DNS Reverso

O DNS reverso é um recurso que permite que outros servidores verifiquem a autenticidade do seu servidor, checando se o endereço IP atual bate com o endereço IP informado pelo servidor DNS. Isso evita que alguém utilize um domínio que não lhe pertence para enviar spam, por exemplo.

Qualquer um pode enviar e-mails colocando no campo do remetente o servidor do seu domínio, mas um servidor configurado para checar o DNS reverso vai descobrir a farsa e classificar os e-mails forjados como spam.

O problema é que os mesmos servidores vão recusar seus e-mails, ou classificá-los como spam caso você não configure seu servidor DNS corretamente para responder às checagens de DNS reverso. Chegamos a um ponto em que o problema do spam é tão severo, que quase todos os servidores importantes fazem esta checagem, fazendo com que, sem a configuração, literalmente metade dos seus e-mails não sejam entregues.

O primeiro passo é checar os arquivos “/etc/hostname” e “/etc/hosts” (no servidor), que devem conter o nome da máquina e o domínio registrado.

O arquivo “/etc/hostname” deve conter apenas o nome da máquina, como em:

servidor

No Fedora e em algumas outras distribuições, o nome da máquina vai dentro do arquivo “/etc/sysconfig/network”.

No arquivo “/etc/hosts” deve conter duas entradas, uma para a interface de loopback, o 127.0.0.1, e outra para o IP de internet do seu servidor, que está vinculado ao domínio, como em:

127.0.0.1 localhost.localdomain localhost
64.234.23.12 servidor.kurumin.com.br servidor

A partir daí, falta adicionar a zona reversa no bind complementando a configuração do domínio, que já fizemos. Começamos adicionando a entrada no “/etc/bind/named.conf” ou “/etc/bind/named.conf.local”:

zone “23.234.64.in-addr.arpa” {
type master;
file “/etc/bind/db.kurumin.rev”;
};

O endereço IP do servidor é 64.234.23.12. Se retiramos o último octeto e escrevemos o restante do endereço de trás pra frente, temos justamente o “23.234.64” que usamos no registro reverso. A terceira linha indica o arquivo onde a configuração do domínio reverso será salva. Neste caso indiquei o arquivo “db.kurumin.rev”, mas você pode usar qualquer nome de arquivo.

Este arquivo “db.kurumin.rev” é bem similar ao arquivo com a configuração do domínio, que acabamos de configurar. As três linhas iniciais são idênticas (incluindo o número de sincronismo), mas ao invés de usar o “A” para relacionar o domínio e cada subdomínio ao IP correspondente, usamos a diretiva “PTR” para relacionar o endereço IP de cada servidor ao domínio (é justamente por isso que chamamos de DNS reverso ;).

No primeiro arquivo, usamos apenas os três primeiros octetos do endereço (a parte referente à rede), removendo o octeto final (o endereço do servidor dentro da rede). Agora, usamos apenas o número omitido da primeira vez.

O IP do servidor é “64.234.23.12”, removendo os três primeiros octetos ficamos apenas com o “12”. Temos também o endereço do DNS secundário, que é 64.234.23.13, de onde usamos apenas o “13”. Relacionando os dois a seus respectivos domínios, o arquivo fica:

@ IN SOA servidor.kurumin.com.br. hostmaster.kurumin.com.br. (
2006040645 3H 15M 1W 1D )
NS servidor.kurumin.com.br.
12 PTR kurumin.com.br.
13 PTR ns1.kurumin.com.br.

Caso você não esteja usando um DNS secundário, é só omitir a linha referente a ele, como em:

@ IN SOA servidor.kurumin.com.br. hostmaster.kurumin.com.br. (
2006040645 3H 15M 1W 1D )
NS servidor.kurumin.com.br.
12 PTR kurumin.com.br.

Depois de terminar, reinicie o Bind e verifique usando o dig. Comece checando o domínio, como em:

# dig kurumin.com.br

Na resposta, procure pela seção “ANSWER SECTION”, que deverá conter o IP do servidor, como configurado no bind:

;; ANSWER SECTION:
kurumin.com.br. 86400 IN A 64.234.23.12

Faça agora uma busca reversa pelo endereço IP, adicionando o parâmetro “-x”, como em:

# dig -x 64.234.23.12

Na resposta você verá:

;; ANSWER SECTION:
12.23.234.64.in-addr.arpa. 86400 IN PTR kurumin.com.br.

Ou seja, com o DNS reverso funcionando, o domínio aponta para o IP do servidor e o IP aponta para o domínio, permitindo que os outros servidores verifiquem a autenticidade do seu na hora de receber e-mails provenientes do seu domínio.

Lembre-se que seus e-mails podem ser classificados como spam também se seu IP estiver marcado em alguma blacklist. Você pode verificar isso rapidamente no http://rbls.org/.

Você vai notar, por exemplo, que praticamente endereço IP de uma conexão via ADSL ou modem vai estar listado, muitas vezes “preventivamente”, já que é muito comum que conexões domésticas sejam usadas para enviar spam. É recomendável verificar periodicamente os IP’s usados pelo seu servidor, além de verificar qualquer novo IP ou link antes de contratar o serviço.