Назад | Перейти на главную страницу

Проверка SMTP DNS с несколькими почтовыми серверами за несколькими общедоступными IP-адресами

Я знаю, что когда почтовый сервер получает электронное письмо, он выполняет «трехстороннюю проверку DNS» (я думаю, это также иногда называют FCrDNS) как простой тест против спамеров. Как я понимаю, это работает следующим образом:

Начиная с IP-адреса источника входящей почты (взятого из фактического IP-пакета):

  1. Обратный поиск PTR для исходного IP-адреса - это приводит к доменному имени
  2. Прямой поиск доменного имени из # 1 - это приводит к IP-адресу
  3. SourceIP входящей почты должен соответствовать IP-адресу, указанному в # 2.

Иногда проводится дополнительная проверка SMTP Helo Banner, который имеет формат доменного имени. Выполните прямой поиск доменного имени, в результате чего будет получен IP-адрес. Затем выполните обратный поиск PTR IP-адреса, и он должен вернуться к тому же доменному имени в указанных выше записях SMTP DNS.

Но что, если у вас есть 30 почтовых серверов, все из которых имеют 3 разных IP-адреса. Как настроить SMTP Banner, A Records и PTR записи, чтобы они прошли все тесты, указанные выше? Предположим, что 30 почтовых серверов не могут узнать, какой IP-адрес они получают извне. Теоретически каждое новое TCP-соединение может поступать с другого общедоступного IP-адреса.

Я предполагаю, что вам нужно будет настроить это:

mailer.eddie.com     IN     A     1.1.1.1
mailer.eddie.com     IN     A     1.1.1.2
mailer.eddie.com     IN     A     1.1.1.3

3.1.1.1.in-addr.arpa.   IN     PTR     mailer.eddie.com
2.1.1.1.in-addr.arpa.   IN     PTR     mailer.eddie.com
1.1.1.1.in-addr.arpa.   IN     PTR     mailer.eddie.com

SMTP Banner for each server:  mailer.eddie.com

Но вызовет ли это какие-либо другие проблемы с 30 почтовыми серверами, использующими один и тот же баннер SMTP? И как это повлияет на Прямой поиск (шаг 2 из 3 выше), если поиск домена возвращает 3 разных IP-адреса?

Подводя итог, это действительно вопрос, с которым нужно поговорить с тремя основными арендаторами:
(1) Подтвердите работу трехсторонней проверки DNS / SMTP.
(2) Подтвердите функциональность решения для нескольких серверов за одним общедоступным IP-адресом.
(3) Подтвердите и проработайте функциональность нескольких серверов за несколькими нестатическими общедоступными IP-адресами.

Ваш сценарий NAT «Предположим, что у 30 почтовых серверов нет возможности узнать, какой IP-адрес они получают снаружи» не работает в контексте надежной доставки SMTP.


Все очень просто. Обратная запись DNS может надежно сопоставить только одно имя хоста. Т.е. 2.1.168.192.in-addr.arpa. будет отображаться только на smtp1.example.com.

То же самое и с A-рекордом: smtp1.example.com. должен указывать только на один IP-адрес 192.168.1.2 в противном случае вы получите циклический DNS, при котором один поиск покажет IP-адрес, отличный от второго.

(Получатель получает входящее соединение от 192.168.1.3, идентифицированного как smtp1.example.com, и выполняет поиск в DNS, который возвращает A-запись 192.168.1.2 -> Mismatch и, следовательно, дополнительную оценку за спам.)

Отсюда простое правило: почтовый сервер должен использовать только один IP-адрес в качестве основного.