Вопрос по поводу ptr?

Question

[Денис Сечин]

Мне нужно проверить домен на предмет поддельного почтового адреса например vasya@gmail.com. Что мне говорит мат.часть:

В целях уменьшения объёма нежелательной почтовой корреспонденции (спама) многие серверы-получатели электронной почты могут проверять наличие PTR записи для хоста, с которого происходит отправка. В этом случае PTR запись для IP адреса должна соответствовать имени отправляющего почтового сервера, которым он представляется в процессе SMTP сессии.

Окей, тогда запросим запись ptr у домена gmail.com, сначала вычислим айпи:

ping gmail.com
PING gmail.com (216.58.209.37) 56(84) bytes of data.
64 bytes from waw02s05-in-f37.1e100.net (216.58.209.37): icmp_seq=1 ttl=51 time=36.3 ms
64 bytes from waw02s05-in-f37.1e100.net (216.58.209.37): icmp_seq=2 ttl=51 time=36.0 ms
64 bytes from waw02s05-in-f37.1e100.net (216.58.209.37): icmp_seq=3 ttl=51 time=36.5 ms

Теперь запрашиваем ptr запись:

dig -x 216.58.209.37
37.209.58.216.in-addr.arpa. 86129 IN PTR waw02s05-in-f5.1e100.net.
37.209.58.216.in-addr.arpa. 86129 IN PTR waw02s05-in-f37.1e100.net.
37.209.58.216.in-addr.arpa. 86129 IN PTR waw02s05-in-f37.1e100.net.
37.209.58.216.in-addr.arpa. 86129 IN PTR waw02s05-in-f5.1e100.net.

Мне не понятно, почему обратная запись не: 37.209.58.216.in-addr.arpa. 86129 IN PTR gmail.com? домен то gmail? при чем здесь/что такое waw02s05-in-f5.1e100.net.?

Answer 1

[Vladimir Zhurkin]

Вам на надо смотреть на того, кто отправляет вам письма.
ptr запись, это просто запись по который можно узнать имя через Ip. Те обратная запись.
в dig смотреть dig -x 77.88.21.3 +short

те вы по ip можете проверить, что есть обратная запись. Но вот для почты сегодня это не самое актуальное. Иногда например невозможно прописать обратную запись по разным причинам, поэтому ввели SPF/DKIM/DMARC итд.

Далее серверов может быть несколько по разным причинам, вот например заголовок
Received: from mail-ua0-x249.google.com (mail-ua0-x249.google.com. [2607:f8b0:400c:c08::249])
by mx.google.com with ESMTPS id e3si2268363vkg.44.2017.07.26.07.34.05

или
Received: from mail-wr0-x233.google.com (mail-wr0-x233.google.com. [2a00:1450:400c:c0c::233])
by mx.google.com with ESMTPS id 35si17517304wrd.219.2017.07.26.14.45.01

ну или например с хабра
Received: from mxs.habramail.net (mxs.habramail.net. [2001:1af8:4010:a087:22::169])
by mx.google.com with ESMTPS id g48si12255511edb.194.2017.07.26.14.44.59

Если мы проверим PTR, то все будет OK.

Ну и почтовый сервер, может отвечать за разные домены. За это отвечает MX запись.
Например настроив почтовые сервера yandex или google можно (после подтверждения) получать почту для вашего домена используя их сервера.

Answer 2

[Max Kostikov]

Смотреть надо не хост веб-интерфейса, а хост - отправитель почты.
Например, вот один из них из лога Exim

Jul 26 19:15:32 my.server exim[57360]: 1daPuF-000EvA-M2 <= somebody@gmail.com H=mail-oi0-x22d.google.com [2607:f8b0:4003:c06::22d] I=[2001:470:1:2::3]:25 P=esmtps X=TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128 CV=no SNI="my.server" K S=3031 id=CAD2B=jf0ZiEQyu7tNR8LE=1Arsv4iCiPskycib-c9zeOtt=28Q@mail.gmail.com from <somebody@gmail.com> for foo@my.server

Соответственно, проверяем.

root@beta:~ # host mail-oi0-x22d.google.com
mail-oi0-x22d.google.com has IPv6 address 2607:f8b0:4003:c06::22d
root@beta:~ # host -t ptr 2607:f8b0:4003:c06::22d
d.2.2.0.0.0.0.0.0.0.0.0.0.0.0.0.6.0.c.0.3.0.0.4.0.b.8.f.7.0.6.2.ip6.arpa domain name pointer mail-oi0-x22d.google.com.

Всё у Gmail правильно.

Comments

[Денис Сечин]

Max Kostikov Я не сомневаюсь, что у гугла всё правильно, а как мне вычислить хост отправителя не имея логи exim?

[Wexter]

Денис Сечин: вы бы хоть написали с чем работаете: самописным smtp сервером, фильтром для почты, модулем для имеющегося сервера или ещё чем-то?

[Денис Сечин]

Wexter: Я работаю с постфикс, но это не имеет значение, мне не понятно, что такое адрес хоста, откуда он берётся как определять поддельный отправитель

[Max Kostikov]

Адрес хоста - его IP, имя хоста - его мнемоническое обозначение в форме доменного имени. Соответствие между IP и именем берётся из DNS. Определять путём анализа предоставляемых и получаемых данных. Это отдельная тема.

[Wexter]

Денис Сечин: вам из письма надо вытащить заголовок содержащий адрес сервера отправителя
Например

Received: from sender2.dc2.reg.ru (sender2.dc2.reg.ru. [31.31.204.234])

и проверять ptr нужно именно у этого адреса

Только проверка PTR уже не самый надёжный вариант, помимо неё есть SPF, DKIM и DMARC

[Денис Сечин]

Wexter: А почему именно этого? почему не домена с которого было отправлено письмо? ну например vasya@example.com
dig -x example.com

[Wexter]

Денис Сечин: потому что письмо не обязательно приходит с сервера example.com, оно вполне может прийти с сервера mail.example.com, который отвечает за почту для домена examle.com.
PTR изначально прикрутили дабы отфильтровать "динамические" почтовики, которые живут на временных белых адресах, выдаваемых провайдерами, и не могут прописать PTR.

[Денис Сечин]

Wexter: Хорошо, почему тогда я спрашиваю птр у gmail.com мне возвращается waw02s05-in-f5.1e100.net. по вашей логике должно было вернуться waw02s05-in-f5.1e100.net.gmail.com

[Денис Сечин]

Wexter: Или к примеру пингую корпоративный почтовый сервер, потом опрашиваю по айпишнику птр, мне возвращается XX.XX.XX.XX.volya.net мой почтовый сервер, отношения к воля.нет не имеет, как это понять?

[Wexter]

Денис Сечин: у вас странная логика. я нигде не говорил что домен должен быть waw02s05-in-f5.1e100.net.gmail.com
Возьмём пример, письмо от гугла, в нём заголовок

Received: from mail-oi0-f49.google.com (209.85.218.49) by

проверяем

$ host mail-oi0-f49.google.com
mail-oi0-f49.google.com has address 209.85.218.49
$ host -t PTR 209.85.218.49
49.218.85.209.in-addr.arpa domain name pointer mail-oi0-f49.google.com.

всё сошлось. PTR прописан правильно.
PTR НИКАК не подтверждает что этот сервер отвечает именно за почту для домена gmail.com/google.com. PTR просто подтверждает что у этого сервера не динамический адрес и его владелец может сделать соответствующую запись.
Если хотите проверять может ли этот сервер присылать письма с определённого домена - изучайте SPF, DKIM, DMARC

[Wexter]

Денис Сечин: это значит вы не можете/не прописали PTR для своего сервера, другие почтовики либо никак не отреагируют на это, либо могут расценить ваш сервер как спам-сервер

[Денис Сечин]

Wexter: Как тогда гугл делает так,что мне приходит письмо от vasya@gmail.com а в оригинале письма в receidev: mail-it0-f46.google.com?

[Wexter]

Денис Сечин: Потому что в почте не PTR определяет с каких серверов может приходить почта для определённого домена. для этого есть SPF/DKIM/DMARC. PTR только подтверждает что данный ip принадлежит домену отправителя.

[Денис Сечин]

Wexter: Что читать,чтобы больше не задавать таких вопросов?

[Wexter]

Денис Сечин: google://spf google://dkim google://dmarc

[Денис Сечин]

Wexter: Спасибо, за ответы!

Answer 3

[Sanes]

С чего вы решили, что gmail.com всегда отвечает с одного IP?

C:\Users\>ping gmail.com

Обмен пакетами с gmail.com [173.194.122.246] с 32 байтами данных:
Ответ от 173.194.122.246: число байт=32 время=80мс TTL=54

Comments

[Денис Сечин]

Sanes При чем здесь какой серв гугла отвечает? у меня вопрос о ptr записи сервера

[Sanes]

Денис Сечин: Вот и я не понимаю. Нафига вы его пингуете?

[Денис Сечин]

Sanes: Чтобы по айпи спросить prt

[Sanes]

Денис Сечин: разные IP. Я же вам показал это. Через час уже другой IP отвечает.

[Денис Сечин]

Хорошо, допустим я пингую почтовый сервер поменьше, с одним айпи, там такая же ситуация в записи птр другой домен

[Sanes]

Денис Сечин: И что? Домен может быть любой.
https://www.mail-tester.com/web-0e0m3
См. раздел Проверка подлинности.

[Денис Сечин]

Sanes: Спс, очень помогли...

[Sanes]

Денис Сечин: Прежде, чем иронизировать, ознакомьтесь с тестом.

[Денис Сечин]

Sanes: Мне не нужен тест, мне нужно все сделать руками, чтобы понять процесс.

[Sanes]

Денис Сечин: Ну так сделайте. Там все написано.