[OT] Impostazione record PTR

Tutte le risposte

• 

  

  2

  Registrati per votare

  Ciao Giaconet,
  non penso tu sia OT, è un topic comunque legato ad exchange.
  Risposta: SI, puoi avere quanti record PTR vuoi che puntano allo stesso indirizzo IP.
  Se così non fosse, solo Telecom Italia avrebbe finito gli indirizzi ip mondiali :-)

  Vado un pò OT anche io a questo punto, perchè parlare di PTR e mail server negli ultimi anni secondo me ha poco senso.
  Mi spiego meglio. I record PTR venivano utilizzati per fare il reverse lookup sull'mx record e quindi decidere se uno è o meno uno spammers.

  Prendiamo la mia azienda, caso reale, gli mx record puntano ai mail server di google (londra), quindi le mail entrano da li e vengono rigirate sul cloud microsoft. Quando mando mail, le mail escono con degli indirizzi di mail server che stanno a dublino. Quindi le mail entrano a londra ed escono a dublino, sono uno spammers?
  Sono uno spammers? La risposta è chiaramente no.

  Negli ultimi anni è stato inventato un record dns molto più serio rispetto al classico PTR per questo scopo. Il record si chiama SPF, ti consiglio di crearlo se non l'hai ancora fatto:

  http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/

  Saluti
  .m

  Massimiliano Luciani

  • Proposto come risposta Anca Popa venerdì 15 aprile 2011 12:11
  • Contrassegnato come risposta Anca Popa mercoledì 20 aprile 2011 07:17

  venerdì 15 aprile 2011 11:46

  Risposta

  |

  Citazione
• 

  

  2

  Registrati per votare

  Dominio giaconet_new.it
  (MX) -> mail.giaconet_new.it
  (A) -> mail.giaconet_new.it = 1.1.1.1 (IP PUBBLICO DEL MIO SERVER
  SMTP)
  
  Dominio giaconet.it
  (MX) -> mail.giaconet.it
  (A) -> mail.giaconet.it = 1.1.1.1 (STESSO IP OVVIAMENTE)
  
  Inoltre per il vecchio dominio feci aggiungere un record A e un record
  PTR (PTR) -> 1.1.1.1 = mail.giaconet.it
  
  Ora la domanda è: posso chiedere un record PTR diverso per lo stesso
  IP? Ovvero posso inserire voci multiple nel reverse DNS? E' corretto
  farlo?

  Si, puoi farlo ma NON ha alcun senso :) vedi, non ha senso "rinominare"
  i servers MX per i vari domini solo perchè "fa più figo" basta impostare
  in modo corretto i servers e poi fare SEMPRE riferimento agli stessi :)
  nel tuo caso, basterebbe che il nuovo dominio fosse impostato così

  $ORIGIN giaconet_new.it

  mail IN A     192.0.2.10
  @    IN MX 10 mail.giaconet_new.it.
  @    IN TXT   "v=spf1 mx -all"

  a questo punto, impostando il vecchio dominio in questo modo

  $ORIGIN giaconet.it

  @    IN MX 10 mail.giaconet_new.it.
  @    IN TXT   "v=spf1 include:giaconet_new.it"
  mail IN CNAME mail.giaconet_new.it.

  e lasciando un SOLO record PTR (quello per "giaconet_new") avrai
  risolto tutti i problemi; fatto ciò, se un domani dovessi pubblicare un
  nuovo dominio di nome "pincopalla.xyz" che dovrà utilizzare lo stesso
  server di posta, ti basterà inserire nel DNS qualcosa del tipo

  @    IN MX 10 mail.pincopalla.xyz
  @    IN TXT   "v=spf1 include:giaconet_new.it"
  mail IN CNAME mail.giaconet_new.it.

  per usare sempre lo stesso mailserver SENZA bisogno di fare
  acrobazie assurde con il DNS

  ciao

  • Contrassegnato come risposta Anca Popa mercoledì 20 aprile 2011 07:17

  venerdì 15 aprile 2011 14:36

  Risposta

  |

  Citazione
• 

  

  2

  Registrati per votare

  Vado un pò OT anche io a questo punto, perchè parlare di PTR e mail
  server negli ultimi anni secondo me ha poco senso. Mi spiego meglio. I
  record PTR venivano utilizzati per fare il reverse lookup sull'mx
  record e quindi decidere se uno è o meno uno spammers.

  Non solo, Massi, anche per capire se un dato host che si presenta come
  (es.) "mx1.hotmail.com" sia veramente "chi dice di essere" o invece si
  tratti di un host thailandese attestato su di un IP dinamico :) alla
  fine della
  fiera il check sul PTR ha ancora senso, altro che

  Prendiamo la mia azienda, caso reale, gli mx record puntano ai mail
  server di google (londra), quindi le mail entrano da li e vengono

  Quello è un discorso completamente diverso, vedi, per le RFC i records
  MX specificano quali siano i "Mail eXchangers" per un dato dominio ossia
  quegli hosts che sono preposti a RICEVERE la posta per quel dominio
  e che potrebbero anche inviarla; ma non c'è nulla (o meglio non
  c'era!)
  che permetta ad un dato dominio di dichiarare esplicitamente quali siano
  gli hosts autorizzati ad INVIARE la posta per il dominio stesso... ed
  SPF
  è nato proprio per ovviare a tale lacuna

  Poi ok, SPF ha dei problemi (noti, ad esempio è necessario usare SRS
  nel caso in cui si debbano impostare dei forwards) e per tale motivo è
  nato
  DKIM (che permette di risolvere il problema dello spoofing... ed altri..
  ma
  che a sua volta ha altri problemi... vabbè) in qualsiasi caso, non credo
  sia
  possibile dichiarare che ad oggi i records PTR non hanno senso e dire
  che basta avere un record "SPF" (TXT)

  Ah... ed ovviamente Ciao Massi !! Ben risentito e spero che sia tutto ok
  !!
  E, se non avremo modo di risentirci ... BUONA PASQUA (in anticipo) !

  venerdì 15 aprile 2011 14:53

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Scusa Obi, mi devo essere spiegato male. Io non gestisco in casa i miei record DNS pubblici. I miei DNS interni sono raggiungibili solo dai miei client interni. Quindi gli eventuali "comandi" DNS sono in gestione al provider (Fastweb nel mio caso).

  Però è interessante il fatto di porre uguale al vecchio record MX quello del nuovo dominio. Se ho capito bene tu dici che se il vecchio dominio aveva

  MX -> mail.giaconet.it

  Nulla mi vieta di dare lo stesso identico MX per il nuovo dominio. Effettivamente.

  A questo punto però "sale" il problema del reverse affrontato da Massimiliano nel post successivo. Se davvero fare il reverse per controllare il "dominio inviante" oggi ha perso di significato, la tua soluzione è rapida, semplice e indolore.

  Nel caso invece in cui il reverse ha ancora senso nel mio caso ovviamente avrei un problema di punteggio spam.

  Ma magari scrivo meglio dopo.

  cmq grazie

  giaconet

  mercoledì 20 aprile 2011 10:22

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Allora, se il reverse ha ancora senso suppongo che dovrei fare in questo modo.

  dominio vecchio

  giaconet.it

  MX -> mail.giaconet.it

  PTR -> 1.1.1.1 -> mail.giaconet.it

   

  dominio nuovo

  giaconet_new.it

  MX -> mail.giaconet.it

  PTR -> 1.1.1.1 -> ????

   

  Quando un sistema antispam fa il reverse sul mio IP (1.1.1.1) che tenta di consegnargli un messaggio da parte di info@giaconet_new.it troverà che quell'IP è legato al dominio giaconet.it e non giaconet_new.it, giusto? E quindi il mio score di SPAM salirà? giusto?

  O tutto questo si risolve con opportuni record TXT (questi SPF che leggevo)?

  grazie

  giaconet

  mercoledì 20 aprile 2011 10:27

  Risposta

  |

  Citazione
• 

  

  1

  Registrati per votare

  Allora, se il reverse ha ancora senso suppongo che
  dovrei fare in questo modo.

  Aspè... il discorso è semplice, devi far puntare il record
  MX del vecchio dominio al mailserver del NUOVO dominio
  per cui, supponendo che il vecchio dominio sia "giaconet.old"
  e che il nuovo dominio sia "giaconet.new" e supponendo che
  il mailserver del nuovo dominio sia mail.giaconet.new attestato
  su indirizzo IP 192.0.2.25, quello che dovrai fare è

  in "giaconet.old"

  @        IN MX  10    mail.giaconet.new
  @        IN TXT        "v=spf1 include:giaconet.new"

  in "giaconet.new"

  @        IN MX 10    mail.giaconet.new
  @        IN TXT        "v=spf1 mx -all"
  mail    IN A            192.0.2.25

  fatto ciò dovrai far creare al tuo ISP/Carrier/hoster il record
  PTR relativo all'IP del tuo mailserver "mail.giaconet.new"
  ossia qualcosa del tipo

  25.2.0.192.in-addr.arpa.    IN PTR    mail.giaconet.new

  in modo che la reverse-resolution relativa all'indirizzo IP
  di mail.giaconet.new ritorni il nome host corretto; con tale
  configurazione il vecchio mailserver non ti servirà più nè
  tantomeno di servirà un PTR o dei riferimenti allo stesso

  Quando un sistema antispam fa il reverse sul mio IP
  (1.1.1.1) che tenta di consegnargli un messaggio da
  parte di info@giaconet_new.it troverà che quell'IP è
  legato al dominio giaconet.it e non giaconet_new.it,
  giusto?

  No, sbagliato :) se rileggi quanto ho scritto sopra credo
  sia chiaro il perchè, vedi, il server mittente a quel punto
  sarà mail.giaconet.new ed il reverse relativo all'indirizzo
  IP di tale server sarà di nuovo mail.giaconet.new; il
  record SPF serve soltanto a specificare quali hosts sono
  autorizzati all'INVIO di email da parte del dominio e, nel
  caso di cui sopra, ho semplicemente specificato che, per
  il dominio giaconet.old va controllata (include è per farla
  breve un "redirect") la policy SPF pubblicata dal dominio
  giaconet.new e quest'ultimo ha un record SPF che autorizza
  solo i servers elencati come MX a spedire email per conto
  del dominio

  se la cosa non fosse chiara... sono qui

  mercoledì 20 aprile 2011 14:39

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Scusa Obi, mi devo essere spiegato male. Io non gestisco in casa
  i miei record DNS pubblici. I miei DNS interni sono raggiungibili solo
  dai miei client interni. Quindi gli eventuali "comandi" DNS sono in
  gestione al provider (Fastweb nel mio caso).

  Beh... qualcuno dovrà pur gestire i DNS del tuo dominio e la reverse
  zone relativa allo stesso che so... register e fastweb ... o chiunque
  tu abbia usato per registrare il dominio e per la tua connettività :)

  In tal caso dovrai semplicemente richiedere a questi ultimi le modifiche
  DNS di cui abbiamo già parlato

  MX -> mail.giaconet.it
  
  Nulla mi vieta di dare lo stesso identico MX per il nuovo dominio.
  Effettivamente.

  Ho come la vaga impressione che tu abbia capito alla rovescia, ti
  prego di leggere il mio altro messaggio che, spero, ti chiarirà le
  idee sia per quanto riguarda i records MX sia relativamente al PTR

  ciao

  mercoledì 20 aprile 2011 15:03

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Ok, mi è chiaro, ma invertendo old e new non cambia nulla, giusto?

  Ovviamente ha senso che il record riporti mail.giaconet.new (perché primo o poi l'old andrà in disuso), ma giusto per capire che il discorso non è legato a chi è il nuovo e chi è il vecchio.

  Grazie

  giaconet

  mercoledì 20 aprile 2011 15:28

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  > Ok, mi è chiaro, ma invertendo old e new non cambia nulla, giusto?

  Beh... dipende da quale dominio dovrà essere il "master" :) cercherò
  di chiarire ulteriormente; supponiamo di avere quattro domini, ossia:

  example.com
  example.aaa
  example.bbb
  example.ccc

  e supponiamo anche che il nostro "master" domain (per nostra
  decisione) sia "example.com", a questo punto, inizieremo con il
  configurare la zona DNS di example.com come segue

  mail    IN A        192.0.2.25
  @       IN A        192.0.2.25
  @       IN MX 10    mail.example.com.
  @       IN TXT      "v=spf1 mx -all"
  pop     IN CNAME    mail.example.com.
  smtp    IN CNAME    mail.example.com.

  quanto sopra specifica che il dominio example.com ha un "Mail
  eXchanger" (MX) di nome "mail.example.com" e che tale host è
  attestato ad IP 192.0.2.25; inoltre i due "alias" (CNAME) che puntano
  entrambi al mailserver, potranno servire allo scopo di semplificare
  la configurazione dei clients di posta; fatto ciò, contatteremo chi ci
  offre la connettività e richiederemo la creazione di un record PTR
  per tale IP, record che conterrà quanto segue

  25.2.0.192.in-addr.arpa.    IN PTR  mail.example.com.

  in tal modo un reverse lookup su 192.0.2.25 ritornerà, come da
  copione, il nome del nostro mailserver, ossia "mail.example.com"

  A questo punto, una volta controllato che tutto funzioni come dovuto
  potremo procedere con la configurazione dei domini "figli"; questi
  non avranno un proprio mailserver ma, semplicemente, useranno
  lo stesso mailserver di "example.com"; a tale scopo le zone DNS
  relative a tali domini conterranno qualcosa del tipo

  @       IN MX 10    mail.example.com.
  @       IN TXT      "v=spf1 include:example.com"
  pop     IN CNAME    mail.example.com.
  smtp    IN CNAME    mail.example.com.

  in pratica, il dominio (es.) example.aaa con una configurazione quale
  quella sopra utilizzerà mail.example.com per ricevere la posta e, data
  la presenza del record SPF, utilizzerà i servers specificati nel record
  SPF di example.com (ossia sempre mail.example.com) per inviarla
  inoltre gli hosts pop.example.aaa e smtp.example.aaa saranno
  semplicemente degli "alias" per mail.example.com; la stessa cosa
  vale per example.bbb ed example.ccc quindi, con un solo mailserver
  ed un singolo indirizzo IP (e record PTR) starai a questo punto
  gestendo il traffico email di quattro domini; quanto al decidere
  quale dominio sia il "master" beh, questo sta a te; nel tuo caso,
  visto che il dominio "old" verrà dismesso, credo possa essere
  opportuno usare il dominio "new" come "master" onde evitare
  di dover cambiare di nuovo la configurazione quando deciderai
  di dismettere il vecchio dominio ... e solo una questione di logica
  e praticità ovviamente :)

  mercoledì 20 aprile 2011 15:52

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Scusate se riprendo questo post un po' vecchio.

  Ho fatto modificare i record e effettivamente tutto funziona bene.

  Mi è però venuto un dubbio, leggendomi le specifiche per i record SPF.

  La clausola mx all'interno del record SPF la devo far mettere o no? E la devo far mettere in entrambi i domini?

   

  Adesso ho:

  giaconet.new

  MX
  giaconet.new     MX preference = 10, mail exchanger = mail.giaconet.new

  TXT
  v=spf1 -all

  ----

  giaconet.old

  MX
  giaconet.old      MX preference = 10, mail exchanger = mail.giaconet.new

  TXT
  v=spf1 include: giaconet.new

  -----

  ma visto che io invio e ricevo dallo stesso punto, non dovrei includere la clausola mx almeno in giaconet.new? Non dovrei avere

  giaconet.new

  TXT
  v=spf1 mx -all

  ???

   

  Grazie

  giaconet

  giovedì 5 maggio 2011 10:06

  Risposta

  |

  Citazione
• 

  

  1

  Registrati per votare

  ma visto che io invio e ricevo dallo stesso punto, non dovrei includere la clausola mx almeno in giaconet.new? Non dovrei avere

  giaconet.new

  TXT
  v=spf1 mx -all

  
  

   

  Si, esatto, devi includere "mx" nel record SPF del dominio "new" altrimenti non autorizzerai nessuno dei due domini alla spedizione di email ... vedi, il dominio "old" ha solo una include, quindi usa le "regole" specificate nel record SPF del dominio "new" ora, se in tale record (quello del "new") non specifichi quali hosts sono autorizzati alla spedizione... la vedo dura :) nel tuo caso credo che basti usare "mx" dato che se non ho capito male, l'host (IP) usato per la ricezione e l'invio è sempre lo stesso

   

  giovedì 5 maggio 2011 10:51

  Risposta

  |

  Citazione