[DNS] Grundsätzliche Frage zu rDNS.

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
MrScoville
Beiträge: 93
Registriert: 09.09.2016 17:20:59
Lizenz eigener Beiträge: MIT Lizenz

[DNS] Grundsätzliche Frage zu rDNS.

Beitrag von MrScoville » 04.12.2017 19:42:23

Hallo Fachkräfte,

nachdem ich nun einen freundlicheren Provider gefunden habe, der nicht in meinen Dateien rumbastelt, hätte ich mal eine grundsätzliche Frage zu reverse records, wenn ich meine eigenen DNS Server betreiben will. Mir gehören die Netze nicht, also habe ich dann wohl nur mit noch viel mehr Freundlichkeit die Möglichkeiten, auf die reverse records Einfluss zu nehmen, oder? Schließlich verwaltet der Provider die reverse Zones. Ich sehe das problematisch etwa beim Mail-Versand, wenn die reverse Auflösung nicht korrekt ist, aber auch für "pingelige" Plug-ins in Browsern und in Sachen Zertifikate.

Dabei ist es ja egal, ob ich meine Root-Server so benenne, wie ich es normalerweise tue (mit Nato-Alphabet-Buchstaben, also "alpha...", "bravo..." und dann www und mail als CNAMEs setze. 2 IPs pro Root-Server nehme ich eh immer, dass ich genau 1 IP für ssh und sftp habe, die ich dann entsprechend mit iptables isoliere, und die 2. IP soll dann für www, mail, ns... zuständig sein. Muss ich da wirklich pro Dienst eine eigene IP besorgen, würde ja mindestens 4, eher mehr IPs pro Domain bedeuten.

Ich hoffe, jemand versteht mein Problem^^

LG
Carsten
Man mag gar nicht glauben, wie sehr ein 4096-bittiger RSA-Schlüssel einem den Tag vermiesen kann...^^

Der so genannte "Teufel im Detail" hat einen Namen: Tight coupling :evil:

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: [DNS] Grundsätzliche Frage zu rDNS.

Beitrag von heisenberg » 04.12.2017 19:52:23

Ja. rDNS stellt Dir Dein Provider zur Verfügung. Das sollte jetzt auch nicht so das Problem sein. Manche haben dafür ein Interface, andere machen das manuell auf Zuruf.

Ich selbst trenne E-Mail und Web von der IP her. Das ist aber eher deswegen, weil ich evtl. die Dienste auch mal auf verschiedene Server auftrennen können möchte. Das ist bei einer IP da eher schlecht machbar.
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

MrScoville
Beiträge: 93
Registriert: 09.09.2016 17:20:59
Lizenz eigener Beiträge: MIT Lizenz

Re: [DNS] Grundsätzliche Frage zu rDNS.

Beitrag von MrScoville » 04.12.2017 20:44:59

Danke für deine Antwort! Hast du da nie Probleme mit Spam-Filtern, wenn der reverse lookup nicht klappt? Außer natürlich dein mail-server heißt als A / AAAA und nicht als CNAME so wie im MX record.
Man mag gar nicht glauben, wie sehr ein 4096-bittiger RSA-Schlüssel einem den Tag vermiesen kann...^^

Der so genannte "Teufel im Detail" hat einen Namen: Tight coupling :evil:

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: [DNS] Grundsätzliche Frage zu rDNS.

Beitrag von heisenberg » 04.12.2017 23:03:55

Hast du da nie Probleme mit Spam-Filtern, wenn der reverse lookup nicht klappt?
Ein korrekt eingerichter rDNS ist der Anfang jeder Mailserverkonfiguration. Das weiss doch heute schon jeder Spammer. :)

--> zwingend erforderlich.
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

MrScoville
Beiträge: 93
Registriert: 09.09.2016 17:20:59
Lizenz eigener Beiträge: MIT Lizenz

Re: [DNS] Grundsätzliche Frage zu rDNS.

Beitrag von MrScoville » 05.12.2017 00:45:45

Joa, eben. Wenn A den hugo auf 1.2.3.4 auflöst, mail ein CNAME vom hugo ist, und der PTR ordentlich auf den hugo zeigt statt auf den mail, hast du den Salat. Jedenfalls war es zu "guten, alten sendmail-Zeiten" so, und ich finde sendmail immer noch gut ;)
Man mag gar nicht glauben, wie sehr ein 4096-bittiger RSA-Schlüssel einem den Tag vermiesen kann...^^

Der so genannte "Teufel im Detail" hat einen Namen: Tight coupling :evil:

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: [DNS] Grundsätzliche Frage zu rDNS.

Beitrag von bluestar » 06.12.2017 00:10:33

Sofern mein Wissen über MX-Records noch aktuell ist, darfst du in einem MX-Record keinen Alias (CNAME) verwenden... Ein Blick in die RFCs sollte Klarheit bringen.

Damit dürfte sich die PTR-Problematik was Mail angeht einfach, wenn auch unschön lösen.

MrScoville
Beiträge: 93
Registriert: 09.09.2016 17:20:59
Lizenz eigener Beiträge: MIT Lizenz

Re: [DNS] Grundsätzliche Frage zu rDNS.

Beitrag von MrScoville » 28.12.2017 16:48:27

Genau, Bluestar. Kurz und knapp heißt das also, eine Mail-Domain, die mit sendmail betrieben wird, braucht eine eigene IP, und die Rückwärtsauflösung (PTR) muss auf die Domain bzw. den Mailserver verweisen. Ist ja auch richtig so, aber mach das heutzutage mal mit kommerziellen Hostern so, ohne dass du gleich zwei andere benutzt, die in anderen Netzen liegen, um dort eigene DNS-Server zu betreiben.
Man mag gar nicht glauben, wie sehr ein 4096-bittiger RSA-Schlüssel einem den Tag vermiesen kann...^^

Der so genannte "Teufel im Detail" hat einen Namen: Tight coupling :evil:

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: [DNS] Grundsätzliche Frage zu rDNS.

Beitrag von bluestar » 28.12.2017 20:06:59

Du verwechselst gerade ein paar Dinge.

Fangen wir mal mit einem sauberen Mailserver an, dieser bekommt den Namen hugo.domain.de mit IP und rDNS-Eintrag und für Sendmail noch ein SSL-Zertifikat für hugo.domain.de.

Jede deiner Domains bekommt eine IP, rDNS ist hier relativ egal. Alle deine Domains bekommen den MX Eintrag mit hugo.domain.de

Und schon ist dein Setup sauber. Falls noch IMAP hinzukommt, hier ist der rDNS Eintrag auch egal, bsp. imap.domain.de als CNAME auf hugo.domain.de stellt kein Problem dar... Jedoch müsstest du dann darauf achten, das dein SSL-Zertifikat für den IMAP-Server auch auf den Namen „imap.domain.de“ ausgestellt ist.

hec_tech
Beiträge: 1093
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: [DNS] Grundsätzliche Frage zu rDNS.

Beitrag von hec_tech » 28.12.2017 20:39:38

Du willst nicht wirklich heutzutage noch Sendmail einsetzen?

Ich habe ein paar dieser Sendmail Ungeheuern in der Firma. Da macht ein Mailserver so viel Probleme wie alle anderen Postfix zusammen.

Sendmail existiert zwar noch aber einen Maintainer gibt es dafür nicht mehr:
This package has been orphaned. This means that it does not have a real maintainer at the moment. Please consider adopting this package if you are interested in it. Please see bug number Debian Bugreport740070 for more information.

Benutzeravatar
ThorstenS
Beiträge: 2875
Registriert: 24.04.2004 15:33:31

Re: [DNS] Grundsätzliche Frage zu rDNS.

Beitrag von ThorstenS » 29.12.2017 20:47:37

oh Gott, oh Gott, oh Gott! Da kommen Erinnerungen hoch 8O
Meine sendmail.m4 hab ich damals gehütet wie meinen Augapfel. Ich bin wirklich froh, dass die Zeiten vorbei sind :lol:

Ich habe auf dem Hauptmailsystem mit dem Namen mx.$ORGANISATION.TLD den A-record korrekt gesetzt. Alle domain laufen dort auf.

Antworten