none
[OT] Impostazione record PTR RRS feed

  • Domanda

  • Ciao a tutti.

    La domanda è un po' OT e me ne scuso, ma so che qui ci sono i migliori :-D e quindi approfitto!!

    E' OT perché non riguarda strettamente Exchange, ma la parte "esterna" di una struttura Exchange.

    Allora, ho un dominio con una struttura Exchange. All'interno siamo tutti @giaconet.local, all'esterno siamo @giaconet.it

    Dobbiamo modificare il dominio esterno, senza perdere (per ora) quello vecchio. (Seguirà post per dubbi su questa configurazione)

    Mi tocca fare la comunicazione al mantainer per l'aggiunta del record MX relativo al nuovo dominio, quindi farò

    Dominio giaconet_new.it
    (MX) -> mail.giaconet_new.it
    (A) -> mail.giaconet_new.it = 1.1.1.1 (IP PUBBLICO DEL MIO SERVER SMTP)

    Ovviamente anche il record MX del vecchio dominio punta allo stesso IP

    Dominio giaconet.it
    (MX) -> mail.giaconet.it
    (A) -> mail.giaconet.it = 1.1.1.1 (STESSO IP OVVIAMENTE)

    Inoltre per il vecchio dominio feci aggiungere un record A e un record PTR
    (PTR) -> 1.1.1.1 = mail.giaconet.it

    Ora la domanda è: posso chiedere un record PTR diverso per lo stesso IP? Ovvero posso inserire voci multiple nel reverse DNS? E' corretto farlo?

    Grazie

    giaconet

    giovedì 14 aprile 2011 13:59

Risposte

  • Ciao Giaconet,
    non penso tu sia OT, è un topic comunque legato ad exchange.
    Risposta: SI, puoi avere quanti record PTR vuoi che puntano allo stesso indirizzo IP.
    Se così non fosse, solo Telecom Italia avrebbe finito gli indirizzi ip mondiali :-)

    Vado un pò OT anche io a questo punto, perchè parlare di PTR e mail server negli ultimi anni secondo me ha poco senso.
    Mi spiego meglio. I record PTR venivano utilizzati per fare il reverse lookup sull'mx record e quindi decidere se uno è o meno uno spammers.

    Prendiamo la mia azienda, caso reale, gli mx record puntano ai mail server di google (londra), quindi le mail entrano da li e vengono rigirate sul cloud microsoft. Quando mando mail, le mail escono con degli indirizzi di mail server che stanno a dublino. Quindi le mail entrano a londra ed escono a dublino, sono uno spammers?
    Sono uno spammers? La risposta è chiaramente no.

    Negli ultimi anni è stato inventato un record dns molto più serio rispetto al classico PTR per questo scopo. Il record si chiama SPF, ti consiglio di crearlo se non l'hai ancora fatto:

    http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/

    Saluti
    .m

    Massimiliano Luciani

    • Proposto come risposta Anca Popa venerdì 15 aprile 2011 12:11
    • Contrassegnato come risposta Anca Popa mercoledì 20 aprile 2011 07:17
    venerdì 15 aprile 2011 11:46
  • Dominio giaconet_new.it
    (MX) -> mail.giaconet_new.it
    (A) -> mail.giaconet_new.it = 1.1.1.1 (IP PUBBLICO DEL MIO SERVER
    SMTP)

    Dominio giaconet.it
    (MX) -> mail.giaconet.it
    (A) -> mail.giaconet.it = 1.1.1.1 (STESSO IP OVVIAMENTE)

    Inoltre per il vecchio dominio feci aggiungere un record A e un record
    PTR (PTR) -> 1.1.1.1 = mail.giaconet.it

    Ora la domanda è: posso chiedere un record PTR diverso per lo stesso
    IP? Ovvero posso inserire voci multiple nel reverse DNS? E' corretto
    farlo?

    Si, puoi farlo ma NON ha alcun senso :) vedi, non ha senso "rinominare"
    i servers MX per i vari domini solo perchè "fa più figo" basta impostare
    in modo corretto i servers e poi fare SEMPRE riferimento agli stessi :)
    nel tuo caso, basterebbe che il nuovo dominio fosse impostato così

    $ORIGIN giaconet_new.it

    mail IN A     192.0.2.10
    @    IN MX 10 mail.giaconet_new.it.
    @    IN TXT   "v=spf1 mx -all"

    a questo punto, impostando il vecchio dominio in questo modo

    $ORIGIN giaconet.it

    @    IN MX 10 mail.giaconet_new.it.
    @    IN TXT   "v=spf1 include:giaconet_new.it"
    mail IN CNAME mail.giaconet_new.it.

    e lasciando un SOLO record PTR (quello per "giaconet_new") avrai
    risolto tutti i problemi; fatto ciò, se un domani dovessi pubblicare un
    nuovo dominio di nome "pincopalla.xyz" che dovrà utilizzare lo stesso
    server di posta, ti basterà inserire nel DNS qualcosa del tipo

    @    IN MX 10 mail.pincopalla.xyz
    @    IN TXT   "v=spf1 include:giaconet_new.it"
    mail IN CNAME mail.giaconet_new.it.

    per usare sempre lo stesso mailserver SENZA bisogno di fare
    acrobazie assurde con il DNS

    ciao

    • Contrassegnato come risposta Anca Popa mercoledì 20 aprile 2011 07:17
    venerdì 15 aprile 2011 14:36

Tutte le risposte

  • Ciao Giaconet,
    non penso tu sia OT, è un topic comunque legato ad exchange.
    Risposta: SI, puoi avere quanti record PTR vuoi che puntano allo stesso indirizzo IP.
    Se così non fosse, solo Telecom Italia avrebbe finito gli indirizzi ip mondiali :-)

    Vado un pò OT anche io a questo punto, perchè parlare di PTR e mail server negli ultimi anni secondo me ha poco senso.
    Mi spiego meglio. I record PTR venivano utilizzati per fare il reverse lookup sull'mx record e quindi decidere se uno è o meno uno spammers.

    Prendiamo la mia azienda, caso reale, gli mx record puntano ai mail server di google (londra), quindi le mail entrano da li e vengono rigirate sul cloud microsoft. Quando mando mail, le mail escono con degli indirizzi di mail server che stanno a dublino. Quindi le mail entrano a londra ed escono a dublino, sono uno spammers?
    Sono uno spammers? La risposta è chiaramente no.

    Negli ultimi anni è stato inventato un record dns molto più serio rispetto al classico PTR per questo scopo. Il record si chiama SPF, ti consiglio di crearlo se non l'hai ancora fatto:

    http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/

    Saluti
    .m

    Massimiliano Luciani

    • Proposto come risposta Anca Popa venerdì 15 aprile 2011 12:11
    • Contrassegnato come risposta Anca Popa mercoledì 20 aprile 2011 07:17
    venerdì 15 aprile 2011 11:46
  • Dominio giaconet_new.it
    (MX) -> mail.giaconet_new.it
    (A) -> mail.giaconet_new.it = 1.1.1.1 (IP PUBBLICO DEL MIO SERVER
    SMTP)

    Dominio giaconet.it
    (MX) -> mail.giaconet.it
    (A) -> mail.giaconet.it = 1.1.1.1 (STESSO IP OVVIAMENTE)

    Inoltre per il vecchio dominio feci aggiungere un record A e un record
    PTR (PTR) -> 1.1.1.1 = mail.giaconet.it

    Ora la domanda è: posso chiedere un record PTR diverso per lo stesso
    IP? Ovvero posso inserire voci multiple nel reverse DNS? E' corretto
    farlo?

    Si, puoi farlo ma NON ha alcun senso :) vedi, non ha senso "rinominare"
    i servers MX per i vari domini solo perchè "fa più figo" basta impostare
    in modo corretto i servers e poi fare SEMPRE riferimento agli stessi :)
    nel tuo caso, basterebbe che il nuovo dominio fosse impostato così

    $ORIGIN giaconet_new.it

    mail IN A     192.0.2.10
    @    IN MX 10 mail.giaconet_new.it.
    @    IN TXT   "v=spf1 mx -all"

    a questo punto, impostando il vecchio dominio in questo modo

    $ORIGIN giaconet.it

    @    IN MX 10 mail.giaconet_new.it.
    @    IN TXT   "v=spf1 include:giaconet_new.it"
    mail IN CNAME mail.giaconet_new.it.

    e lasciando un SOLO record PTR (quello per "giaconet_new") avrai
    risolto tutti i problemi; fatto ciò, se un domani dovessi pubblicare un
    nuovo dominio di nome "pincopalla.xyz" che dovrà utilizzare lo stesso
    server di posta, ti basterà inserire nel DNS qualcosa del tipo

    @    IN MX 10 mail.pincopalla.xyz
    @    IN TXT   "v=spf1 include:giaconet_new.it"
    mail IN CNAME mail.giaconet_new.it.

    per usare sempre lo stesso mailserver SENZA bisogno di fare
    acrobazie assurde con il DNS

    ciao

    • Contrassegnato come risposta Anca Popa mercoledì 20 aprile 2011 07:17
    venerdì 15 aprile 2011 14:36
  • Vado un pò OT anche io a questo punto, perchè parlare di PTR e mail
    server negli ultimi anni secondo me ha poco senso. Mi spiego meglio. I
    record PTR venivano utilizzati per fare il reverse lookup sull'mx
    record e quindi decidere se uno è o meno uno spammers.

    Non solo, Massi, anche per capire se un dato host che si presenta come
    (es.) "mx1.hotmail.com" sia veramente "chi dice di essere" o invece si
    tratti di un host thailandese attestato su di un IP dinamico :) alla
    fine della
    fiera il check sul PTR ha ancora senso, altro che

    Prendiamo la mia azienda, caso reale, gli mx record puntano ai mail
    server di google (londra), quindi le mail entrano da li e vengono

    Quello è un discorso completamente diverso, vedi, per le RFC i records
    MX specificano quali siano i "Mail eXchangers" per un dato dominio ossia
    quegli hosts che sono preposti a RICEVERE la posta per quel dominio
    e che potrebbero anche inviarla; ma non c'è nulla (o meglio non
    c'era!)
    che permetta ad un dato dominio di dichiarare esplicitamente quali siano
    gli hosts autorizzati ad INVIARE la posta per il dominio stesso... ed
    SPF
    è nato proprio per ovviare a tale lacuna

    Poi ok, SPF ha dei problemi (noti, ad esempio è necessario usare SRS
    nel caso in cui si debbano impostare dei forwards) e per tale motivo è
    nato
    DKIM (che permette di risolvere il problema dello spoofing... ed altri..
    ma
    che a sua volta ha altri problemi... vabbè) in qualsiasi caso, non credo
    sia
    possibile dichiarare che ad oggi i records PTR non hanno senso e dire
    che basta avere un record "SPF" (TXT)

    Ah... ed ovviamente Ciao Massi !! Ben risentito e spero che sia tutto ok
    !!
    E, se non avremo modo di risentirci ... BUONA PASQUA (in anticipo) !

    venerdì 15 aprile 2011 14:53
  • Scusa Obi, mi devo essere spiegato male. Io non gestisco in casa i miei record DNS pubblici. I miei DNS interni sono raggiungibili solo dai miei client interni. Quindi gli eventuali "comandi" DNS sono in gestione al provider (Fastweb nel mio caso).

    Però è interessante il fatto di porre uguale al vecchio record MX quello del nuovo dominio. Se ho capito bene tu dici che se il vecchio dominio aveva

    MX -> mail.giaconet.it

    Nulla mi vieta di dare lo stesso identico MX per il nuovo dominio. Effettivamente.

    A questo punto però "sale" il problema del reverse affrontato da Massimiliano nel post successivo. Se davvero fare il reverse per controllare il "dominio inviante" oggi ha perso di significato, la tua soluzione è rapida, semplice e indolore.

    Nel caso invece in cui il reverse ha ancora senso nel mio caso ovviamente avrei un problema di punteggio spam.

    Ma magari scrivo meglio dopo.

    cmq grazie

    giaconet

    mercoledì 20 aprile 2011 10:22
  • Allora, se il reverse ha ancora senso suppongo che dovrei fare in questo modo.

    dominio vecchio

    giaconet.it

    MX -> mail.giaconet.it

    PTR -> 1.1.1.1 -> mail.giaconet.it

     

    dominio nuovo

    giaconet_new.it

    MX -> mail.giaconet.it

    PTR -> 1.1.1.1 -> ????

     

    Quando un sistema antispam fa il reverse sul mio IP (1.1.1.1) che tenta di consegnargli un messaggio da parte di info@giaconet_new.it troverà che quell'IP è legato al dominio giaconet.it e non giaconet_new.it, giusto? E quindi il mio score di SPAM salirà? giusto?

    O tutto questo si risolve con opportuni record TXT (questi SPF che leggevo)?

    grazie

    giaconet

    mercoledì 20 aprile 2011 10:27
  • Allora, se il reverse ha ancora senso suppongo che
    dovrei fare in questo modo.

    Aspè... il discorso è semplice, devi far puntare il record
    MX del vecchio dominio al mailserver del NUOVO dominio
    per cui, supponendo che il vecchio dominio sia "giaconet.old"
    e che il nuovo dominio sia "giaconet.new" e supponendo che
    il mailserver del nuovo dominio sia mail.giaconet.new attestato
    su indirizzo IP 192.0.2.25, quello che dovrai fare è

    in "giaconet.old"

    @        IN MX  10    mail.giaconet.new
    @        IN TXT        "v=spf1 include:giaconet.new"

    in "giaconet.new"

    @        IN MX 10    mail.giaconet.new
    @        IN TXT        "v=spf1 mx -all"
    mail    IN A            192.0.2.25

    fatto ciò dovrai far creare al tuo ISP/Carrier/hoster il record
    PTR relativo all'IP del tuo mailserver "mail.giaconet.new"
    ossia qualcosa del tipo

    25.2.0.192.in-addr.arpa.    IN PTR    mail.giaconet.new

    in modo che la reverse-resolution relativa all'indirizzo IP
    di mail.giaconet.new ritorni il nome host corretto; con tale
    configurazione il vecchio mailserver non ti servirà più nè
    tantomeno di servirà un PTR o dei riferimenti allo stesso

    Quando un sistema antispam fa il reverse sul mio IP
    (1.1.1.1) che tenta di consegnargli un messaggio da
    parte di info@giaconet_new.it troverà che quell'IP è
    legato al dominio giaconet.it e non giaconet_new.it,
    giusto?

    No, sbagliato :) se rileggi quanto ho scritto sopra credo
    sia chiaro il perchè, vedi, il server mittente a quel punto
    sarà mail.giaconet.new ed il reverse relativo all'indirizzo
    IP di tale server sarà di nuovo mail.giaconet.new; il
    record SPF serve soltanto a specificare quali hosts sono
    autorizzati all'INVIO di email da parte del dominio e, nel
    caso di cui sopra, ho semplicemente specificato che, per
    il dominio giaconet.old va controllata (include è per farla
    breve un "redirect") la policy SPF pubblicata dal dominio
    giaconet.new e quest'ultimo ha un record SPF che autorizza
    solo i servers elencati come MX a spedire email per conto
    del dominio

    se la cosa non fosse chiara... sono qui

    mercoledì 20 aprile 2011 14:39
  • Scusa Obi, mi devo essere spiegato male. Io non gestisco in casa
    i miei record DNS pubblici. I miei DNS interni sono raggiungibili solo
    dai miei client interni. Quindi gli eventuali "comandi" DNS sono in
    gestione al provider (Fastweb nel mio caso).

    Beh... qualcuno dovrà pur gestire i DNS del tuo dominio e la reverse
    zone relativa allo stesso che so... register e fastweb ... o chiunque
    tu abbia usato per registrare il dominio e per la tua connettività :)

    In tal caso dovrai semplicemente richiedere a questi ultimi le modifiche
    DNS di cui abbiamo già parlato

    MX -> mail.giaconet.it

    Nulla mi vieta di dare lo stesso identico MX per il nuovo dominio.
    Effettivamente.

    Ho come la vaga impressione che tu abbia capito alla rovescia, ti
    prego di leggere il mio altro messaggio che, spero, ti chiarirà le
    idee sia per quanto riguarda i records MX sia relativamente al PTR

    ciao

    mercoledì 20 aprile 2011 15:03
  • Ok, mi è chiaro, ma invertendo old e new non cambia nulla, giusto?

    Ovviamente ha senso che il record riporti mail.giaconet.new (perché primo o poi l'old andrà in disuso), ma giusto per capire che il discorso non è legato a chi è il nuovo e chi è il vecchio.

    Grazie

    giaconet

    mercoledì 20 aprile 2011 15:28
  • > Ok, mi è chiaro, ma invertendo old e new non cambia nulla, giusto?

    Beh... dipende da quale dominio dovrà essere il "master" :) cercherò
    di chiarire ulteriormente; supponiamo di avere quattro domini, ossia:

    example.com
    example.aaa
    example.bbb
    example.ccc

    e supponiamo anche che il nostro "master" domain (per nostra
    decisione) sia "example.com", a questo punto, inizieremo con il
    configurare la zona DNS di example.com come segue

    mail    IN A        192.0.2.25
    @       IN A        192.0.2.25
    @       IN MX 10    mail.example.com.
    @       IN TXT      "v=spf1 mx -all"
    pop     IN CNAME    mail.example.com.
    smtp    IN CNAME    mail.example.com.

    quanto sopra specifica che il dominio example.com ha un "Mail
    eXchanger" (MX) di nome "mail.example.com" e che tale host è
    attestato ad IP 192.0.2.25; inoltre i due "alias" (CNAME) che puntano
    entrambi al mailserver, potranno servire allo scopo di semplificare
    la configurazione dei clients di posta; fatto ciò, contatteremo chi ci
    offre la connettività e richiederemo la creazione di un record PTR
    per tale IP, record che conterrà quanto segue

    25.2.0.192.in-addr.arpa.    IN PTR  mail.example.com.

    in tal modo un reverse lookup su 192.0.2.25 ritornerà, come da
    copione, il nome del nostro mailserver, ossia "mail.example.com"

    A questo punto, una volta controllato che tutto funzioni come dovuto
    potremo procedere con la configurazione dei domini "figli"; questi
    non avranno un proprio mailserver ma, semplicemente, useranno
    lo stesso mailserver di "example.com"; a tale scopo le zone DNS
    relative a tali domini conterranno qualcosa del tipo

    @       IN MX 10    mail.example.com.
    @       IN TXT      "v=spf1 include:example.com"
    pop     IN CNAME    mail.example.com.
    smtp    IN CNAME    mail.example.com.

    in pratica, il dominio (es.) example.aaa con una configurazione quale
    quella sopra utilizzerà mail.example.com per ricevere la posta e, data
    la presenza del record SPF, utilizzerà i servers specificati nel record
    SPF di example.com (ossia sempre mail.example.com) per inviarla
    inoltre gli hosts pop.example.aaa e smtp.example.aaa saranno
    semplicemente degli "alias" per mail.example.com; la stessa cosa
    vale per example.bbb ed example.ccc quindi, con un solo mailserver
    ed un singolo indirizzo IP (e record PTR) starai a questo punto
    gestendo il traffico email di quattro domini; quanto al decidere
    quale dominio sia il "master" beh, questo sta a te; nel tuo caso,
    visto che il dominio "old" verrà dismesso, credo possa essere
    opportuno usare il dominio "new" come "master" onde evitare
    di dover cambiare di nuovo la configurazione quando deciderai
    di dismettere il vecchio dominio ... e solo una questione di logica
    e praticità ovviamente :)

    mercoledì 20 aprile 2011 15:52
  • Scusate se riprendo questo post un po' vecchio.

    Ho fatto modificare i record e effettivamente tutto funziona bene.

    Mi è però venuto un dubbio, leggendomi le specifiche per i record SPF.

    La clausola mx all'interno del record SPF la devo far mettere o no? E la devo far mettere in entrambi i domini?

     

    Adesso ho:

    giaconet.new

    MX
    giaconet.new     MX preference = 10, mail exchanger = mail.giaconet.new

    TXT
    v=spf1 -all

    ----

    giaconet.old

    MX
    giaconet.old      MX preference = 10, mail exchanger = mail.giaconet.new

    TXT
    v=spf1 include: giaconet.new

    -----

    ma visto che io invio e ricevo dallo stesso punto, non dovrei includere la clausola mx almeno in giaconet.new? Non dovrei avere

    giaconet.new

    TXT
    v=spf1 mx -all

    ???

     

    Grazie

    giaconet

    giovedì 5 maggio 2011 10:06
  • ma visto che io invio e ricevo dallo stesso punto, non dovrei includere la clausola mx almeno in giaconet.new? Non dovrei avere

    giaconet.new

    TXT
    v=spf1 mx -all


     

    Si, esatto, devi includere "mx" nel record SPF del dominio "new" altrimenti non autorizzerai nessuno dei due domini alla spedizione di email ... vedi, il dominio "old" ha solo una include, quindi usa le "regole" specificate nel record SPF del dominio "new" ora, se in tale record (quello del "new") non specifichi quali hosts sono autorizzati alla spedizione... la vedo dura :) nel tuo caso credo che basti usare "mx" dato che se non ho capito male, l'host (IP) usato per la ricezione e l'invio è sempre lo stesso

     

    giovedì 5 maggio 2011 10:51