Ответы пользователя по тегу Система доменных имен
  • Проблема с отправко и получением почты на домен, как исправить?

    У вас одновременно есть CNAME и A запись для mail, стандартом это недопустимо (CNAME не должен сочетаться с любым другим типом записи), оставьте что-то одно (удалите CNAME).

    У вас 3(!) SPF политики для основного домена. Это недопустимо, такой SPF считается невалидным, оставьте одну.
    "v=spf1 ip4:88.198.230.107 ~all"
    Ответ написан
    Комментировать
  • Правильные настройки SPF в случае если домен почтового сервера и отправителя отличаются?

    Настраивать SPF нужно для домена который используется в envelope-from, обычно в полученном письме этот адрес виден как reuturn-path. Если он совпадет с info@company.com, то публиковать SPF надо для него, но указть IP-адрес (или адреса) сервера

    company.com. TXT "v=spf1 ip4:1.2.3.4 ~all"

    где 1.2.3.4 - адрес сервера. Можно использовать и конструкцию

    company.com. TXT "v=spf1 a:mail.server.com ~all"
    но предпочтительней использовать IP-адреса.
    Ответ написан
    Комментировать
  • Как настроить Vestacp, если письма попадают в спам?

    Чтобы использовать для shop.kttsoft.tk отдельную DNS-зону, в зоне kttsoft.tk необходимо добавить DNS-записи

    shop.kttsoft.tk. NS  ns1.shop.kttsoft.tk.
    ns1.shop.kttsoft.tk. A 159.65.125.18


    либо прописывать все записи в самой зоне kttsoft.tk, иначе вашу зону не видно.

    P.S. а еще вам надо у хостера прописать PTR для 159.65.125.18.

    P.P.S. но даже если вы все сделаете правильно - не факт что ваши письма перестанут попадать в спам. Не стоит под что-то серьезное, тем более магазин, регистрировать домен в бесплатной зоне.
    Ответ написан
    2 комментария
  • Зачем IT гиганты используют много несвязанных доменов?

    Поместив HTML, XML, SVG и т.д. и т.п. файл на домене usercontent.google.com можно
    манипулировать куками домена google.com и фишить. Поэтому пользовательский контент всегда отдается с отдельных sandbox-доменов.
    Так же с отдельных доменов обычно отдается статический контент, это позволяет использовать CDN и упрощает управление кэшированием.
    Отдельный домен обычно используется для PTR-записей (например 1e100.net). Для PTR часто нужна двойная валидация, т.е. PTR должна разрешаться в имя и имя обратно в тот же IP. При этом на одном IP может хоститься много доменов и быть установлено много сертификатов, включая вайлдкарды. И наоборот, один домен может хоститься на многих IP. Чтобы исключить прямое обращение к хосту по "неожиданному" для него имени в своем домене, обычно используются PTR записи в нейтральном домене. Кстати исторически принято использовать именно домены в .net. Google так же использует 1e100.net как нейтральный домен для подписи транзитных писем, раньше для этого использовался собственно домен google.com и это приводило к забавному багу, позволявшему подделывать подписи на письмах от google.com, я рассказывал о нем на PHDays 2014.
    Географические домены исторически используют для организации региональных датацентов и ускорения доступа, например yahoo.jp физически расположен в Японии.
    Ответ написан
    6 комментариев
  • Как добавить запись в DNS роутера?

    По описанию, ваша проблема не имеет отношения к DNS, т.к. она не в том, что имя не резолвится, а в том что где-то маршрута не хватает.
    И ответ: таки добавлять маршруты. Но делать это не обязательно руками, можно использовать OSPF, например.
    Ответ написан
    Комментировать
  • Почему не работает dns сервер?

    Домен dprogertest.com вы не зерагистрировали, поэтому кроме DNS-сервера хостящего эту зону, т.е. 95.213.191.251 об этом домене никто ничего не знает. Вы используете для резолвинга 188.93.16.19 который об этом домене ничего не знает. Чтобы резолвить имя именно через 95.213.191.251, необходимо давать команду
    nslookup dprogertest.com 95.213.191.251
    Ответ написан
    3 комментария
  • Как совместить DMARC от почты находящейся на Gmail и сервиса Mailchimp?

    Необходимо сделать две вещи:
    1. Прописать в SPF include'ами SPF-политики Mailchimp и Gmail:
    https://habrahabr.ru/company/mailru/blog/338700/
    2. Завести отдельный DKIM-селектор для Mailchimp, сгенерировать ключевую пару DKIM, публичный ключ опубликовать в DNS с данным селектором, приватный ключ прописать его в Mailchimp для рассылок
    Ответ написан
    Комментировать
  • Как правильно указать SPF-запись для отправки Яндекс.ПДД с сайта?

    5.45.198.249 в _spf.yandex.net попадает (но лучше использовать _spf.yandex.ru - это сэкономит одно лишнее разрешение имени).
    https://mxtoolbox.com/SuperTool.aspx?action=spf%3a...

    Скорей всего, либо вы недавно обновили SPF-записи и mail-tester.com использует кэшированную, или по какой-то причине она не обновилась, например забыли serial number увеличить.
    Ответ написан
    Комментировать
  • Как можно резолвить netbios имена (широковещательные) через dns (wins)?

    Не надо так делать. Windows начиная с Windows 2000 использует DNS как основной способ регистрации имен, WINS вообще не используется по умолчанию в последних версиях Windows.
    Для регистрации в DNS используется основной суффикс или суффикс сетевого подключения. Основной суффикс конфигурируется в свойствах компьютера, там же где имя. Для компьютеров домена основным суффиксом является имя домена. Суффикс подключения конфигурируется в настройках TCP/IP в свойствах сетевого адаптера + его можно отдать по DHCP.
    Если у вас нет домена, то необходимо разрешить динамическую регистрацию в DNS-зоне без авторизации. Разумеется, зона должна быть внутренней, не должна светиться в интернет.
    Ответ написан
  • Сколько dns запросов делает браузер?

    Если у вас отключена поддержка IPv6 будет запрашиваться только A. Если не отключена, то, в зависимости от браузера и настроек ОС, возможно 3 варианта:
    1. Будет запрашиваться A и в случае неуспеха AAA (фолбек на IPv6)
    2. Будет запрашиваться AAA и в случае неуспеха A (фолбек на IPv4)
    3. Всегда будет запрашиваться A и AAA.

    P.S. host выводит все найденные A, AAA и MX записи. Если выводит только A - значит других нет.
    Ответ написан
    Комментировать
  • Несколько SPF записей, как корректно записать?

    "v=spf1 include:spf.mailigen.com include:spf.leadersend.com include:_spf.yandex.net ~all"
    MX можете тоже добавить, если он реально нужен. Если не нужен - не надо, это приводит к лишним разрешениям имен и можно выбраться за лимит разрешений имен в SPF (10).
    Ответ написан
    2 комментария
  • Как создать Mutiple PTR records для mail server?

    Не нужно создавать множественные PTR, PTR достаточно одного. Главное чтобы имя, которое содержится в PTR разрешалось обратно в тот же адрес, и не было похоже на динамическое (не содержало кучи циферок, например), в идеале чтобы содержало слово mx или mail и желательно, чтобы PTR совпадал с доменом, который ваш сервер использует в HELO/EHLO.
    Ответ написан
    2 комментария
  • Как определить днс адреса через прокси?

    "отправлять dns запросы через proxy.." это видимо плохой перевод, потому что, на самом деле, никакой dns-запрос при этом не отправляется, просто в прокси в запросе на DNS-подключение вместо IP-адреса уходит имя. Клиент при этом не получает ответа с адресом сервера, прокси сервер сам обрабатывает подключение.

    Можно пустить DNS-трафик через прокси, например с примерно такой конфигурацией 3proxy

    auth iponly
    nscache 65536
    nserver 127.0.0.1:5353/tcp

    dnspr -i127.0.0.1
    flush
    allow *
    parent 1000 socks ip_of_the_socks port_of_the_socks login password
    tcppm -i127.0.0.1 5353 8.8.8.8 53

    будет DNS-резолвер на 53м порту перенаправляющий DNS-запросы в DNS гугла через родительский прокси. Но работать будет медленно, разумеется.
    Ответ написан
  • Фильтрация DNS трафика через Socks5?

    1. Если у вас стоит в SOCKS-клиенте опция разрешать имена через SOCKS, то никакой UDP-трафик не ходит, просто сокс-клиент вместо IPv4/IPv6 адреса передает серверу имя и сервер сам его разрешает. Разграничить доступ по именам при этом можно и не представляет проблем.
    2. Если эта опция в SOCKS-клиенте не стоит, то DNS-запросы вообще в прокси не попадают, скорее всего даже при использовании соксификатора.
    3. 3proxy умеет фильтровать любой трафик, в т.ч. UDP, но для того, чтобы дать доступ по именам хостов этого не требуется
    4. 3proxy поддерживает разрешение имен по TCP (DNS-серверы поддерживают не только UDP но и TCP). В т.ч. не сложно пустить DNS-запросы (именно полноценные DNS-запросы) через родительский прокси по TCP. Пускать их по UDP через родительский прокси большого смысла нет, т.к. управляющее подключение к прокси при этом все равно устанавливается по TCP.
    5. 3proxy имеет службу DNS proxy (dnspr), которая позволяет разрешать/блокировать DNS-запросы по доменам. Можно пустить DNS через эту службу и сделать так, чтобы до провайдера эти запросы никогда не доходили.

    Что из этого вам надо или не надо я не представляю, т.к. вместо того, чтобы описать задачу вы описали ваши представления, которые не корректны и ваш вопрос исходит из кучи неверных предпосылок и проблема из него не понятна.
    Ответ написан
    8 комментариев
  • PublicSuffix.org -- там прямо все TLD есть?

    publicsuffix.org это не TLD, это список доменов, в которых возможна регистрация поддоменов разными организациями, и регистрация в этом списке добровольна, соответственно его полноту никто не гарантирует.
    Его основное назначение - использовать в браузерах как границу для передачи cookie. Т.е. между поддоменами доменов в этом списке передавать куки нельзя, т.к. они могут принадлежать разным организациям. Так же он используется для выделения организационных доменов DMARC, например.
    Можно ли его использовать в продакшн для ваших целей зависит от ваших целей. Если они совпадают с назначением списка - то можно.
    Ответ написан
    Комментировать
  • Как работает днс?

    Разрешение DNS происходит примерно следующим образом:
    локальный резолвер + кэш -> рекурсивный резолвер (DNS-сервер провайдера, прописанный в свойствах соединения или DNS-сервер гугла) -> сервер зоны (на котором вы производили изменения).
    При этом и локальный резолвер и рекурсивный резолвер провайдера могут кэшировать предыдущие ответы, поэтому изменения не видны сразу. Время кэширования определяется параметром TTL, который можно выставить по дефолту для зоны или отдельный для каждой записи. Перед изменением записей TTL обычно снижают заблаговременно, чтобы новые записи быстрей заработали.
    Чтобы вы не делали с локальным компьютером, это не повлияет на кэш рекурсивного резолвера.
    Однако, есть еще локальный кэш, который, как правило, кэширует ответы на небольшое время не зависящее от TTL. Он действительно может сбрасываться при переустановке соединения. Однако гораздо проще это делать командой
    на Windows
    ipconfig /flushdns
    на Linux
    nscd -i
    Как правило, это помогает в случаях корпоративного DNS, при изменениях в корпоравтиной зоне, когда функции сервера зоны и рекурсивного резолвера выполняет один и тот же сервер, поэтому рекурсивный сервер не кэширует разрешаемую запись а отдает ее непосредственно из зоны, и кэширование происходит только в локальном резолвере.
    Ответ написан
    1 комментарий
  • Кто присунул яндексу NS?

    Это нормальная практика - разводить DNS-серверы по разным сетям, в случае потери сетевой связанности адрес все равно будет разрешаться. А сетевая связанность может теряться не только из-за технических сбоев, но и из-за событий на Украине, например. То, что адрес вынесен в отдельный домен, позволяет быстро его сменить, не дожидаясь обновления зоны .ru, которое происходит всего несколько раз в сутки.
    Ответ написан
  • Почему nslookup на внешнии сайты дописывает суффикс домена организации?

    По умолчанию к запросам добавляются суффксы https://s.mail.ru/4EMD/KDvNC7LKC. Чтобы они не добавлялись, либо отключите опцию в настройках TCP/IP для соединения, либо ставьте точку после домена:
    nslookup ya.ru.
    точка в данном случае означает что запрос надо делать к корневому домену без добавления суффиксов.
    Однако проихсодит это из-за того, что имя не разрешается в течении минимального таймаута. Т.е. задержка с разрешением имен является причиной, а не следствием такого поведения. Откуда возникает задержка - ищите в конфигурации сервера DNS, возможно, например, у вас там некорректно сконфигурирован smart host.
    Ответ написан
    Комментировать
  • Ни у кого последнее время нет проблем с 8.8.8.8?

    Публичные DNS-серверы рассчитаны на индивидуальное использование и имеют достаточно жесткие рейтлимиты и ограничения на флуд, скорей всего вы упираетесь в лимиты или защиту от флуда. Используйте собственный DNS кэш/рекурсор.
    Ответ написан
    Комментировать
  • Как загрузить базу подписчиков в Mailchimp?

    Mailchimp считает последнее добавление к вашей базе слишком "грязным", на это может указывать наличие стоп-адресов, служебных адресов, неработающих адресов, адресов-ловушек и т.д. либо она просто совпадает с какой-то известной базой используемой спамерами. Вы, конечно, можете попробовать их почистить, например отвалидировать адреса и выкинуть ролевые. Но скорей всего, проблема не в Mailchimp, а в вашей базе и способе ее получения. Делайте рассылки только на тех пользователей которые однозначно подписывались сами, используйте double opt-in. Если не было double opt-in - из текущей базы исключите всех пользователей, у которых есть хоть какие-то подозрения на то, что это не реальные пользователи, например оставьте только тех, по которым есть транзакции.
    Ответ написан