DNS-perusteita: PTR-tietueet, ja miksi ne ovat tärkeitä

Fri Jul 2 15:56:02 2004 Basic DNS: PTR records and why you care

Julkaissut Tony Lawrence
Hakuavaimet: DNS, PTR record mail

PTR-tietue mahdollistaa "käänteiset" haut. Niiden avulla siis voidaan ratkaista tietokoneen domain-nimi, jos IP-osoite tiedetään. Voit millä tahansa Unix- tai Linux-komentorivillä tehdä käänteisen haun, komennolla "dig -x":

bash-2.05a$ dig -x 64.226.42.29

; <<>> DiG 9.2.1 <<>> -x 64.226.42.29
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38101
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;29.42.226.64.in-addr.arpa.     IN      PTR

;; ANSWER SECTION:
29.42.226.64.in-addr.arpa. 1762 IN      PTR     pcunix.com.

;; Query time: 49 msec
;; SERVER: 10.1.36.238#53(10.1.36.238)
;; WHEN: Fri Jul  2 11:03:29 2004
;; MSG SIZE  rcvd: 67

Kaikilla IP-osoitteilla ei kuitenkaan ole PTR-tietuetta. Jos keräät satunnaisnäytteen IP-osoitteista joista saapuvan liikenteen palomuurisi on estänyt haitallisena, huomaat todennäköisesti että useimmilta puuttuu PTR-tietue - dig -x ei siis löydä tietoja. Roskapostin lähettäjien kohdalla käy yleensä samoin, tai sitten niiden PTR-tietueet eivät täsmää; komento dig -x palauttaa tuloksen, joka ei kuitenkaan johda samaan IP-osoitteeseen josta aloitit.

Juuri siksi PTR-tietueista on tullut tärkeitä. Aluksi ne palvelivat lähinnä mukavuutta, ja antoivat siistin ja täydellisen vaikutelman. Edelleenkään PTR-tietueet eivät ole pakollisia, eikä niiden siis edellytetä olevan täydellisiäkään. Roskapostittajien harjoittaman väärinkäytön myötä internetissä on kuitenkin muodostunut eräitä tätä aihetta koskevia toimintatapoja. Esimerkiksi sähköpostin lähettäminen joillekin vastaanottajille saattaa epäonnistua jos sinulla ei ole PTR-osoitinta, tai jos osoitin on "geneerinen":

dig -x 65.96.9.234

; <<>> DiG 9.2.1 <<>> -x 65.96.9.234
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55565
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;234.9.96.65.in-addr.arpa.      IN      PTR

;; ANSWER SECTION:
234.9.96.65.in-addr.arpa. 3570  IN      PTR     h00c0f06bacf1.ne.client2.attbi.com.

;; Query time: 2 msec
;; SERVER: 10.1.36.238#53(10.1.36.238)
;; WHEN: Fri Jul  2 11:12:45 2004
;; MSG SIZE  rcvd: 90
 

Hylkäys johtuu tyypillisesti siitä, ettei "geneerisellä" osoittimella ole MX-tietuetta:

 dig h00c0f06bacf1.ne.client2.attbi.com MX

; <<>> DiG 9.2.1 <<>> h00c0f06bacf1.ne.client2.attbi.com MX
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32826
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;h00c0f06bacf1.ne.client2.attbi.com. IN MX

;; Query time: 292 msec
;; SERVER: 10.1.36.238#53(10.1.36.238)
;; WHEN: Fri Jul  2 11:14:01 2004
;; MSG SIZE  rcvd: 52
 

Kuinka sitten hankit PTR-tietueen? Ajattelet ehkä että asia olisi saman tahon vastuulla joka rekisteröi domain-nimesi, tai tarjoaa sille DNS-palvelut. PTR-tietueen järjestäminen ei kuitenkaan kuulu heille, vaan kyseisen IP-osoitelohkon "omistavalle" internet-palveluntarjoajalle. Tämä toki saattaa tuottaa sinulle myös DNS-palvelua, mutta välttämättä niin ei ole. Katso RFC 2317, sekä myös "Avoid RFC 2317 style delegation of 'in-addr.arpa.'".

Jos sinulla ei ole PTR-tietuetta, etkä myöskään voi sellaista saada (esimerkiksi koska IP-osoitteesi on dynaaminen), sinun tulee lähettää sähköpostisi sellaisen palvelimen kautta, jolla on PTR-tietue. Saapuvan postisi palvelin ei sen sijaan tarvitse PTR-osoitinta, vaan sille riittää dynaaminen IP-osoite, kunhan voit päivittää MX-tietueesi aina IP-osoitteen muuttuessa. Toki postin lähettäminen saattaa onnistua PTR-tietueettomaltakin palvelimelta, mutta eräät vastaanottajat saattavat hylätä postisi joko koska sinulla ei ole PTR-tietuetta, tai koska PTR-osoittimesi ei vastaa MX-tietuettasi. (Lisäksi eräät internet-palveluntarjoajat sallivat lähtevän SMTP-liikenteen vain omalle palvelimelleen.)

Useimmiten käyttänetkin internet-palveluntarjoajasi SMTP-palvelinta "välityspalvelimena" - näin voivat tehdä sekä sisäinen postipalvelimesi, että yksittäiset työasemasi (asetuksissa "lähtevä SMTP-palvelin"). Kunhan lähtevää SMTP-liikennettäsi ei ole estetty, voit kuitenkin käyttää mitä tahansa palvelinta joka "pitää sinusta" eli ottaa välittääkseen IP-osoitteestasi tarjottavan postin. Palvelin todennäköisesti olisi omasi, tai ainakin se olisi jonkun tuntemasi henkilön hallinnassa - nykyisin on harvinaista että palvelin välittäisi kenen tahansa postia edelleen internetiin.

Katso myös "What are reverse (PTR) records? Why do I need them?".

Swedish Translation by Thor Kottelin available.

Finnish Translation by Thor Kottelin available.

Control Spam and Viruses

Run your own mailserver

Jump to Comments

Many of the products and books I review are things I purchased for my own use. Some were given to me specifically for the purpose of reviewing them. I resell or can earn commissions from the sale of some of these items. Links within these pages may be affiliate links that pay me for referring you to them. That's mostly insignificant amounts of money; whenever it is not I have made my relationship plain. I also may own stock in companies mentioned here. If you have any question, please do feel free to contact me.

Specific links that take you to pages that allow you to purchase the item I reviewed are very likely to pay me a commission. Many of the books I review were given to me by the publishers specifically for the purpose of writing a review. These gifts and referral fees do not affect my opinions; I often give bad reviews anyway.

We use Google third-party advertising companies to serve ads when you visit our website. These companies may use information (not including your name, address, email address, or telephone number) about your visits to this and other websites in order to provide advertisements about goods and services of interest to you. If you would like more information about this practice and to know your choices about not having this information used by these companies, click here.