http://wenku.baidu.com/view/8db9d957f01dc281e53af062.html

http://www.docin.com/p-511807823.html



DNS 反向解析问题引起邮件被拒绝 发布时间2010-5-10 13:39:34 分类梭子鱼新闻 已经阅读 207 次 作者:Lee 解析 什么是反向 DNS 解析PTR 可逆 DNS(RDNS)就是反向解析就是把 IP 解析成域名。相对应的DNS 是正向解析把域名解析成 IP。 可逆 DNS(RDNS)的原理和 DNS 解析是完全相同的。 DNS 反向解析就是将 IP 反向查询为域名 在相关 IP 授权 DNS 服务器上增加您的 IP 地址的 PTR 记录。 反向 解析的意义是这个 IP 地址的网络身份是被认可的,是合法的。 可逆 DNS(RDNS)的一个应用是作为垃圾邮件过滤器.它是这样工作的:垃圾邮件制造者一般会使用与域名不合 的无效 IP 地址,即不和域名匹配的 IP 地址.可逆 DNS 查找程序把引入信息的 IP 地址输入一个 DNS 数据库.如 果没有找到和 IP 地址匹配的有效域名,服务器就认为该 EMAIL 是垃圾邮件。如 AOL美国在线要求必须实 施 IP 反解的邮件服务器才能向 AOL/AIM 邮箱发送邮件。 才能做反向解析 何种 IP 才能做反向解析 国内的 IP 只有部分才能申请反向解析 这部分 IP 为电信运营商认可的固定 IP 地址 动态 IP 池中的不能申请。 一般反向解析是和 IP 地址分配有联系的所以 ISP接入服务商直接申请反向解析的授权很难得到。而电 信运营商在这方面就具备天然优势通常这个授权都会直接授予本地的电信运营商然后再由电信运营商授 予各个使用此 IP 地址的 ISP当然这个 ISP 至少要完全占有整个 C 类地址的使用权否则不会得到授权 大部分情况电信运营商自己的 DNS 来提供相应 IP 地址的反向解析服务。 DNS 反向解析检测和报错信息 反向解析检测和报错信息 检测方式如下: C:\Documents and Settings\user>nslookup –qt=ptr 124.205.118.205 Server: mx01.himail.com Address: 124.205.118.205 说明这个 IP 的反解析就是成功了。 返回信息如下 C:\Documents and Settings\user>nslookup –qt=ptr 124.205.118.205 *** Can't find server name for address 211.150.100.33: Non-existent domain Server: UnKnown Address: 124.205.118.205 说明这个 IP 的反解析没有作。 报错信息: 例Apr 19 10:19:09 report qmail: 1145413149.690610 delivery 150: failure: 131.111.8.147_does_not_like_recipient./Remote_host_said:_550-Verification_failed_for_<test@AOL.com> /550-It_appears_that_the_DNS_operator_for_AOL.com /550-has_installed_an_invalid_MX_record_with_an_IP_address /550-instead_of_a_domain_name_on_the_right_hand_side. /550_Sender_verify_failed/Giving_up_on_131.111.8.147. 查询邮件发送信息如果看见上面的错误弹回信息就可以判断对方邮件服务器需要反向解析由于自身不具 备反向解析导致被拒绝 关于反向域名解析Reverse DNS 2008 年 03 月 13 日 星期四 下午 05:18 反向域名解析Reverse DNS。反向域名解析与通常的正向域名解析相反 提供 IP 地址到域名的对应。IP 反向解析主要应用到邮件服务器中来阻拦垃圾邮 件特别是在国外。多数垃圾邮件发送者使用动态分配或者没有注册域名的 IP 地址来发送垃圾邮件以逃避追踪使用了域名反向解析后就可以大大降低垃 圾邮件的数量。关于反向解析如何被应用到邮件服务器中来阻拦垃圾邮件的。 由于在域名系统中一个 IP 地址可以对应多个域名因此从 IP 出发去找域 名理论上应该遍历整个域名树但这在 Internet 上是不现实的。为了完成逆 向域名解析系统提供一个特别域该特别域称为逆向解析域 in-addr.arpa。 这样欲解析的 IP 地址就会被表达成一种像域名一样的可显示串形式后缀以逆 向解析域域名"in-addr.arpa"结尾。例如一个 IP 地址218.30.103.170其逆 向域名表达方式为170.103.30.218.in-addr.arpa。两种表达方式中 IP 地址部 分顺序恰好相反因为域名结构是自底向上(从子域到域)而 IP 地址结构是自 顶向下(从网络到主机)的。实质上逆向域名解析是将 IP 地址表达成一个域名 以地址做为索引的域名空间这样逆向解析的很大部分可以纳入正向解析中。 查看反向解析信息 查看反向解析信息 命令行输入 nslookup -qt=ptr yourIP从返回的信息中您可以看到反向解 析的结果或者在这个网站查询。 如何做反向解析 如何做反向解析 首先要有固定公网 IP 地址、可用域名例如您有 needidc.com 的域名您 可以要求您的域名注册商为您添加一个 mail.needidc.com 的域名并将其 A 记录 指向您的 SMTP 服务器出口公网 IP 地址如122.200.66.43接着请与您的固 定 IP 所属 ISP 联系要求为您的 IP 反向解析至 mail.lunch-time.com可能要收 费。完成后别忘了将您的 SMTP 服务器的 HELO 域名改为 mail.needidc.com 这样才可以达到目的。 另外 1、目前很多网络服务提供商要求访问的 IP 地址具有反向域名解析的结果 否则不提供 Mail 服务。 2、一定要有固定公网 IP 地址以及真实可用域名。同时要注意反向解析的域 名的 A 记录一定要指向该 IP 3、对于有多个固定公网 IP 地址的只要做主要出口 IP 的反向解析即可 不管您有多少 SMTP 服务器只要是通过该 IP 连接至外网就将这些 SMTP 服务器 的 HELO 域名改成 IP 反向解析之域名即可。 在垃圾邮件泛滥的今天垃圾邮件给我们的生活、工作、学习带来了极大的 危害。由于 SMTP 服务器之间缺乏有效的发送认证机制即使采用了垃圾邮件识 别阻拦技术效果仍旧一般 再者垃圾邮件识别阻拦技术主要是在收到信件后根据 一定条件进行识别的需要耗费大量服务器资源如果能在信件到达服务器之前 就采取一定手段这样就能大大提高服务器效率了。因此目前许多邮件服务器 如 sina.comhotmail.comyahoo.com.cn 等等都采用了垃圾邮件识别阻拦技术 +IP 反向解析验证技术以更好的阻拦垃圾邮件。 我们先来了解一下什么是 IP 反向解析。其实作过 DNS 服务器的朋友一定会 知道 DNS 服务器里有两个区域即“正向查找区域”和“反向查找区域”反向 查找区域即是这里所说的 IP 反向解析它的作用就是通过查询 IP 地址的 PTR 记录来得到该 IP 地址指向的域名当然要成功得到域名就必需要有该 IP 地址 的 PTR 记录。 那么 IP 反向解析是怎么被应用到邮件服务器中来阻拦垃圾邮件的呢我们 来看看下面一个例子 某天阿 Q 到 A 公司拜访他递上一张名片名片上写着他来自“黑道杀人 俱乐部”以及电话号码等信息A 公司觉得应该对阿 Q 的来历做个简单调查于 是打电话到阿 Q 名片上的电话号码所属电信局进行查实 如果电信局告诉 A 公司 其电话号码不属于“黑道杀人俱乐部”则 A 公司将拒绝阿 Q 的拜访如果其电 话号码的确属于“黑道杀人俱乐部”A 公司可能接受阿 Q 的拜访也可能进一步 查实于是就打电话到“黑道杀人俱乐部”所属注册机构查询如果得到的答复 确认该俱乐部确有此电话号码则 A 公司将接受阿 Q 的拜访否则仍将拒绝阿 Q 的拜访。 这个例子中 Q 好比是我们的邮件服务器 公司是对方邮件服务器 阿 A “黑 道杀人俱乐部”就是我们邮件服务器与对方邮件服务器通信时所使用的 HELO 域 名不是邮件地址@后的域名名片上的电话号码就是我们邮件服务器出口的 公网 IP 地址。A 公司对阿 Q 进行调查的过程就相当于一个反向解析验证过程。 由此看出 反向解析验证其实是对方服务器在进行的 如果我们没有做反向解析 那么对方服务器的反向解析验证就会失败 这样对方服务器就会以我们是不明发 送方而拒收我们发往的邮件这也就是我们排除其它原因后如被对方列入黑名 单、没有 MX 记录、使用的是动态 IP 地址等等在没做反向解析时无法向 sina.com、homail.com 发信的原因。 那么我们应当如何顺利做好反向解析首先要有固定公网 IP 地址、可用域 名最好不要被其它服务所用例如您有 lunch-time.com 的域名您可以要 求您的域名注册商为您添加一个 okmail.lunch-time.com 的域名并将其 A 记录指 向您的 SMTP 服务器出口公网 IP 地址如220.112.20.18接着请与您的固定 IP 所属 ISP 联系要求为您的 IP 反向解析至 okmail.lunch-time.com。完成后别 忘了将您的 SMTP 服务器的 HELO 域名改为 okmail.lunch-time.com这样才可以 达到目的。 另 1、 做好反向解析后发往 sina.com 的信件有可能会被转至“不明邮件夹”中 此时请您与 sina.com 联系要求为您解决该问题。 2、查看反向解析是否成功可用如下命令nslookup –qt=ptr yourIP从 返回的信息中您可以看到反向解析的结果。 3、一定要有固定公网 IP 地址以及真实可用域名。同时要注意反向解析的域 名的 A 记录一定要指向该 IP 4、对于有多个固定公网 IP 地址的只要做主要出口 IP 的反向解析即可不 管您有多少 SMTP 服务器只要是通过该 IP 连接至外网就将这些 SMTP 服务器的 HELO 域名改成 IP 反向解析之域名即可。和这些 SMTP 服务器上的地址域是无 关的 ? ? ? 相关需要了解的词汇 相关需要了解的词汇 内域信件/域内信件/内部信件 “本地服务器上存在的账户”发送的邮 件。 外域信件/域外信件/外部信件 “非本地服务器上存在的账户”发送的 邮件。 接收邮件 接收邮件 接收邮件包括两层意思 1) 接收外域发来的邮件。 2) 接收本域用户发送的邮件。 因为使用客户端发送邮件时邮件是先由客户端发送到服务器端再由服 务器端发送出去所以相对邮件服务器 邮件是一个先 IN 再 OUT 的过 程。 日志 日志 日志是 MDaemon 邮件服务器的重要组成部分请务必了解以下基本内容。 1) MDaemon 主界面打开后右面很大面积的一个窗口就是日志显示窗口 下方有日志分类标签如果有标签无法看到则需要点击小箭头将无法显 示的标签移出。 2) MDaemon 主界面中只保留最近的一些日志并非显示所有的日志完 整的日志存放在 MDaemon 安装目录下的 Logs 子目录中。 3) 日志有多种记录方式请前往 MDaemon 控制台”设置菜单Setup” →”日志Logging”→ 选择每天新建一套完整的日志。选用此种方式 记录日志更有利于检查问题。 4)在日志中从左向右的箭头“→”代表你方服务器发送给对方的信息 4) 从右向左的箭头“←”表示对方发送给你方的信息。 ? ? ? 常用日志文件内容详解 常用日志文件内容详解 1SMTP-(in) / SMTP入日志 外部邮件服务器发送邮件给我方时邮件进入时的连接记录或者 Outlook 等邮件客户端发送邮件时的连接记录。 2SMTP-out / SMTP-出日志 本域邮件发送到外域地址时的连接记录。 3POP 日志 本域用户使用 Outlook 等邮件客户端接收邮件时的记录。 4 System / 系统 日志 MDaemon 邮件服务器启动时启用的服务设置更改后相关服务更新的记 录以及动态屏蔽 IP 地址的记录。 5Routing / 路由 日志 所有收发的邮件在本地经过处理时的记录 接收的邮件存放到用户目录中 的记录以及外发邮件进入邮件服务器后转移到远程队列的记录。 6Content Filter / 内容过滤器 日志 内容过滤器规则处理的记录。 7AntiSpam / 垃圾邮件过滤器 日志 启发式评分制垃圾邮件过滤器的处理记录。 8AntiVirus / 病毒过滤插件 日志 病毒过滤插件过滤的记录。 邮件收发日志记录大致流程 邮件收发日志记录大致流程 1) 接收外部邮件 Smtp InSmtp 接收→ AntiVirus反病毒引擎→ AntiSpam反垃 圾引擎→ ContentFilter内容过滤器→Routing路由 2) 收发本域邮件 Smtp InSmtp 接收→ AntiVirus反病毒引擎→ AntiSpam反垃 圾引擎→ ContentFilter内容过滤器→Routing路由 3) 发送外域邮件 Smtp InSmtp 接收→ AntiVirus反病毒引擎→ AntiSpam反垃 圾引擎→ ContentFilter内容过滤器→Routing路由→Smtp OutSmtp 发 送 队列 队列 入站队列Inbound Queue 进入邮件服务器的队列包括外域发入的邮件和本域用户使用 OutLook ? 等客户端工具向外发送的邮件。 本地队列Local Queue 本地处理中的队列包括外域发来的邮件和本域发送的邮件。 远程队列Remote Queue 向外发送的队列为本地用户向外域发送的邮件。 重试队列Retry Queue 向外发送暂时失败等待重试发送的邮件。 坏队列Bad Queue 接收到的无此收件人以及本地发送失败超过生命周期的邮件或者匹配内 容过滤器中默认安全规则的邮件被投递到坏的队列中 其中多数为垃圾邮 件。 保持队列Holding Queue 当邮件不能被 AntiVirus AntiSpam ContetFilter 进行扫描处理或邮件接 收过程中发生意外错误时被投递到 Holding 队列中。 该队列中的邮件多数 为垃圾邮件但当系统级杀毒软件干涉了 MDaemon 的邮件处理进程时可 能造成正常邮件进入该队列。 未处理队列RAW queue 翻译问题应该为“系统自动产生邮件的队列”系统自动产生的邮件在 此处理如退信、系统提示邮件、系统欢迎邮件等。 PTR(反向解析 记录的方法 反向解析) 检查域名 MX PTR(反向解析)记录的方法 开始” 菜单→” 运行” 输入 cmd” →” Windows98 1) 在 Windows 系统中点击” 系统为 command打开 windows 系统的 MS-DOS 界面。输入”nslookup” 命令进入域名解析界面。 2) 输入” set q=mx “回车进入 MX 记录查询状态 输入您公司邮件服务器的主域名即为用户邮件地址的”@”之后的部分 如163.comChina.com 等 本文以 China.com 为例返回如下大致信息(蓝色部分为注释) > china.com ――这是所查询的主域 Server: ns-pd.online.sh.cn这是当前所使用的 DNS 主机名 Address: 202.96.209.133这是当前所使用 DNS 主机地址 Non-authoritative answer: china.com MX preference = 10, mail exchanger = mta1.china.com china.com MX preference = 10, mail exchanger = mta2.china.com china.com MX preference = 10, mail exchanger = mta3.china.com 这是 china.com 的 MX 记录指向的 3 个邮件主机名 mta1.china.com internet address = 211.99.189.179 mta2.china.com internet address = 211.99.189.180 mta3.china.com internet address = 211.99.189.184 这是 china.com 的 MX 记录指向的 3 个邮件主机名对应的 IP 地址 china.com nameserver = ns2.china.com china.com nameserver = ns1.china.com 这两个是负责解析 china.com 的 DNS 服务器主机名 ns1.china.com internet address = 61.151.243.136 ns2.china.com internet address = 202.84.1.101 这两个是负责解析 china.com 的 DNS 服务器主机名对应的 IP 地址 有时,查询 MX 纪录的结果中只有 MX 对应的主机名,但没有主机名对应 的 IP 地址显示(如上海电信 DNS 的 MX 解析结果),还需要输入: > set q=a 进入 A 纪录解析模式 再输入主机名解析 IP 地址: > mta1.china.com 输入邮件服务器主机名进行查询 >Non-authoritative answer: Name: mta1.china.com Address: 211.99.189.179 得到 IP 地址 3) 规范的 MX 记录应当由主域解析出一个主机名本例中是 mta.china.com再由此主机名解析出一个或多个 IP 地址本例中是 211.99.189.179 和 211.99.189.180而不能直接由主域解析出一个 IP 地址而且主域解析出的主机名不应当同主域名相同。 4) 输入” set q=ptr”回车进入 PTR 记录查询状态 > set q=ptr > 211.99.189.179 ――输入所查询邮件服务器的 IP 地址 Server: ns-pd.online.sh.cn ――这是当前用来解析的 DNS 服务器主机 名 Address: 202.96.209.133 ――这是用来解析的 DNS 服务器地址 Non-authoritative answer: 179.189.99.211.in-addr.arpa name = mta.china.com 这是该 IP 地址的 PTR 记录所指向的主机名 189.99.211.in-addr.arpa nameserver = ns.intercom.com.cn 189.99.211.in-addr.arpa nameserver = ns1.intercom.com.cn ns.intercom.com.cn internet address = 211.99.207.229 ns1.intercom.com.cn internet address = 211.152.53.3 其他人所使 5) 注意:域名解析修改和添加只是在域名提供商的个别 DNS 上修改 用的 DNS 服务器未必和您申请域名解析的 DNS 服务器相同 因此当您的域名添加 或者修改后只有等 DNS 服务器之间资料同步后才能看到正确的解析结果。同一 个地区的同步可能需要几小时 全国 DNS 同步可能需要 2 天 全球 DNS 同步可 能 需要 4 天或者更长时间因此域名解析更改后无法立刻全球生效。 ? 是否可访问的方法 测试 MDaemon 是否可访问的方法 开始” 菜单→” 运行” 输入 cmd” →” Windows98 1) 在 Windows 系统中点击” 系统为 command打开 windows 系统的 MS-DOS 界面。 2) 输入” telnet IP 25〃回车。其中”IP”是可以连通的MDaemon 邮 件服务器的 IP。 例如 测试本机命令为telnet 127.0.0.1 25 ? 测试局域网是否可以正常连接telnet 〔内网地址〕 25 测试公网地址是否可以连接telnet 〔公网地址〕 25 如果能返回 MDaemon 的信息则说明连接正常。 邮件服务器发送邮件的流程 邮件服务器发送邮件的流程 1) 使用 OutLook 或者 FoxMail 等客户端发送 OutLook 客户端计算机通过 DNS 服务器解析发送邮件服务器地址 → 连接 发送邮件服务器的 25 端口 → 身份口令验证 → 发送邮件到邮件服务器 → 邮件服务器处理 → 邮件服务器根据收信者主域后缀解析该域 MX 记 录 → 连接收信者域的邮件服务器 2) 使用 Web 客户端发送 登陆 Web 系统 完成身份验证 → 发送邮件到 MDaemon 队列中 → 邮件服 务器根据收信者后缀解析该域 MX 记录 → 连接收信者域的邮件服务器