1. ספרייה
  2. DNS
  3. רשומות DNS

רשומות PTR: בדיקות DNS הפוכות

עודכן לפני חודש

DNS ישיר הוא טענה. DNS הפוך הוא הוכחה.

כשאתה מבצע בדיקה של mail.example.com, ה-DNS אומר לך שהוא מצביע על 203.0.113.42. כל מי שיש לו שם דומיין יכול לטעון טענה כזו. אבל כשאתה בודק את כתובת ה-IP הזו ושואל "איזה שם מארח שייך לך?", רק הבעלים האמיתי של כתובת ה-IP יכול לענות. רשומות PTR מספקות את התשובה הזו — הן השאילתה ההפוכה שממפה כתובות IP חזרה לשמות מארח.

האמון באינטרנט מסתכם לרוב בשאלה אחת: האם אתה מי שאתה טוען להיות? שרתי דואר שואלים את זה כל הזמן. כשהשרת שלך מתחבר מ-203.0.113.42 וטוען לשלוח דואר עבור example.com, השרת המקבל מבצע שאילתת DNS הפוכה. אם רשומת ה-PTR מאשרת את הקשר, הוכחת משהו: אתה לא רק הבעלים של שם דומיין — אלא שולט בתשתית רשת ממשית.

כיצד פועלות רשומות PTR

רשומת PTR היא תמונת המראה של רשומת A. כאשר רשומת A אומרת "שם המארח הזה מצביע על כתובת IP זו", רשומת PTR אומרת "כתובת ה-IP הזו מצביעה על שם המארח הזה". הרשומות נמצאות במקומות שונים לגמרי — רשומות ה-A שלך נמצאות באזור ה-DNS של הדומיין שלך, אבל רשומות PTR נמצאות באזורי DNS הפוכים מיוחדים שנשלטים על ידי מי שמחזיק במרחב כתובות ה-IP.

ההפרדה הזו משקפת את המציאות: לדומיינים ולכתובות IP יש בעלים שונים. אתה עשוי להחזיק ב-example.com, אבל אינך הבעלים של 203.0.113.42 — ספק האחסון שלך או ספק האינטרנט שלך הוא שמחזיק בה. הם שולטים באזור ה-DNS ההפוך עבור כתובות ה-IP שלהם, כלומר הם אלו שקובעים אם השרת שלך יקבל רשומת PTR בכלל.

פורמט הכתובת ההפוכה

רשומות PTR משתמשות במוסכמה שנראית שגויה עד שמבינים מדוע. כדי לבדוק את רשומת ה-PTR של 203.0.113.42, שואלים את 42.113.0.203.in-addr.arpa. כתובת ה-IP הפוכה.

היררכיית ה-DNS נקראת משמאל לימין, מהספציפי ביותר לפחות ספציפי. ב-www.example.com, "www" ספציפי יותר מ-"example", שספציפי יותר מ-"com". כדי שה-DNS ההפוך יעקוב אחר אותו תבנית, יש להפוך כתובות IP — 42 (המארח הספציפי) מגיע לפני 113.0.203 (הרשת).

IPv6 עוקב אחר אותו ההיגיון אך מתרחב באופן דרמטי. כל ספרה הקסדצימלית הופכת לתווית נפרדת. הכתובת 2001:db8::1 הופכת ל-1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa — 32 תוויות נפרדות באזור ip6.arpa.

דואר אלקטרוני: היכן שרשומות PTR חשובות ביותר

שרתי דואר לא סומכים בקלות. כשהשרת שלך מתחבר כדי למסור דואר אלקטרוני, השרת המקבל מיד מבצע שאילתת DNS הפוכה על כתובת ה-IP שלך. שלוש תוצאות אפשריות:

אין רשומת PTR. שרתי דואר רבים דוחים את החיבור לחלוטין. לתשתית דואר לגיטימית יש DNS הפוך מוגדר. היעדרו מרמז על מחשב ביתי שנפרץ או על פעולת דואר זבל זמנית.

רשומת PTR קיימת אך אינה תואמת. אם רשומת ה-PTR של ה-IP שלך מצביעה על server47.hostingcompany.com אך אתה טוען לשלוח דואר עבור example.com, אי-ההתאמה מעלה חשד. ייתכן שעדיין תעבור, אבל תחת בדיקה מוגברת.

רשומת PTR קיימת ומאמתת. הסטנדרט הזהב. ה-IP שלך מצביע על mail.example.com, ו-mail.example.com מצביע בחזרה על ה-IP שלך. האימות הדו-כיווני הזה — הנקרא DNS הפוך מאושר-קדימה (FCrDNS) — מוכיח שאתה שולט גם בדומיין וגם בתשתית.

החל מפברואר 2024, גוגל ויאהו דורשים FCrDNS משולחי דואר בכמות גדולה1. זה לא אופציונלי — הודעות מכתובות IP ללא DNS הפוך מאושר-קדימה תקין צפויות לדחייה או לסינון לדואר זבל.

DNS הפוך מאושר-קדימה

FCrDNS דורש ששני הכיוונים יסכימו. ל-IP 203.0.113.42 חייבת להיות רשומת PTR המצביעה על mail.example.com, ול-mail.example.com חייבת להיות רשומת A המצביעה בחזרה על 203.0.113.42.

הבדיקה הדו-כיוונית הזו מזהה סוג ספציפי של שימוש לרעה. מישהו יכול להגדיר רשומת PTR המצביעה לשם מארח שאינו שולט בו — אבל הוא לא יכול לגרום לשם המארח הזה להצביע בחזרה מבלי שהוא יחזיק בדומיין. אימות FCrDNS דורש בעלות הן על כתובת ה-IP (לצורך הגדרת ה-PTR) והן על הדומיין (לצורך הגדרת רשומת ה-A).

מי שולט ברשומות ה-PTR שלך

סביר להניח שלא אתה. רשומות PTR מנוהלות על ידי מי שמחזיק בכתובת ה-IP, ואתה כמעט בוודאות שוכר את כתובות ה-IP שלך ולא בעליהן.

  • ספקי ענן (AWS, Google Cloud, Azure) מציעים בדרך כלל ממשקים להגדרת רשומות PTR עבור המופעים שלך
  • ספקי שרתים ייעודיים מאפשרים בדרך כלל להגדיר DNS הפוך דרך לוח הבקרה שלהם
  • ספקי אינטרנט עשויים לאפשר הגדרת PTR לחשבונות עסקיים; חיבורים ביתיים לעתים נדירות זוכים לאפשרות זו

רוב הספקים מוודאים שכבר קיימת רזולוציה של שם המארח שלך לכתובת ה-IP שלהם לפני שהם מאפשרים את המיפוי ההפוך.

מעבר לדואר אלקטרוני

רשומות PTR משרתות מטרות נוספות מעבר לאימות דואר אלקטרוני:

רישום וניטור. יומני מערכת הופכים לקריאים יותר כשכתובות IP מתורגמות לשמות מארח. ראיית mail.example.com ביומן מספקת הקשר מיידי שאין ל-203.0.113.42.

אימות אבטחה. כלי ניטור רשת משתמשים ב-DNS הפוך כדי לזהות מערכות מתחברות. מערכות לזיהוי חדירות מסמנות חיבורים מכתובות IP עם רשומות PTR חסרות או חשודות.

אבחון תקלות. כשמאבחנים בעיות רשת, שאילתות הפוכות עוזרות לזהות איזה ארגון מחזיק בכתובת IP בעייתית. רשומת ה-PTR לעתים קרובות מגלה את ספק האחסון או מפעיל הרשת האחראי.

שאלות נפוצות על רשומות PTR

מדוע אני לא יכול להגדיר רשומות PTR דרך רשם הדומיין שלי?

רשומות PTR נמצאות באזורי DNS הפוכים שנשלטים על ידי בעלי כתובות IP, לא בעלי דומיינים. הרשם שלך מנהל את ה-DNS הישיר של הדומיין שלך, אבל אזור ה-DNS ההפוך לכתובת ה-IP של השרת שלך שייך לספק האחסון או לספק האינטרנט שלך. הגדר רשומות PTR דרך מי שהקצה לך את כתובת ה-IP.

האם אני צריך רשומת PTR אם אני לא מפעיל שרת דואר?

לא בהכרח, אבל זו שיטה מומלצת. רשומות PTR מסייעות לרישום, לאבחון תקלות ולהיגיינת רשת כללית. שירותים מסוימים מבצעים בדיקות DNS הפוכות כחלק מאמצעי האבטחה שלהם. רשומת PTR מוגדרת כראוי מסמנת תשתית לגיטימית.

מדוע הדואר האלקטרוני שלי מסומן כדואר זבל גם עם רשומת PTR?

קיום רשומת PTR הוא תנאי הכרחי אך לא מספיק. הרשומה חייבת להצביע לשם מארח שהגיוני עבור הדומיין השולח שלך, ושם המארח הזה חייב לפנות בחזרה ל-IP שלך (FCrDNS). יכולת מסירת דואר אלקטרוני תלויה גם ברשומות SPF, DKIM, DMARC, במוניטין כתובת ה-IP ובתוכן הדואר האלקטרוני. PTR הוא חלק אחד מהפאזל.

מקורות

הקודם

רשומות SOA: מידע על סמכות האזור

הבא

רשומות NAPTR: גילוי האצלה דינמי

האם דף זה היה מועיל?

😔
🤨
😃
רשומות PTR: בדיקות DNS הפוכות • ספרייה • Connected