znaduje się serwer. PTR

Zgadza się, ale co zrobić jeśli inne serwisy (u mnie www) tej domeny nie
są pod tym samym IP?

IP dla serwerów www nie muszą posiadać PTR.

I z nimi nie ma problemu. Problem jest jedynie z PTR. Musiabym zmienić
PTR na mail.jakis.adres.pl co wydaje mi się dziwnym rozwiązanie, bo
dlaczego mta ma de facto zawłaszczać PTR dla sibie?
Zastanawiam się jak inni mają to zorganizowane bo to pewnie żadna
egzotyka, że w obrębie domen i subdomen, mail i www są na różnych IP, z
różnymi poddomenami.
Może się tym PTR nikt nie przejmuje jak DKIM, DMARC i SPF są prawodłowe?

Błąd. Jest odwrotnie. PTR dla MTA jest podstawą. Może nie będę opisywał
co i jak, ale w skrócie ujmę to tak, że ten mechanizm w prosty sposób
potrafi rozróżnić np. wysyłkę z MTA lub z wirusa na kompie jakiegoś
wsioka z kacapii. PTR wg mnie jest sprawdzany przez każdy MTA przed
rozpoczęciem odbioru poczty e-mail.
Natomiast teoretycznie nie ma przeszkód, żeby na jednym IP z PTR
pracował MTA ogarniający wiele domen. Przeszkoda wystąpi np. wtedy, gdy
ktoś niechcący zaspamuje z tego adresu i uwali wysyłkę dla wszystkich.
Dlatego na czas rozwiązania akurat takiej sytuacji dobrze jest mieć
kilka IP z PTR.

Marcin Debowski

2022-06-13 23:32:53 UTC

Post by DÅ¼on

I z nimi nie ma problemu. Problem jest jedynie z PTR. Musiabym zmienić
PTR na mail.jakis.adres.pl co wydaje mi się dziwnym rozwiązanie, bo
dlaczego mta ma de facto zawłaszczać PTR dla sibie?
Zastanawiam się jak inni mają to zorganizowane bo to pewnie żadna
egzotyka, że w obrębie domen i subdomen, mail i www są na różnych IP, z
różnymi poddomenami.
Może się tym PTR nikt nie przejmuje jak DKIM, DMARC i SPF są prawodłowe?

Czyli mówicie, że to jest normalna praktyka, że jak pocztę obsługuje
mail.jakis.adres.pl to revDNS powinien wskazywać na A/MX
mail.jakis.adres.pl, raczej niż jakis.adres.pl (o ile są różne). No
dobra. Po prostu jakoś to tak w moim odczuciu mało elegancko.

Przy okazji, używacie czegoś do walidacji mejli w stylu
check-***@verifier.port25.com (nb. widzę, że trafil do RBL), inne?

--
Marcin

KIKI

2022-06-14 09:34:10 UTC

Post by Marcin Debowski
Czyli mówicie, że to jest normalna praktyka, że jak pocztę obsługuje
mail.jakis.adres.pl to revDNS powinien wskazywać na A/MX
mail.jakis.adres.pl, raczej niż jakis.adres.pl (o ile są różne). No
dobra. Po prostu jakoś to tak w moim odczuciu mało elegancko.
Przy okazji, używacie czegoś do walidacji mejli w stylu

Adres IP i domena serwera MX muszą się rozwiązywać w obie strony. Adres
IP bez rekordu PTR nie nadaje się do bycia serwerem MTA. Wszyscy takie
maile odbiją.
Ja używam check-***@verifier.port25.com i ma być 3 x pass. Jak nie jest
to źle.
Są jeszcze inne narzędzia.

Podaj tę domenę, nie czaj się jak jest to legalna domena, a nie jakaś
spamerska, to ci zaraz powiem co ją boli.

Mam swój serwer od kilku lat i kolegom też postawiłem i działają świetnie.

Marcin Debowski

2022-06-14 23:40:51 UTC

Adres IP i domena serwera MX muszą się rozwiązywać w obie strony. Adres
IP bez rekordu PTR nie nadaje się do bycia serwerem MTA. Wszyscy takie
maile odbiją.
to źle.
Są jeszcze inne narzędzia.
Podaj tę domenę, nie czaj się jak jest to legalna domena, a nie jakaś
spamerska, to ci zaraz powiem co ją boli.
Mam swój serwer od kilku lat i kolegom też postawiłem i działają świetnie.

Nic nielegalnego, ale mam zawsze opory przed podawaniem takich
indormacji w technicznych dyskusjach, a tu nie jest to jeszcze moja
domena, więc tym bardziej tego nie zrobię. Co innego jakbym Ci mógł
przesłac na mejla, ale wygląda, że masz fejkowatego.

Po zmianie PTR mam w tej chwili wszystkie passy na
check-***@verifier.port25.com i 10/10 na https://www.mail-tester.com/.

--
Marcin

KIKI

2022-06-16 13:11:48 UTC

Post by Marcin Debowski
Po zmianie PTR mam w tej chwili wszystkie passy na

A co mówi https://dmarcian.com/ po wpisaniu samej domeny ?

Powinieneś mieć trzy zielone w tym DMARC na reject, w SPF jeden IP i
-all (bez falki) i działający DKIM 2048 bit.

Inaczej będziesz mailerem drugiej kategorii i zawsze filtry dadzą jakieś
punkty za brak tych trzech rekordów. To jest zabezpieczenie przed
podszyciem się pod Ciebie i o to w tym chodzi. Bez SPF to w ogóle maile
nie dojdą w dużym procencie.

Marcin Debowski

2022-06-17 00:47:34 UTC

Post by Marcin Debowski
Po zmianie PTR mam w tej chwili wszystkie passy na

A co mówi https://dmarcian.com/ po wpisaniu samej domeny ?
Powinieneś mieć trzy zielone w tym DMARC na reject, w SPF jeden IP i
-all (bez falki) i działający DKIM 2048 bit.
Inaczej będziesz mailerem drugiej kategorii i zawsze filtry dadzą jakieś
punkty za brak tych trzech rekordów. To jest zabezpieczenie przed
podszyciem się pod Ciebie i o to w tym chodzi. Bez SPF to w ogóle maile
nie dojdą w dużym procencie.

Wielkie dzięki, ustawiłem odpowiednio policy i rua i mam już wszystko
zielone. Nb. dlaczego "quarantine" nie jest tam uważane za
wystarczające?

--
Marcin

KIKI

2022-06-17 08:01:08 UTC

Post by Marcin Debowski
Wielkie dzięki, ustawiłem odpowiednio policy i rua i mam już wszystko
zielone. Nb. dlaczego "quarantine" nie jest tam uważane za
wystarczające?

Historycznie quarantine w DMARC i "~All" czyli soft fail w SPF miało
działać do testów serwera MTA. Prosiłeś tym o łagodniejsze traktowanie,
bo testujesz system i coś nie wychodzi i żeby mimo to puścili ci maila
do odbiorcy.

Niestety z biegiem lat zaczęto używać tego mechanizmu do przebijania się
przez filtry i każda próba ominięcia np. IP na czarnej liście z rekordu
SPF poprzez dodanie falki jest jeszcze bardziej niemile widziana.

To Tobie zależy na dostarczalności maili więc znajdź czysty IP, w dobrym
sąsiedztwie, gdzie cała klasa czy operator nie są listowani jako cały
ASN na uceprotect h1, h2, h3 ani na spamgruperze. Nigdzie ma nie być
otoczenia tego adresu. Jak już go masz i ustawisz rekordy to zawsze
będziesz lądował w inboxie.

Jest jeszcze kolejna bariera, to treść maili. Unikaj w korespondencji
słów oferta, covid, dezynfekcja i podobnych. Nie pisz w HTML-u, nie
wysyłaj linków do domen na czarnej liście. To wszystko wyłapie Spamassassin.

Często tak jest, że spamer ma wzorowo skonfigurowany serwer, na czystym,
wygrzanym IP, domenę, która odleżała swoje od dnia rejestracji ale w
takim mailu wyśle linka do strony spamera z produktami już wcześniej
spamującymi. Za samą treść maila Spamassassin wsadzi ci maila do folderu
spam. Zrobisz tak kilka razy i Gmail już sobie to zapamięta.

KIKI

2022-06-13 17:03:45 UTC