Ответы пользователя по тегу Система доменных имен
  • DKIM подпись для субдомена: почему не работает запись основного домена для субдомена?

    Для второго варианта (предпочтительней) добавьте для подомена DNS-запись с публичным ключем (mail._domainkey.subdomain.domain.com. IN TXT) аналогично родительскому домену.
    Для первого вариант вам надо поменять правило для подписи, например так.
    Ответ написан
  • Как заставить postfix перепроверять PTR-записи?

    Смотрите unknown_client_reject_code - по умолчанию он должен быть 450 и это как раз инструктирует клиента попробовать отправку позже. Если у вас 550 - должно быть вы его так прописали.

    Пропишите публичный DNS вторым резолвером, чтобы он дергался только в случае если первый не ответил.
    Ответ написан
  • Как получаются ответ на DNS запроса рекорда SRV?

    DNS сервер всегда отдает все записи запрошенного типа для данного имени, в тч все MX/SRV записи.

    _Клиентом_ выбирается MX с минимальным весом, в случае его недоступности или нефатальной ошибке отправки - с более высоким весом и тд, если у нескольких mx одинаковый вес - порядок между ними выбирается случайно. Поэтому клиенту нужны все MX записи. Примерно так же и с SRV, но там приоритет обеспечивается порядком priority и в рамках одного приоритета выбор между хоставми производится случайно, распределение вероятности задается весом. Т.е. берутся все хосты с минимальным priority и среди них выбирается случайный, но не равновероятно а в соответствии с весом (например если у одного вес 100 а у другого 200 то вероятность выбора второго вдвое выше). Плюс клиент может еще и рассматривать альтернативы между разными сервисами (например между _smtp._tcp и _smtps._tcp) или отдавать предпочтение определенному порту или сети.

    На стороне сервера может быть лишь реализован round robin - случайное перемешивание записей, при перемешивании веса и приоритеты не учитываются. round robin требуется стандартом но по факту делается не всеми, например гугловые резолверы (которые 8.8.8.8) его не делают.
    Ответ написан
    Комментировать
  • Возможно ли указать NS для домена третьего уровня?

    да, возможно. В зоне site.com надо добавить

    site2 IN NS адрес.сервера.зоны.site2.

    если адрес самого сервера NS будет в зоне site2 необходимо в зоне site.com добавить для него A-запись
    Ответ написан
    Комментировать
  • Реально ли иметь субдомен от домена без уведомления владельца домена?

    Вы (или атакующий) можете сконфигурировать себе в качестве PTR или указать в запросе к серверу любой домен/поддомен/имя, в т.ч. не существующие.
    Ответ написан
    Комментировать
  • Может ли быть такое имя домена или под домена или почты?

    1. support@питер.рус будет работать практически везде (но где-то может показываться punycode-адрес домена) при условии что при отправке домен корректно кодируется в punycode, могут быть проблемы с написанием на этот адрес у пользователей старых почтовых программ. поддержка@питер.рус будет работать только если все почтовые серверы и клиенты между отправителем и получателям поддерживают RFC6531/RFC6532, на практике такие адреса не используются и их не будут использовать в обозримом будущем, т.к. мгновенный переход всего интернета на UTF-8 невозможен, а что делать если респондент не поддерживает UTF-8 не понятно (аналога punycode для local-part нет). А вот использовать для почты домен питер.com я бы не рекомендовал, т.к. в таком домене используется mixed script и он не проходит по требованиям безопасности Unicode (aka TR39).
    2. По RFC 952/1035 имя хоста начинается с буквы и заканчивается буквой или цифрой, внутри могут быть цифры, буквы и -. RFC 1123 дополнительно разрешает начинать имя с цифры. Но технически протокол DNS поддерживает любые символы, даже 8-битные и в браузерах могут открываться даже не соответствующие стандарту имена. Но, разумеется, правильней ориентироваться на стандарт.
    3,4,5,6. С local-part все интересно, ситуация обратная. По стандарту там может быть практически все что угодно, но внутри строки в двойных кавычках (quoted-string). По факту адреса c quoted-string не используются и обычно не принимаются. Без quoted string так же очень много чего разрешено, могут быть любые цифры, буквы, символы "!" / "#" / "$" / "%" / "&" / "'" / "*" / "+" / "-" / "/" / "=" / "?" / "^" / "_" / "`" / "{" / "|" / "}" / "~" в любой последовательности так же разрешен символ "." Поэтому все ваши адреса допустимы. НО нельзя начинать и заканчивать local-part точкой и использовать две точки подряд (это в некотором роде баг стандарта RFC 2821/2822 и более поздних связанный с формализованной записью, который достаточно поздно заметили, стандарт RFC 821/822 разрешал две точки подряд). На практике использовать любые "странные" адреса относительно которых есть сомнения я бы не рекомендовал, т.к. не все, что разрешено стандартом по факту всеми принимается.
    Ответ написан
    Комментировать
  • Как направлять домен на нужый ip, если доменов 1000?

    Обычно в таких случаях делается один файл с записями, типа
    @ A 1.1.1.1
    www A 1.1.1.1

    который включается в файлы зон через include.
    Ответ написан
  • Как автоматизировать (упростить) создание новых зон в bind'е?

    Автоматизировать можно через DLZ. Можно использовать один из имеющихся драйверов или написать свой.
    Ответ написан
    Комментировать
  • Это нормально что почту регистратора можно подменить?

    Для защиты адреса отправителя от подделок используется протокол DMARC. То, возможно ли подделать адрес отправителя, зависит от того, установил ли владелец домена DMARC-политику для своего домена и какая это политика. Если политика reject - письма без авторизации приниматься не будут, quarantine - будут попадать в спам.
    Ответ написан
    Комментировать
  • Как понять где разрывается соединение?

    https://support.cloudflare.com/hc/en-us/articles/2...

    Depending on the plan your domain is subscribed to, Cloudflare limits data uploads to the following sizes:

    100MB Free
    100MB Pro
    200MB Business
    500MB Enterprise by default (contact Customer Support to request unlimited data uploads)
    Ответ написан
    Комментировать
  • Как добавить запись DNS?

    Заведите на DNS-серверах в AD отдельную зону name.test.com.
    Ответ написан
  • Куда должен смотреть PTR почтового домена?

    PTR должен совпадать с HELO/EHLO, в соответствии с RFC 5321


    o The domain name given in the EHLO command MUST be either a primary
    host name (a domain name that resolves to an address RR) or, if
    the host has no name, an address literal, as described in
    Section 4.1.3 and discussed further in the EHLO discussion of
    Section 4.1.4.


    в EHLO должен быть использован основной hostname (primary hostname).

    Требовать совпадения с MX не имеет смысла, т.к. на один сервер может указывать много MX.

    P.S.
    в соответствии с RFC 1035


    - Gateways will often have two names in separate domains, only
    one of which can be primary.


    т.е. primary name может быть один и по определению зоны in-addr.arpa

    Host addresses are represented by domain names that have all four labels
    specified. Thus data for Internet address 10.2.0.52 is located at
    domain name 52.0.2.10.IN-ADDR.ARPA. The reversal, though awkward to
    read, allows zones to be delegated which are exactly one network of
    address space. For example, 10.IN-ADDR.ARPA can be a zone containing
    data for the ARPANET, while 26.IN-ADDR.ARPA can be a separate zone for
    MILNET. Address nodes are used to hold pointers to primary host names
    in the normal domain space.


    т.е. и HELO и PTR тоже смотрят на primary host name, который у хостов имеющих имена во многих доменах может быть только один (даже если у них несколько IP-адресов).
    Ответ написан
    1 комментарий
  • Как яндекс почта определяет зеленый или серый замок?

    Так написано же, видимо, у адреса info@ есть накопленная репутация или он прошел ручную валидацию, адрес sales@ очевидно более новый.
    Ответ написан
  • Чтобы не утекали DNS-запрос, разрешать имена надо через прокси как это сделать?

    Обычно, поставить в SOCKS-клиенте соответствующую галочку, или правильно выбрать тип SOCKS-прокси, например для cURL –socks5-hostname вместо --socks5.

    P.S. Вообще не обязательно один вопрос задавать в трех разных местах. Обычно достаточно спросить в одном месте, описав по-хорошему свою конфигурацию.
    Ответ написан
    Комментировать
  • Как направить через тор только определенные запросы?

    Можно поднять 3proxy с transparent plugin'ом

    https://3proxy.ru/plugins/TransparentPlugin/

    трафик редиректить в порт 3proxy, в качестве parent прописать socks5+ tor'а.
    Ответ написан
    Комментировать
  • Как настроить домен для собственного сервера?

    Чтобы поднять свой сервер, вам необходимо 3 услуги:
    1. Регистрация / продление домена (ее вы получили в nic.ru)
    2. Хостинг DNS-зоны
    3. Хостинг сайта (ее вы обеспечите себе сами)

    хостинг DNS-зоны можно получить бесплатно, например в https://connect.yandex.ru/ https://biz.mail.ru (вместе с бесплатным хостингом почты для вашего домена) или Cloudflare (с бесплатным проксированием трафик и SSL сертификатами) либо на специализированных сервисах (поищите по free DNS hosting).

    Как вариант, вы можете поднять DNS-сервер у себя и прописать его в nic.ru.
    Ответ написан
    Комментировать
  • Как настроить А-record на выделеном сервере?

    Регистрация доменного имени, хостинг DNS-зоны и хостинг сервера это три независимые вещи, можно хостить DNS-зону у одного хостера или регистратора а сам сервер хостить у другого. Управлять записями в DNS-зоне, включая A-запись вашего сервера нужно там, где она реально хостится.

    Вам нужно
    1. Разобраться на какой DNS сервер смотрят NS-записи для вашего домена у регистратора домена, это можно сделать по whois. Именно по ним весь мир ищет записи в вашей DNS-зоне. Если указывают не туда, то поменять NS-записи можно у регистратора домена (не у хостера DNS-зоны и тем более не у хостера вашего сервера, если только вы не хостите доменную зону у регистратора).
    2. Убедиться что NS-записи в вашей зоне совпадают с теми что прописаны у регистратора. Если не совпадают или указывают не туда куда нужно - нужно поменять либо в зоне, либо у регистратора (они так же должны указывать на того провайдера, на котором вы управляете своей DNS-зоной и должны совпадать с NS-записями у регистратора).
    3. В зоне DNS надо прописать или исправить A-запись для вашего сервера чтобы она соответствовала его новому IP адресу.
    Ответ написан
    Комментировать
  • Как в yandex dns установить TXT запись длинее 255 символов?

    Видимо никак, разбивать на 2 записи DKIM нельзя, это в явном виде запрещено в стандарте (запись для селектора должна быть одна) можно делать одну запись из нескольких текстовых строк

    s._domainkey TXT "abc" "def"

    Если интерфейс этого не позволяет - то вы так не сделаете.
    Используйте 1024-битный ключ, на текущий момент это вполне достаточно для DKIM и гарантировано не вызывает проблем. Либо обратитесь в сапппорт с просьбой добавить возможность добавлять TXT-записи из нескольких строк.
    Ответ написан
    1 комментарий
  • Проблема с отправко и получением почты на домен, как исправить?

    У вас одновременно есть CNAME и A запись для mail, стандартом это недопустимо (CNAME не должен сочетаться с любым другим типом записи), оставьте что-то одно (удалите CNAME).

    У вас 3(!) SPF политики для основного домена. Это недопустимо, такой SPF считается невалидным, оставьте одну.
    "v=spf1 ip4:88.198.230.107 ~all"
    Ответ написан
    Комментировать
  • Правильные настройки SPF в случае если домен почтового сервера и отправителя отличаются?

    Настраивать SPF нужно для домена который используется в envelope-from, обычно в полученном письме этот адрес виден как reuturn-path. Если он совпадет с info@company.com, то публиковать SPF надо для него, но указть IP-адрес (или адреса) сервера

    company.com. TXT "v=spf1 ip4:1.2.3.4 ~all"

    где 1.2.3.4 - адрес сервера. Можно использовать и конструкцию

    company.com. TXT "v=spf1 a:mail.server.com ~all"
    но предпочтительней использовать IP-адреса.
    Ответ написан
    Комментировать