none
Reverse DNS 2 RRS feed

  • Pregunta

  • Hola,

    Hace tiempo lancé una pregunta también sobre rDNS y creía que ya estaba todo solucionado, pero me doy cuenta que no es así.
    El enlace es este:

    http://social.technet.microsoft.com/Forums/en-US/exchangees/thread/235af088-ff5d-4889-91dc-2092dd4830ed

    El problema es que algunos servidores de correo me rechazan el correo por la prueba de rDNS (550 Reverse DNS lookup failed for host 190.170.120.209) concretamente los servidores de correo de ya.com (mx.ya.com) y orangemail.es (inc.wanadoo.es).

    Las configuraciones que realicé quedaron así (son ejemplos):

    El correo de salida va por la IP 190.170.120.209
    El correo de entrada va por la IP 190.170.120.205

    Registro MX del dominio: mx.mi-dominio.com
    Registro A del servidor de correo: 190.170.120.205
    Registro PTR: 190.170.120.209 --> mx.mi-dominio.comCreo que me rechazan por que al llegar el email hacen las siguiente comprobaciones:

    Comprobación rDNS de la Ip que les llega: rDNS de 190.170.120.209 --> mx.mi-dominio.com
    Luego comprueban la Ip del registro anterior: DNS de mx.mi-dominio.com -->  190.170.120.205

    Al comprobar que no es la misma IP rechazan el email por spam.
    Estoy en lo cierto? Si es así que solución me recomendáis?

    Muchas gracias,
    Un saludo

    miércoles, 13 de marzo de 2013 13:47

Todas las respuestas

  • Hola,

    Crea un Round Robin de DNS, de modo que ambas IPs respondan al mismo nombre

    Registros MX del dominio: mx.mi-dominio.com

    Registro A del servidor de correo: 190.170.120.205

    Registro A del servidor de correo: 190.170.120.209

    Registro PTR: 190.170.120.209 --> mx.mi-dominio.com

    Registro PTR: 190.170.120.205 --> mx.mi-dominio.com


    Saludos,

    Marc
    Microsoft MVP - Directory Services
    MCSA/MCSE 2003
    MCSA: Windows Server 2008/2012
    MCITP: Enterprise Administrator, Enterprise Messaging Administrator, Lync Server Administrator 2010
    MCTS: SCOM 2007, Configuring; SCCM 2007, Configuring; Windows 7 and Office 2010, Deploying; Windows Server 2008 R2, Server Virtualization; Administering and Deploying System Center 2012 Configuration Manager; Administering Office 365
    MCC: Microsoft Community Contributor

    MAP: Microsoft Active Professional
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card

    jueves, 14 de marzo de 2013 16:03
    Moderador
  • Hola Sethweb!

    Creo importante que podamos estar de acuerdo en los procesos que se dan de verificación cuando realizás un envío a un servidor de correo. Te propongo hacer un repaso de estos procesos a nivel general, teniendo en cuenta que pueden existir diferencias de orden y otros puntos de verificación extras dependiendo el servidor con el que "charles".

    Cuando enviás un correo, el proceso de verificación standard que suele darse en los servidores remotos es el siguiente:

    • Se verifica que el SMTP Banner exista.
    • Se verifica cuál es la IP resultante del SMTP Banner.
    • Se verifica que la dirección IP resultante anterior coincida con el SMTP Banner.
    • Se verifica si existen registros del estandar SPF en tu DNS (registro TXT).
    • Si existe SPF, se verifica que la dirección IP desde la cual estás enviando el correo esté autorizada por el dominio para enviar correo.
    • Se verifica si la dirección IP / dominio figura en listas de SPAM (depende del proveedor y solución antivirus con que cuente el otro extremo).

    Con esto que te comento, es importante destacar que las verificaciones que suceden en el proceso de envío de correo electrónico no tienen que ver con los procesos de recepción de correo. Vos podrías recibir correo en Suecia (por ponerte un ejemplo) con direcciones IP de Suecia (por lo cual tendrías registros MX hacia Suecia) y enviar correo desde Argentina (por lo cual las direcciones de envío son de Argentina). Lo importante en el caso del envío es que el Banner con el que se anuncia tu servidor o servidores SMTP existan y coincidan con el reverso de la dirección IP resultante. Este reverso lo administra tu ISP.

    Habiéndote comentado esto, vayamos a tu caso en particular para el caso de envío de correo (que es lo que estamos analizando en este momento, no la recepción

    • Si tu correo de salida va por la IP 190.170.120.209, el reverso de dicha dirección IP debería coincidir con el SMTP Banner que tenés para el Send Connector.
    • Ello quiere decir que tenés que configurar el Banner del Send Connector desde las propiedades del Send Connector, como te muestro en la siguiente figura (es una configuración a nivel organización):

    • Vamos a hacer un ejemplo: tu SMTP Banner puede ser "smtp1.mi-dominio.com". Entonces el reverso de la dirección IP 190.170.120.209 debería ser "smtp1.mi-dominio.com".

    No importa cuantos servidores SMTP tengas, sino que las configurciones del SMTP Banner coincidan con el reverso. Además, por supuesto, que estén autorizadas estas IPs para enviar correo en nombre de tu dominio (verificar SPF).

    Esperamos tu feedback!!

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    jueves, 14 de marzo de 2013 19:09
  • Muchas gracias a los dos por las respuestas.

    - Marc Salvador:

    Era la idea que tenía. Sin embargo me surgió una duda que no pude resolver.

    Al crear el segundo registro A del servidor de correo: 190.170.120.209, cuando reciba correos el proceso no sería algo similar a esto:

    1º) Busca en el DNS registros MX para dominio @mi-dominio.com: El DNS le respondería que existe mx.mi-dominio.com
    2º) Busca en el DNS la IP de ese registro MX: El DNS antes respondería con el registro A asociado cuya IP es 190.170.120.205.
    Ahora si creo un segundo registro A que IP escogería? Si toma la 190.170.120.209 no podría conectar ya que por esa IP no recibo correo.

    ¿Crear un segundo registro A asociado al servidor de correo no me supondría errores a la hora de recibir correos?

    - Pablo Di Loreto:

    Te comento como tengo los procesos que comentas.
    El SMTP Banner está configurado como mx.mi-dominio.com en el Servidor virtual SMTP de un Exchange 2003. Sin embargo cuando pulso en comprobar DNS me indica que "El nombre de dominio no es válido" No sé por qué me indica eso.
    Por el momento no tengo creado el registro SPF, en cuanto salga del error con los PTR me pondré con ello.
    Para comprobar los PTR hago la siguiente consulta:

    nslookup
    set type=ptr
    190.170.120.209
    Me responde lo siguiente:
    Respuesta no autoritativa:
    209.120.170.190.in-addr.arpa    canonical name = 209.216.120.170.190.in-addr.arpa
    209.216.120.170.190.in-addr.arpa        name = mx.mi-dominio.com

    Según lo veo, creo que está correcto. 190.170.120.209 es "mx.mi-dominio.com" ¿Es correcto?

    viernes, 15 de marzo de 2013 8:07
  • Hola Sethweb!

    Cuando hacés el nslookup, ¿lo hacés consultando a tus DNS internos? Si bien aparentemente la respuesta es no autoritativa y parecería ser correcta, no estaría de más que compruebes la resolución desde un servidor externo como por ejemplo te muestro en la pantalla siguiente:


    Fijate que le consulto, por ejemplo, a un servidor externo DNS (8.8.8.8). Y fijate que consulto directamente por la IP que quiero que me de la resolución reversa (en este caso "mail-bn1lp138.outbound.protection.outlook.com").

    En relación a la resolución para tu problema y que no se rechace correo, verificá en el post original de tu problema (http://social.technet.microsoft.com/Forums/en-US/exchangees/thread/235af088-ff5d-4889-91dc-2092dd4830ed) que Michele Betelli [MVP] te comenta lo mismo que te comenté más arriba, los registros MX y PTR son cosas distintas:

    "el record MX y el PTR son dos cosas distintas y cada uno tiene su rol. El MX lo necesitas para recibir mientras el PTR es una best practice para que algunos servidores no te rechazen correos."

    Por otro lado, entiendo que nos comentás que revisaste los procesos pero tratemos de darle una vuelta de tuerca más, utilizando los datos que nos proporcionás haciendo troubleshooting y seteando un objetivo:

    • Tu objetivo no es modificar los registros MX. Estos están bien.
    • Tu objetivo es que cuando enviás un correo el nombre con el que se presenta tu servidor de correo (FQDN completo que ponés en el server virtual) salga por una dirección IP pública la cual cuando se consulta desde un servidor externo a dicha dirección IP pública el reverso coincida con el nombre FQDN que utilizaste para presentarte.
    • Esto lo podés comprobar de la siguiente manera: mandá un correo a una cuenta hotmail.com y analizá desde hotmail.com el encabezado del mismo. Allí te mostrará con que nombre se presenta (FQDN) y con que dirección IP pública. Estos datos te servirán para avanzar en el análisis del problema.

    En base al resultado de la prueba que te propongo, veríamos donde está el punto de falla y vemos como resolverlo! (allí se puede armar un plan de trabajo). ¿Te parece?

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    viernes, 15 de marzo de 2013 13:55
  • Hola,

    Me parece perfecto, muchas gracias por la ayuda.

    La consulta de nslookup está realizada sobre un servidor DNS externo, el de google, como el ejemplo que indicas, y el resultado es el que te comentaba en el mensaje anterior. Es decir:

    > server 8.8.8.8
    Servidor predeterminado:  google-public-dns-a.google.com
    Address:  8.8.8.8

    > 190.170.120.209
    Servidor:  google-public-dns-a.google.com
    Address:  8.8.8.8

    Nombre:  mx.mi-dominio.com
    Address:  190.170.120.209
    Aliases:  209.120.170.190.in-addr.arpa

    Te comento sobre los puntos que indicas:El FQDN e IP que aparece cuando envío correos es lo que te indicaba:
    mx.mi-dominio.com
    190.170.120.209

    Received: from mx.mi-dominio.com ([190.170.120.209]) by COL0-MC4-F33.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);

    Como información adicional te indico que en mi servidor DNS interno no tengo configurado ningún registro MX, no se si esto es correcto. Sólo está configurado en el servidor DNS externo, donde tengo alojado el dominio.

    Gracias de nuevo,
    Un saludo.

    martes, 19 de marzo de 2013 8:05
  • Hola Sethweb!

    Vayamos por partes:

    Nombre:  mx.mi-dominio.com
    Address:  190.170.120.209

    -> Excelente!

    Received: from mx.mi-dominio.com ([190.170.120.209]) by COL0-MC4-F33.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);

    -> Excelente!

    Lo que deberíamos verificar ahora es que exista un registro SPF para tu dominio. SPF (Sender Policy Framework) es un estandar que ayuda a evitar la falsificación de direcciones en el envío de correo electrónico. Sintéticamente, permite identificar que el origen (dirección IP) desde donde sale un correo electrónico en nombre de alguien (por ejemplo "microsoft.com") esté autorizado para enviar correo en nombre de ese "alguien" (en este ejemplo "microsoft.com").

    Hoy muchas empresas validan si un dominio tiene un SPF configurado, y si no es así rechazan su correo. Esta configuración se realiza en tu zona DNS pública a través de un registro TXT y en tu caso, por favor verificalo, el registro debería ser el siguiente:

    v=spf1 mx ip4:190.170.120.209 -all 

    Esto significa que:

    • Todos tus servidores que tengan registro MX podrán enviar correo en nombre de tu dominio.
    • La dirección IP 190.170.120.209 podrá enviar correo en nombre de tu dominio.
    • -all: todo correo que no salga de estos origenes debe ser considerado SPAM.

    Deberías verificar si existe alguna otra IP, aplicación o software que envíe correo y que esté autorizado para enviar correo en tu dominio. Deberías volcarlo en este registro SPF. Lo que te queda por hacer es contactar a tu proveedor de zona DNS pública para que te cree el registro correspondiente. Te paso info en detalle de como armar un SPF desde una herramienta de Microsoft:

    Una vez hecho esto, no debería haber motivos para que tu correo sea rechazado, siempre y cuando:

    Esperamos tu feedback!!

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    jueves, 21 de marzo de 2013 19:25
  • Hola,

      Aún no he creado un registro SPF ya que tenía entendido que era algo opcional y que aún no hay servidores de correo que rechacen email si no está configurado el SPF, sí cuando está mal configurado pero no si está ausente. Esto es cierto?

    Al realizar una prueba desde el servidor de correo me indica esto:
    telnet mx.ya.com 25
    550 Reverse DNS lookup failed for host 190.170.120.209.

    Por eso no tenía no tenía pensado crear el SPF hasta solucionar el problema del reverse DNS, pero me pondré con ello.

      Por otro lado comprobé con varias herramientas y ni el dominio ni la IP de salida están listadas en ninguna blacklist.

    Mientras se replica el registro SPF me gustaría que me resolvieras un par de dudas si es posible:

    1.- ¿Cómo son las comprobaciones DNS cuando recibes correo? ¿Es cierto lo que puse al principio? Es decir:
    a) Cuando alguien quiere enviar emails a mi dominio primero busca que registros MX tiene mi-dominio.com
    b) El DNS público contesta que hay uno: mx.mi-dominio.com (Registro MX)
    c) Pregunta al DNS público la IP asociada a ese registro MX
    d) El DNS público contesta que es: 190.170.120.205 (Registro A)
    e) Establece una conexión por el puerto 25 a esa IP

    2.- Me interesa entrar en esta parte que comentaste más arriba:

    • Se verifica que el SMTP Banner exista.
    • Se verifica cuál es la IP resultante del SMTP Banner.
    • Se verifica que la dirección IP resultante anterior coincida con el SMTP Banner.

    a) "Se verifica que el SMTP Banner exista" ¿Qué comprobación hace? ¿Qué consulta DNS específica hace?
    b) "Se verifica cuál es la IP resultante del SMTP Banner" ¿Qué comprobación hace? ¿Una consulta del registro A del SMTP Banner (mx.mi-dominio.com)? Si es esta segunda opción, en mi caso, responderá con la IP mx.mi-dominio.com --> 190.170.120.205 (pero esta IP no es la de salida)
    c) "Se verifica que la dirección IP resultante anterior coincida con el SMTP Banner" ¿Qué comprobación hace? ¿Una consulta del registro PTR de la IP que envía el correo? En mi caso, responderá con 190.170.120.209 --> mx.mi-dominio.com o bien ¿Una consulta del registro PTR de la IP que ha dado el paso b? En ese caso, responderá con 190.170.120.205 --> mx.mi-dominio.com

    Uff, espero no ponerme muy pesado, muchas gracias por todo.

    Un saludo


    • Editado Sethweb viernes, 22 de marzo de 2013 8:27
    viernes, 22 de marzo de 2013 8:27
  • Hola Sethweb!

    Perdón por la demora! Fueron días de mucho trabajo! :-). Paso a responderte tus consultas:

    1.- ¿Cómo son las comprobaciones DNS cuando recibes correo? ¿Es cierto lo que puse al principio? Es decir:
    a) Cuando alguien quiere enviar emails a mi dominio primero busca que registros MX tiene mi-dominio.com
    b) El DNS público contesta que hay uno: mx.mi-dominio.com (Registro MX)
    c) Pregunta al DNS público la IP asociada a ese registro MX
    d) El DNS público contesta que es: 190.170.120.205 (Registro A)
    e) Establece una conexión por el puerto 25 a esa IP

    Te comento:

    • En términos generales, el proceso es ese, si bien hay que considerar que se buscan los registros MX por prioridad (del número más chico al más grande, si uno falla sigue con el siguiente).
    • Hay también algunos servicios que validan que tu IP del registro MX no esté en una blacklist, y si es así te bloquean el envio de correo (si si, sucede! o está sucediendo cada vez más...).
    • La comunicación por el puerto 25 es la default, pero también se puede establecer una comunicación TLS (segura, con capa SSL) entre los servidores si ambos están habilitados para "charlar" con dicha tecnología.
    • Pero por default es el puerto 25 el que se utiliza (SMTP sin capa SSL).

    2.- Me interesa entrar en esta parte que comentaste más arriba:
    a) "Se verifica que el SMTP Banner exista" ¿Qué comprobación hace? ¿Qué consulta DNS específica hace?
    b) "Se verifica cuál es la IP resultante del SMTP Banner" ¿Qué comprobación hace? ¿Una consulta del registro A del SMTP Banner (mx.mi-dominio.com)? Si es esta segunda opción, en mi caso, responderá con la IP mx.mi-dominio.com --> 190.170.120.205 (pero esta IP no es la de salida)
    c) "Se verifica que la dirección IP resultante anterior coincida con el SMTP Banner" ¿Qué comprobación hace? ¿Una consulta del registro PTR de la IP que envía el correo? En mi caso, responderá con 190.170.120.209 --> mx.mi-dominio.com o bien ¿Una consulta del registro PTR de la IP que ha dado el paso b? En ese caso, responderá con 190.170.120.205 --> mx.mi-dominio.com

    Te comento:

    a) No es una consulta DNS, sino que es una presentación que el servidor de correo (Exchange por ejemplo) realiza ante el servidor que está intentando recibir el correo. El SMTP Banner en el caso del Exchange 2010 se configura desde las propiedades del Send Connector.

    b) Claro, se verifica a través de DNS cual es la IP resultante de dicho nombre de host y se verifica que dicho nombre de host coincida con la IP desde la cual estás enviando correo. Si esto no sucede deberías ajustarlo!

    c) Se realiza una consulta PTR hacia dicha IP Pública. El registro PTR lo administra tu proveedor de Internet, no tu DNS.

    Entiendo tu consulta sobre que el mismo nombre de host responde a dos IPs. Eso deberías verificarlo y corregirlo! Muy buena observación!

    No estás para nada pesado, disculpame la demora y estamos en contacto!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    martes, 9 de abril de 2013 3:34
  • Hola,

      Te comento las tareas realizadas:

    1º) He creado un registro A en el dns público: smtp.mi-dominio.com A 190.170.120.209
    2º) He cambiado el dns inverso de esa IP por: 190.170.120.209 PTR smtp.mi-dominio.com
    3º) He cambiado el SMTP banner por: smtp.mi-dominio.com
    4º) He creado un registro TXT para el SPF: v=spf1 mx ip4:190.170.120.209 ~all

    Tengo la impresión que todo está correcto, envío y recibo correos correctamente y veo que pasan el test SPF.
    Sólo quedarían dos cuestiones:

    1º) Cuando hago pruebas con los dominios de orange.es y ya.com me siguen rechazando el correo.
    2º) Cuando pulso "Comprobar DNS" dentro de "Servidor virtual SMTP predeterminado > Entrega > Avanzadas..." sale un mensaje con "El nombre de dominio no es válido."

    Gracias por la ayuda, me está sirviendo de mucho.
    Un saludo

    viernes, 12 de abril de 2013 7:20