DNS Reverso [Tutorial]

Iniciado por DeamoN Cheat®, 24 de Maio de 2006, 20:43

tópico anterior - próximo tópico

DeamoN Cheat®

O DNS reverso é um recurso que permite que outros servidores verifiquem a autenticidade do seu servidor, checando se o endereço IP atual bate com o endereço IP informado pelo servidor DNS. Isso evita que alguém utilize um domínio que não lhe pertence para enviar spam, por exemplo.

Qualquer um pode enviar e-mails colocando no campo do remetente o
servidor do seu domínio, mas um servidor configurado para checar o DNS reverso vai descobrir a farsa e classificar os e-mails forjados como spam.

O problema é que os mesmos servidores vão recusar seus e-mails, ou
classificá-los como spam caso você não configure seu servidor DNS
corretamente para responder às checagens de DNS reverso. Chegamos a um ponto em que o problema do spam é tão severo, que quase todos os servidores importantes fazem esta checagem, fazendo com que, sem a configuração, literalmente metade dos seus e-mails não sejam entregues.

O primeiro passo é checar os arquivos /etc/hostname e /etc/hosts
(no servidor), que devem conter o nome da máquina e o domínio
registrado.

O arquivo /etc/hostname deve conter apenas o nome da máquina, como em: servidor

No Fedora e em algumas outras distribuições, o nome da máquina vai
dentro do arquivo /etc/sysconfig/network.

No arquivo /etc/hosts deve conter duas entradas, uma para a interface
de loopback, o 127.0.0.1, e outra para o IP de internet do seu
servidor,
que está vinculado ao domínio, como em:

127.0.0.1 localhost.localdomain localhost
64.234.23.12 servidor.kurumin.com.br servidor


A partir daí, falta adicionar a zona reversa no bind complementando a
configuração do domínio, que já fizemos. Começamos adicionando a
entrada no
/etc/bind/named.conf ou /etc/bind/named.conf.local:

zone "23.234.64.in-addr.arpa" {
type master;
file "/etc/bind/db.kurumin.rev"; };


No nosso exemplo, o endereço IP do servidor é 64.234.23.12. Se
retiramos o último octeto e escrevemos o restante do endereço de trás pra frente, temos justamente o 23.234.64 que usamos no registro reverso. A terceira linha indica o arquivo onde a configuração do domínio reverso será salva. Neste caso indiquei o arquivo db.kurumin.rev, mas você pode usar qualquer nome de arquivo.

Este arquivo db.kurumin.rev é bem similar ao arquivo com a configuração do domínio, que acabamos de configurar. As três linhas iniciais são idênticas (incluindo o número de sincronismo), mas ao invés de usar o A para relacionar o domínio e cada subdomínio ao IP correspondente, usamos a diretiva PTR para relacionar o endereço IP de cada servidor ao domínio (é justamente por
isso que chamamos de DNS reverso Wink.

No primeiro arquivo, usamos apenas os três primeiros octetos do
endereço
(a parte referente à rede), removendo o octeto final (o endereço do
servidor
dentro da rede). Agora, usamos apenas o número omitido da primeira vez.

O IP do servidor é 64.234.23.12, removendo os três primeiros octetos
ficamos apenas com o 12. Temos também o endereço do DNS secundário, que
é 64.234.23.13, de onde usamos apenas o 13. Relacionando os dois a
seus
respectivos domínios, o arquivo fica:
@IN SOAservidor.kurumin.com.br. hostmaster.kurumin.com.br. (
2006040645 3H 15M 1W 1D )
NS servidor.kurumin.com.br.
NS ns1.kurumin.com.br.
12PTRkurumin.com.br.
13PTRns1.kurumin.com.br.

Caso você não esteja usando um DNS secundário, é só omitir as linhas
referentes
a ele, como em:

@IN SOAservidor.kurumin.com.br. hostmaster.kurumin.com.br. (
2006040645 3H 15M 1W 1D )
NS servidor.kurumin.com.br.
12PTRkurumin.com.br.

Depois de terminar, reinicie o Bind e verifique usando o dig. Comece
checando
o domínio, como em:

# dig kurumin.com.br

Na resposta, procure pela seção ANSWER SECTION, que deverá conter o IP do servidor, como configurado no bind:


;; ANSWER SECTION:
kurumin.com.br. 86400 IN A 64.234.23.12


Faça agora uma busca reversa pelo endereço IP, adicionando o parâmetro
-x, como em:

# dig -x 64.234.23.12


Na resposta você verá:

;; ANSWER SECTION:
12.23.234.64.in-addr.arpa. 86400 IN PTR kurumin.com.br.

Ou seja, com o DNS reverso funcionando, o domínio aponta para o IP do
servidor e o IP aponta para o domínio, permitindo que os outros servidores verifiquem a autenticidade do seu na hora de receber e-mails provenientes do seu domínio.

Lembre-se que seus e-mails podem ser classificados como spam também se seu IP estiver marcado em alguma blacklist. Você pode verificar isso
rapidamente no http://rbls.org/.

Você vai notar, por exemplo, que praticamente endereço IP de uma
conexão via ADSL ou modem vai estar listado, muitas vezes "preventivamente", já que é muito comum que conexões domésticas sejam usadas para enviar spam.
É recomendável verificar periodicamente os IP's usados pelo seu servidor,além de verificar qualquer novo IP ou link antes de contratar o
serviço.

Colaboração: Carlos E. Morimoto
Dicas-l

100+

ctavares

Amigo,

Eu achei esse seu tutorial muito bom, mas eu estou com dificuldades de montar um servidor DNS para eu poder fazer alguns testes. Eu ja encontrei alguns materiais na internet mas todos tem diferenças com o meu Bind instalado e eu acabo me perdendo.

Voce poderia me ajudar? Pois pelo que eu vi sao uns 3 ou 4 arquivos para editar apenas para o Bind rodar.

O Dominio é carlostavares.eti.br, o nome do servidor é Hermes e o Ip é 200.186.145.197.

A Documentação do How-To-DNS é pouco explicativa e eu acho que eles nao utilizaram o Debian como Base para fazer. EU na verdade utilizo como servidor um Ubuntu 6.10 Server.

Se puder me ajudar eu agradeço.

Abraço,
Carlos Tavares
Blog: http://ti-online.blogspot.com/ MSN: ctavaresjr@hotmail.com