Configurando servidores DNS, no muque, parte 2

Continuando a explicação sobre servidores DNS, vamos agora estudar sobre a configuração do DNS reverso, importante em qualquer servidor dedicado, para evitar que seus e-mails sejam classificados como spam, configuração de servidores DNS para redes locais e também sobre o uso do Bind dentro de um chroot para melhorar a segurança.

O DNS reverso é um recurso que permite que outros servidores verifiquem a autenticidade do seu servidor, checando se o endereço IP atual bate com o endereço IP informado pelo servidor DNS. Isso evita que alguém utilize um domínio que não lhe pertence para enviar spam, por exemplo.

Qualquer um pode enviar e-mails colocando no campo do remetente o servidor do seu domínio, mas um servidor configurado para checar o DNS reverso vai descobrir a farsa e classificar os e-mails forjados como spam.

O problema é que os mesmos servidores vão recusar seus e-mails, ou classificá-los como spam, caso você não configure seu servidor DNS corretamente para responder às checagens de DNS reverso. Chegamos a um ponto em que o problema do spam é tão severo que quase todos os servidores importantes fazem esta checagem, fazendo com que, sem a configuração, literalmente metade dos seus e-mails não sejam entregues.

O primeiro passo é checar os arquivos “/etc/hostname” e “/etc/hosts” (no servidor), que devem conter o nome da máquina e o domínio registrado. O arquivo “/etc/hostname” deve conter apenas o nome da máquina, como em:

No Fedora e em algumas outras distribuições, o nome da máquina vai dentro do arquivo “/etc/sysconfig/network”.

O arquivo “/etc/hosts” deve conter duas entradas, uma para a interface de loopback, o 127.0.0.1 e outra para o IP de internet do seu servidor, que está vinculado ao domínio, como em:

A partir daí, falta adicionar a zona reversa no Bind, complementando a configuração do domínio, que já fizemos. Começamos adicionando a entrada no “/etc/bind/named.conf” ou “/etc/bind/named.conf.local”:

No nosso exemplo, o endereço IP do servidor é 64.234.23.12. Se retiramos o último octeto e escrevemos o restante do endereço de trás pra frente, temos justamente o “23.234.64” que usamos no registro reverso. A terceira linha indica o arquivo em que a configuração do domínio reverso será salva. Nesse caso, indiquei o arquivo “db.gdhn.rev”, mas você pode usar qualquer nome de arquivo.

Este arquivo “db.gdhn.rev” é bem similar ao arquivo com a configuração do domínio, que acabamos de configurar. As três linhas iniciais são idênticas (incluindo o número de sincronismo), mas ao invés de usar o “A” para relacionar o domínio e cada subdomínio ao endereço IP correspondente, usamos a diretiva “PTR” para relacionar o endereço IP de cada servidor ao domínio (é justamente por isso que chamamos de DNS reverso :).

No primeiro arquivo, usamos apenas os três primeiros octetos do endereço (a parte referente à rede), removendo o octeto final (o endereço do servidor dentro da rede). Agora, usamos apenas o número omitido da primeira vez.

O IP do servidor é “64.234.23.12”; removendo os três primeiros octetos, ficamos apenas com o “12”. Temos também o endereço do DNS secundário, que é 64.234.23.13, de onde usamos apenas o “13”. Relacionando os dois a seus respectivos domínios, o arquivo fica:

Caso você não esteja usando um DNS secundário, é só omitir as linhas referentes a ele, como em:

Você pode incluir também entradas referentes a outros servidores, que utilizem outros endereços dentro da mesma faixa de endereços, como em:

Depois de terminar, reinicie o Bind e verifique usando o dig. Comece checando o domínio, como em:

Na resposta, procure pela seção “ANSWER SECTION”, que deverá conter o IP do servidor, como configurado no bind:

Faça agora uma busca reversa pelo endereço IP, adicionando o parâmetro “-x”, como em:

Na resposta você verá:

Ou seja, com o DNS reverso funcionando, o domínio aponta para o IP do servidor e o IP aponta para o domínio, permitindo que os outros servidores verifiquem a autenticidade do seu servidor na hora de receber e-mails provenientes do seu domínio.

No Windows, você pode fazer a verificação usando o comando “nslookup”, que pode ser usado para checar tanto o domínio quanto o DNS reverso, como em:

Lembre-se de que seus e-mails podem ser classificados como spam também se seu IP estiver marcado em alguma blacklist. Você pode verificar isso rapidamente no http://rbls.org/.

Você vai notar, por exemplo, que praticamente qualquer endereço IP de uma conexão via ADSL ou modem discado vai estar listado, muitas vezes “preventivamente”, já que é muito comum que conexões domésticas sejam usadas para enviar spam. É recomendável verificar periodicamente os IP’s usados pelo seu servidor, além de verificar qualquer novo endereço IP ou link antes de contratar o serviço.

Mais uma consideração importante sobre a configuração do DNS reverso é que você precisa ter autoridade sobre a faixa de IP’s para que a configuração funcione.

Quando você aluga um servidor dedicado, é de praxe que receba uma pequena faixa de endereços IP, configurada usando uma máscara complexa, como a “255.255.255.248“, onde você fica com uma faixa de 5 IP’s diferentes (na verdade são 8, mas destes apenas 6 são válidos e um é usado como default gateway, para que seu servidor possa acessar a internet através da rede do datacenter) como, por exemplo, do “72.213.43.106” até o “72.213.43.110”.

Isso também é comum ao alugar um link dedicado, onde (dependendo do plano) você recebe uma faixa completa, com 254 IP’s, ou uma faixa reduzida, com máscara “255.255.255.240” (14 IP’s), “255.255.255.248” (6 IP’s) ou “255.255.255.252” (2 IP’s).

Em qualquer um dos casos, o fornecedor deve delegar a autoridade sobre a sua faixa de endereços, para que a configuração que vimos aqui funcione. Sem isto, é o servidor deles quem responde pela sua faixa, sem que seu servidor DNS tenha chance de fazer seu trabalho.

Em muitos casos, a configuração é feita manualmente pela equipe do datacenter, sem que a autoridade seja delegada ao seu servidor. Nesse caso, podem fazer a configuração com base nas informações fornecidas no cadastro, sem que você precise pedir, ou pode ser necessário abrir um chamado de suporte pedindo que o DNS reverso seja atribuído. Nesse caso, não se esqueça de incluir o endereço IP do servidor e o domínio.

Procure uma entrada referente ao assunto no knowledge-base, ou abra um chamado de suporte perguntando. Aqui temos um exemplo de entrada referente a isso no sistema de ajuda do layeredtech.com:

Esta solução não é ideal, pois você vai precisar entrar em contato com o suporte cada vez que precisar fazer uma alteração, mas é melhor do que nada.

No caso de planos de acesso doméstico, onde você recebe um único IP, quase sempre é impossível configurar o DNS reverso, pois você não tem autoridade sobre a faixa de endereços e a operadora não vai querer fazer a configuração para você, pelo menos não sem que você pague mais por um plano empresarial.