Hallo Fachkräfte,
nachdem ich nun einen freundlicheren Provider gefunden habe, der nicht in meinen Dateien rumbastelt, hätte ich mal eine grundsätzliche Frage zu reverse records, wenn ich meine eigenen DNS Server betreiben will. Mir gehören die Netze nicht, also habe ich dann wohl nur mit noch viel mehr Freundlichkeit die Möglichkeiten, auf die reverse records Einfluss zu nehmen, oder? Schließlich verwaltet der Provider die reverse Zones. Ich sehe das problematisch etwa beim Mail-Versand, wenn die reverse Auflösung nicht korrekt ist, aber auch für "pingelige" Plug-ins in Browsern und in Sachen Zertifikate.
Dabei ist es ja egal, ob ich meine Root-Server so benenne, wie ich es normalerweise tue (mit Nato-Alphabet-Buchstaben, also "alpha...", "bravo..." und dann www und mail als CNAMEs setze. 2 IPs pro Root-Server nehme ich eh immer, dass ich genau 1 IP für ssh und sftp habe, die ich dann entsprechend mit iptables isoliere, und die 2. IP soll dann für www, mail, ns... zuständig sein. Muss ich da wirklich pro Dienst eine eigene IP besorgen, würde ja mindestens 4, eher mehr IPs pro Domain bedeuten.
Ich hoffe, jemand versteht mein Problem^^
LG
Carsten
[DNS] Grundsätzliche Frage zu rDNS.
-
MrScoville
- Beiträge: 93
- Registriert: 09.09.2016 17:20:59
- Lizenz eigener Beiträge: MIT Lizenz
[DNS] Grundsätzliche Frage zu rDNS.
Man mag gar nicht glauben, wie sehr ein 4096-bittiger RSA-Schlüssel einem den Tag vermiesen kann...^^
Der so genannte "Teufel im Detail" hat einen Namen: Tight coupling
Der so genannte "Teufel im Detail" hat einen Namen: Tight coupling
-
heisenberg
- Beiträge: 4146
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: [DNS] Grundsätzliche Frage zu rDNS.
Ja. rDNS stellt Dir Dein Provider zur Verfügung. Das sollte jetzt auch nicht so das Problem sein. Manche haben dafür ein Interface, andere machen das manuell auf Zuruf.
Ich selbst trenne E-Mail und Web von der IP her. Das ist aber eher deswegen, weil ich evtl. die Dienste auch mal auf verschiedene Server auftrennen können möchte. Das ist bei einer IP da eher schlecht machbar.
Ich selbst trenne E-Mail und Web von der IP her. Das ist aber eher deswegen, weil ich evtl. die Dienste auch mal auf verschiedene Server auftrennen können möchte. Das ist bei einer IP da eher schlecht machbar.
-
MrScoville
- Beiträge: 93
- Registriert: 09.09.2016 17:20:59
- Lizenz eigener Beiträge: MIT Lizenz
Re: [DNS] Grundsätzliche Frage zu rDNS.
Danke für deine Antwort! Hast du da nie Probleme mit Spam-Filtern, wenn der reverse lookup nicht klappt? Außer natürlich dein mail-server heißt als A / AAAA und nicht als CNAME so wie im MX record.
Man mag gar nicht glauben, wie sehr ein 4096-bittiger RSA-Schlüssel einem den Tag vermiesen kann...^^
Der so genannte "Teufel im Detail" hat einen Namen: Tight coupling
Der so genannte "Teufel im Detail" hat einen Namen: Tight coupling
-
heisenberg
- Beiträge: 4146
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: [DNS] Grundsätzliche Frage zu rDNS.
Ein korrekt eingerichter rDNS ist der Anfang jeder Mailserverkonfiguration. Das weiss doch heute schon jeder Spammer.Hast du da nie Probleme mit Spam-Filtern, wenn der reverse lookup nicht klappt?
--> zwingend erforderlich.
-
MrScoville
- Beiträge: 93
- Registriert: 09.09.2016 17:20:59
- Lizenz eigener Beiträge: MIT Lizenz
Re: [DNS] Grundsätzliche Frage zu rDNS.
Joa, eben. Wenn A den hugo auf 1.2.3.4 auflöst, mail ein CNAME vom hugo ist, und der PTR ordentlich auf den hugo zeigt statt auf den mail, hast du den Salat. Jedenfalls war es zu "guten, alten sendmail-Zeiten" so, und ich finde sendmail immer noch gut 
Man mag gar nicht glauben, wie sehr ein 4096-bittiger RSA-Schlüssel einem den Tag vermiesen kann...^^
Der so genannte "Teufel im Detail" hat einen Namen: Tight coupling
Der so genannte "Teufel im Detail" hat einen Namen: Tight coupling
Re: [DNS] Grundsätzliche Frage zu rDNS.
Sofern mein Wissen über MX-Records noch aktuell ist, darfst du in einem MX-Record keinen Alias (CNAME) verwenden... Ein Blick in die RFCs sollte Klarheit bringen.
Damit dürfte sich die PTR-Problematik was Mail angeht einfach, wenn auch unschön lösen.
Damit dürfte sich die PTR-Problematik was Mail angeht einfach, wenn auch unschön lösen.
-
MrScoville
- Beiträge: 93
- Registriert: 09.09.2016 17:20:59
- Lizenz eigener Beiträge: MIT Lizenz
Re: [DNS] Grundsätzliche Frage zu rDNS.
Genau, Bluestar. Kurz und knapp heißt das also, eine Mail-Domain, die mit sendmail betrieben wird, braucht eine eigene IP, und die Rückwärtsauflösung (PTR) muss auf die Domain bzw. den Mailserver verweisen. Ist ja auch richtig so, aber mach das heutzutage mal mit kommerziellen Hostern so, ohne dass du gleich zwei andere benutzt, die in anderen Netzen liegen, um dort eigene DNS-Server zu betreiben.
Man mag gar nicht glauben, wie sehr ein 4096-bittiger RSA-Schlüssel einem den Tag vermiesen kann...^^
Der so genannte "Teufel im Detail" hat einen Namen: Tight coupling
Der so genannte "Teufel im Detail" hat einen Namen: Tight coupling
Re: [DNS] Grundsätzliche Frage zu rDNS.
Du verwechselst gerade ein paar Dinge.
Fangen wir mal mit einem sauberen Mailserver an, dieser bekommt den Namen hugo.domain.de mit IP und rDNS-Eintrag und für Sendmail noch ein SSL-Zertifikat für hugo.domain.de.
Jede deiner Domains bekommt eine IP, rDNS ist hier relativ egal. Alle deine Domains bekommen den MX Eintrag mit hugo.domain.de
Und schon ist dein Setup sauber. Falls noch IMAP hinzukommt, hier ist der rDNS Eintrag auch egal, bsp. imap.domain.de als CNAME auf hugo.domain.de stellt kein Problem dar... Jedoch müsstest du dann darauf achten, das dein SSL-Zertifikat für den IMAP-Server auch auf den Namen „imap.domain.de“ ausgestellt ist.
Fangen wir mal mit einem sauberen Mailserver an, dieser bekommt den Namen hugo.domain.de mit IP und rDNS-Eintrag und für Sendmail noch ein SSL-Zertifikat für hugo.domain.de.
Jede deiner Domains bekommt eine IP, rDNS ist hier relativ egal. Alle deine Domains bekommen den MX Eintrag mit hugo.domain.de
Und schon ist dein Setup sauber. Falls noch IMAP hinzukommt, hier ist der rDNS Eintrag auch egal, bsp. imap.domain.de als CNAME auf hugo.domain.de stellt kein Problem dar... Jedoch müsstest du dann darauf achten, das dein SSL-Zertifikat für den IMAP-Server auch auf den Namen „imap.domain.de“ ausgestellt ist.
Re: [DNS] Grundsätzliche Frage zu rDNS.
Du willst nicht wirklich heutzutage noch Sendmail einsetzen?
Ich habe ein paar dieser Sendmail Ungeheuern in der Firma. Da macht ein Mailserver so viel Probleme wie alle anderen Postfix zusammen.
Sendmail existiert zwar noch aber einen Maintainer gibt es dafür nicht mehr:
This package has been orphaned. This means that it does not have a real maintainer at the moment. Please consider adopting this package if you are interested in it. Please see bug number
740070 for more information.
Ich habe ein paar dieser Sendmail Ungeheuern in der Firma. Da macht ein Mailserver so viel Probleme wie alle anderen Postfix zusammen.
Sendmail existiert zwar noch aber einen Maintainer gibt es dafür nicht mehr:
This package has been orphaned. This means that it does not have a real maintainer at the moment. Please consider adopting this package if you are interested in it. Please see bug number
740070 for more information.
Re: [DNS] Grundsätzliche Frage zu rDNS.
oh Gott, oh Gott, oh Gott! Da kommen Erinnerungen hoch 
Meine sendmail.m4 hab ich damals gehütet wie meinen Augapfel. Ich bin wirklich froh, dass die Zeiten vorbei sind
Ich habe auf dem Hauptmailsystem mit dem Namen mx.$ORGANISATION.TLD den A-record korrekt gesetzt. Alle domain laufen dort auf.
Meine sendmail.m4 hab ich damals gehütet wie meinen Augapfel. Ich bin wirklich froh, dass die Zeiten vorbei sind
Ich habe auf dem Hauptmailsystem mit dem Namen mx.$ORGANISATION.TLD den A-record korrekt gesetzt. Alle domain laufen dort auf.