关于反向 DNS 如何工作,这里有很多很好的答案,但为什么要使用它呢?
似乎所有反向 DNS 都证明发送电子邮件的人有权访问 IP 的 DNS 记录。对于住宅连接的最终用户,我发现外发邮件被 SMTP 服务器阻止,因为没有反向 DNS 记录。由于我并不是想欺骗其他域,而是使用该域作为 SMTP 服务器,这种检查如何增加安全性?似乎第一个检查应该是是否有大量邮件来自该 IP,然后再考虑拒绝。
答案1
它并没有增加安全性——它是一种传统的反垃圾邮件检查,而且基本上毫无意义。
有人可能会说,这表明系统管理员的能力有限,并且能够控制反向 DNS。从历史上看,这表明发件人更可能是消息传输代理 (MTA),而不是邮件用户代理 (MUA)。由于该过程需要反向查找,然后是反向查找的正向查找,并且由于反向 DNS 现在已经相当完整地规划出来了,因此它不再是合法性的良好预测因素 - 但请记住,SMTP 是一种非常古老的协议,在 SPF、DKIM 等出现之前,这些技巧曾经很有用。
这又回到1999- RFC2505 - 其中规定(第 1.4 段)
When we suggest use of FQDNs rather than IP addresses this is because
FQDNs are intuitively much easier to use. However, all such usage
depends heavily on DNS and .IN-ADDR.ARPA (PTR) information. Since it
is fairly easy to forge that, either by false cache information
injected in DNS servers or spammers running their own DNS with false
information in them, host and domain names must be used with care,
e.g. verified so that the translation address->name corresponds to
name->address. With Secure DNS, RFC2065, [7], things will improve,
since spoofing of .IN-ADDR.ARPA will no longer be possible.
答案2
反向 DNS 证明拥有IP 地址同意 DNS 记录应该指向它。
任何人都可以创建主机记录你好.mydomain.ca并指向他们想要的任何 IP 地址,伪造一个网站。假设我指向 amazon.com 的 IP。
现在可以肯定的是,现在还有许多其他检查,特别是如果您在原始网站上使用 SSL 证书。
但反向 DNS 会显示该网站的真正所有者/域名。可能有 100 个 DNS A 记录指向同一个 IP,但反向 DNS 只会显示正确的 A 记录。
编辑:由于我不同意 davidgo 的观点,但还无法对他的帖子发表评论。
David 表示反向 DNS 已经过时、不再需要等等。这完全是错误的。
如果您正在运行电子邮件服务器但未设置 PTR 记录,则 Gmail、Yahoo、Microsoft 可能会将来自您域的电子邮件标记为垃圾邮件。请参阅举个例子。
查看来自 IP 地址的流量的日志记录和监控系统将使用反向 DNS 将人类可读的名称放入 IP 地址。
网络和安全管理员的日常故障排除将依靠反向 DNS 将 IP 地址再次映射到主机名、应用程序名称等。
在我的工作中,它每天都在使用。如果 David 想假设世界已经抛弃了反向 DNS,他可以这么做。但他不应该在没有证据的情况下胡言乱语。
如果反向 DNS 毫无用处,那么就会有一个 RFC 概述反向 DNS 的消亡。没有这样的事。