DNS reverso

O DNS reverso é um recurso que permite que outros servidores verifiquem a autenticidade do seu servidor, checando se o endereço IP atual bate com o endereço IP informado pelo servidor DNS. Isso evita que alguém utilize um domínio que não lhe pertence para enviar spam, por exemplo.

Qualquer um pode enviar e-mails colocando no campo do remetente o servidor do seu domínio, mas um servidor configurado para checar o DNS reverso vai descobrir a farsa e classificar os e-mails forjados como spam.

O problema é que os mesmos servidores vão recusar seus e-mails, ou classificá-los como spam caso você não configure seu servidor DNS corretamente para responder às checagens de DNS reverso. Chegamos a um ponto em que o problema do spam é tão severo, que quase todos os servidores importantes fazem esta checagem, fazendo com que, sem a configuração, literalmente metade dos seus e-mails não sejam entregues.

O primeiro passo é checar os arquivos “/etc/hostname” e “/etc/hosts” (no servidor), que devem conter o nome da máquina e o domínio registrado.

O arquivo “/etc/hostname” deve conter apenas o nome da máquina, como em:

servidor

No Fedora e em algumas outras distribuições, o nome da máquina vai dentro do arquivo “/etc/sysconfig/network“.

No arquivo “/etc/hosts” deve conter duas entradas, uma para a interface de loopback, o 127.0.0.1, e outra para o IP de internet do seu servidor, que está vinculado ao domínio, como em:

127.0.0.1 localhost.localdomain localhost
64.234.23.12 servidor.kurumin.com.br servidor

A partir daí, falta adicionar a zona reversa no bind complementando a configuração do domínio, que já fizemos. Começamos adicionando a entrada no “/etc/bind/named.conf” ou “/etc/bind/named.conf.local“:

zone "23.234.64.in-addr.arpa" {
type master;
file "/etc/bind/db.kurumin.rev";
};

No nosso exemplo, o endereço IP do servidor é 64.234.23.12. Se retiramos o último octeto e escrevemos o restante do endereço de trás pra frente, temos justamente o “23.234.64” que usamos no registro reverso. A terceira linha indica o arquivo onde a configuração do domínio reverso será salva. Neste caso indiquei o arquivo “db.kurumin.rev“, mas você pode usar qualquer nome de arquivo.

Este arquivo “db.kurumin.rev” é bem similar ao arquivo com a configuração do domínio, que acabamos de configurar. As três linhas iniciais são idênticas (incluindo o número de sincronismo), mas ao invés de usar o “A” para relacionar o domínio e cada subdomínio ao IP correspondente, usamos a diretiva “PTR” para relacionar o endereço IP de cada servidor ao domínio (é justamente por isso que chamamos de DNS reverso ;).

No primeiro arquivo, usamos apenas os três primeiros octetos do endereço (a parte referente à rede), removendo o octeto final (o endereço do servidor dentro da rede). Agora, usamos apenas o número omitido da primeira vez.

O IP do servidor é “64.234.23.12”, removendo os três primeiros octetos ficamos apenas com o “12”. Temos também o endereço do DNS secundário, que é 64.234.23.13, de onde usamos apenas o “13”. Relacionando os dois a seus respectivos domínios, o arquivo fica:

@ IN SOA servidor.kurumin.com.br. hostmaster.kurumin.com.br. (
2006040645 3H 15M 1W 1D )
NS servidor.kurumin.com.br.
NS ns1.kurumin.com.br.
12 PTR kurumin.com.br.
13 PTR ns1.kurumin.com.br.

Caso você não esteja usando um DNS secundário, é só omitir as linhas referentes a ele, como em:

@ IN SOA servidor.kurumin.com.br. hostmaster.kurumin.com.br. (
2006040645 3H 15M 1W 1D )
NS servidor.kurumin.com.br.
12 PTR kurumin.com.br.

Depois de terminar, reinicie o Bind e verifique usando o dig. Comece checando o domínio, como em:

# dig kurumin.com.br

Na resposta, procure pela seção “ANSWER SECTION“, que deverá conter o IP do servidor, como configurado no bind:

;; ANSWER SECTION:
kurumin.com.br. 86400 IN A 64.234.23.12

Faça agora uma busca reversa pelo endereço IP, adicionando o parâmetro “-x“, como em:

# dig -x 64.234.23.12

Na resposta você verá:

;; ANSWER SECTION:
12.23.234.64.in-addr.arpa. 86400 IN PTR kurumin.com.br.

Ou seja, com o DNS reverso funcionando, o domínio aponta para o IP do servidor e o IP aponta para o domínio, permitindo que os outros servidores verifiquem a autenticidade do seu na hora de receber e-mails provenientes do seu domínio.

Lembre-se que seus e-mails podem ser classificados como spam também se seu IP estiver marcado em alguma blacklist. Você pode verificar isso rapidamente no http://rbls.org/.

Você vai notar, por exemplo, que praticamente endereço IP de uma conexão via ADSL ou modem vai estar listado, muitas vezes “preventivamente”, já que é muito comum que conexões domésticas sejam usadas para enviar spam. É recomendável verificar periodicamente os IP’s usados pelo seu servidor, além de verificar qualquer novo IP ou link antes de contratar o serviço.

Mais uma consideração importante sobre a configuração do DNS reverso é que você precisa ter autoridade sobre a faixa de IP’s para que a configuração funcione.

Quando você aluga um servidor dedicado, é de praxe que receba uma pequena faixa de endereços IP, configurada usando uma máscara complexa, como a “255.255.255.248”, onde você fica com uma faixa de 8 IP’s diferentes, como por exemplo do “72.213.43.106” até o “72.213.43.113”.

Isso também é comum ao alugar um link dedicado, onde (dependendo do plano), você recebe uma faixa completa, com 254 IP’s, ou uma faixa reduzida, com máscara “255.255.255.240” (16 IP’s), “255.255.255.248” (8 IP’s) ou “255.255.255.252” (4 IP’s).

Em qualquer um dos casos, o fornecedor deve delegar a autoridade sobre a sua faixa de endereços, para que a configuração que vimos aqui funcione. Sem isto, é o servidor deles quem responde pela sua faixa, retornando um erro qualquer, sem que seu servidor DNS tenha chance de fazer seu trabalho.

Se você alugou um servidor ou um link dedicado e percebeu que a autoridade sobre a faixa não foi delegada, minha primeira sugestão é que você troque de fornecedor, pois esta é uma configuração básica. Se não fazem nem a delegação corretamente, é provável que o serviço deixe a desejar em outras aspectos. Se isso não for possível, entre em contato com eles cobrando a configuração.

Alguns provedores preferem configurar eles mesmos o DNS reverso para seu domínio. Neste caso vão apenas lhe pedir a configuração e ativar o reverso no DNS deles. Esta solução não é ideal, pois você vai precisar entrar em contato com o suporte cada vez que precisar fazer uma alteração, mas é melhor do que nada. Esta é também a única opção em planos onde você recebe um único IP fixo, ao invés de uma faixa de endereços.

No caso de planos de acesso doméstico, onde você recebe um único IP, quase sempre é impossível configurar o DNS reverso, pois você não tem autoridade sobre a faixa de IP’s e a operadora não vai querer fazer a configuração para você sem que você pague mais um um plano empresarial.

Sobre o Autor

Redes Sociais:

Deixe seu comentário

X