Как исправить ошибку «Обратный DNS не соответствует баннеру SMTP»
Последнее обновление:
7 Время чтения: 7 минут
Ключевые выводы
- Обратный DNS (записи PTR) должен совпадать с именем хоста, используемым в вашем SMTP-баннере (HELO/EHLO).
- Несоответствие между записями PTR и баннерами SMTP запускает спам-фильтры и снижает вероятность доставки в папку «Входящие».
- Большинство почтовых провайдеров требуют для обеспечения доверия обратный DNS с подтверждением переадресации (FCrDNS).
- Имя хоста вашего почтового сервера должно быть полным доменным именем (FQDN).
- Баннер SMTP, запись PTR и запись A должны разрешаться в один и тот же IP-адрес.
- Поставщики облачных VPS часто назначают записи PTR по умолчанию, которые необходимо обновлять вручную.
- Проблемы с обратным DNS могут привести к ограничению пропускной способности или отклонению до оценки DMARC.
- Правильная настройка rDNS усиливает эффективность SPF, DKIM и DMARC.
- Регулярные проверки предотвращают скрытые сбои в доставке, вызванные смещением DNS.
Если вы управляете собственным почтовым сервером, во время тестирования доставки электронной почты вы, вероятно, столкнетесь с ошибкой «Обратный DNS не соответствует баннеру SMTP». Это предупреждение не является косметическим. Игнорирование его напрямую вредит доверию к электронной почте, увеличивает фильтрацию спама и может привести к тому, что крупные провайдеры, такие как Gmail и Outlook, будут полностью отклонять ваши сообщения.
Обратный DNS действует как удостоверение личности вашего сервера, а баннер SMTP — как его рукопожатие. Когда эти два идентификатора не совпадают, принимающие серверы рассматривают вашу почту как подозрительную. Это несовпадение сигнализирует о плохой гигиене сервера и является характерной чертой спам-инфраструктуры.
Что означает «Обратный DNS не соответствует баннеру SMTP»?
«Обратный DNS не совпадает с баннером SMTP» означает, что имя хоста, связанное с вашим IP-адресом отправки (обратный DNS или запись PTR), не совпадает с именем хоста, которое ваш почтовый сервер объявляет в своем приветствии SMTP (HELO/EHLO). Когда они не совпадают, принимающие почтовые серверы считают соединение ненадежным и могут пометить или заблокировать ваши электронные письма.
Считайте это процессом проверки между двумя серверами.
Обратный DNS
Стандартный DNS преобразует доменное имя в IP-адрес. Обратный DNS делает обратное: он просматривает IP-адрес и спрашивает: «Какое имя к нему привязано?». Эту задачу выполняет запись PTR.
SMTP-баннер (HELO/EHLO)
Когда ваш сервер инициирует соединение с другим сервером, он представляется с помощью приветствия, называемого SMTP-баннером. Это приветствие включает в себя имя хоста (например, mail.example.com).
Сравнение
Когда приходит ваше электронное письмо, принимающий сервер проверяет ваш IP-адрес и запись PTR. Если в записи PTR указано server1.isp-provider.net, а в баннере SMTP — mail.yourdomain.com, то возникает несоответствие.
Краткий пример:
- IP-адрес: 1.2.3.4
- SMTP-баннер: mail.business.com
- Запись PTR (обратный DNS): 1-2-3-4.dynamic.cloudhost.com
- Результат: Ошибка! Идентификаторы не совпадают.
| Компонент | Пример (проход) | Пример (неудачный) |
|---|---|---|
| IP-адрес | 1.2.3.4 | 1.2.3.4 |
| Запись PTR | mail.example.com | host-1-2-3-4.isp.net |
| SMTP-баннер | mail.example.com | mail.example.com |
| Запись | mail.example.com → 1.2.3.4 | mail.example.com → 1.2.3.4 |
| Результат | СОВПАДЕНИЕ / НАДЕЖНОСТЬ | НЕСООТВЕТСТВИЕ / СПАМ |
Почему эта ошибка важна для доставки электронной почты
Почтовые серверы-получатели используют эту проверку как быстрый способ выявления спамеров.
1. Триггеры спам-фильтра
Спамеры часто используют не настроенные серверы или ботнеты. Одно из первых, что отмечает спам-фильтр, — это общее или несоответствующее имя хоста.
2. Репутация и доверие
Крупные интернет-провайдеры отдают приоритет обратному DNS с подтверждением переадресации. Это означает, что ваш IP-адрес указывает на имя, а это имя указывает на тот же IP-адрес. Если у вас этого нет, ваш «рейтинг доверия» резко падает.
3. Сигналы аутентификации
Хотя технически они отделены от SPF, DKIM и DMARC, rDNS является частью «общей картины» работоспособности сервера. Если ваше базовое соединение нестабильно, вашей политики DMARC может оказаться недостаточно для сохранения вашей репутации.
Распространенные причины несоответствия
Вот некоторые распространенные причины несоответствия.
Имена хостов облака по умолчанию
Вы используете VPS и не изменили стандартную запись PTR, назначенную провайдером.
Забыв конфигурацию MTA
Вы обновили записи DNS, но забыли обновить фактические настройки в почтовой программе.
Виртуальный хостинг
Вы используете общий IP-адрес, для которого провайдер установил PTR на свой основной домен, а не на ваш.
Вопросы владения интеллектуальной собственностью
У вас нет разрешения на изменение записи PTR, поскольку IP-адрес управляется интернет-провайдером, который не делегировал вам права управления.
Как проверить свои текущие значения
Прежде чем начинать менять настройки, нужно посмотреть, что видит остальной мир.
1. Проверьте запись PTR.
Запустите быструю команду в терминале, чтобы увидеть, какое имя хоста привязано к вашему IP:
- Mac/Linux: dig -x [Ваш_IP_адрес]
- Windows: nslookup [Ваш_IP_адрес]
2. Проверьте баннер SMTP
Используйте Telnet или OpenSSL, чтобы увидеть, как ваш сервер приветствует других. В первой строке ответа будет отображаться имя хоста вашего SMTP-баннера.
3. Используйте централизованный инструмент
Проверка вручную – это хорошо, но такие инструменты, как PowerDMARC’s DNS Record Lookup могут показать вам, как ваши PTR- и A-записи выглядят в глобальном масштабе, чтобы убедиться, что нет «задержки DNS», которая дает ложные результаты.
Как исправить ошибку «Обратный DNS не соответствует баннеру SMTP» шаг за шагом
Вот несколько важных шагов, которые необходимо выполнить для устранения ошибки.
Шаг 1: Определите IP-адрес отправителя
Уточните точный публичный IP-адрес, который использует ваш почтовый сервер для отправки писем. Если вы находитесь за брандмауэром, NAT или прокси-сервером, он может отличаться от IP-адреса вашего локального сервера.
Шаг 2: Исправьте запись PTR
Это та часть, на которой застревают большинство людей. Обычно вы не можете изменить это в панели DNS вашего домена. Вы должны сделать это через компанию, которая владеет IP-адресом.
- Облачный VPS: перейдите в панель управления вашего провайдера (раздел «Сеть/Статический IP») и найдите «Обратный DNS» или «PTR».
- Выделенный/локальный: Возможно, вам потребуется открыть заявку на поддержку у вашего интернет-провайдера.
- Цель: установить PTR на полное доменное имя.
Шаг 3: Обновите баннер SMTP (HELO/EHLO)
Теперь убедитесь, что ваш сервер знает свое имя. Многие почтовые серверы используют шаблон баннера по умолчанию для приветствия SMTP, поэтому вам необходимо настроить агент передачи почты так, чтобы он объявлял то же полное доменное имя, которое вы установили в шаге 2.
- Postfix: Отредактируйте файл /etc/postfix/main.cf и обновите myhostname = mail.example.com.
- Exim: Обновите primary_hostname в вашем конфигурационном файле.
- После внесения изменений перезапустите службу!
Шаг 4: Убедитесь, что прямой DNS совпадает
Имя хоста, которое вы использовали в шагах 2 и 3, также должно иметь запись A , указывающую на ваш IP-адрес. Когда PTR указывает на имя, а имя указывает на IP, вы получаете Forward-Confirmed Reverse DNS (FCrDNS).
Лучшие практики для предотвращения ошибок обратного DNS
Следуйте этим рекомендациям, чтобы избежать ошибок обратного DNS.
Один IP-адрес на одно доменное имя
По возможности, придерживайтесь единого формата именования почтовых адресов (например, mail1.domain.com).
Избегайте общих названий
Никогда не оставляйте свой rDNS в виде static.123.45.clients.provider.com.
Регулярные аудиты
Используйте автоматизированные инструменты для мониторинга вашей инфраструктуры. PowerDMARC, например, предлагает мониторинг в режиме реального времени, который может предупредить вас, если ваши записи не совпадают или если ваш IP-адрес попадает в черный список.
Совместить с аутентификацией
Убедитесь, что обратное DNS-имя хоста включено в вашу запись SPF, чтобы предотвратить «мягкие» сбои.
Как эта ошибка связана с DMARC и аутентификацией электронной почты
В то время как DMARC фокусируется на целостности сообщения, обратный DNS и SMTP-баннер фокусируются на целостности соединения. Представьте себе два уровня безопасности: один для посылки, а другой для грузовика, доставляющего ее.
Вот как несоответствие подрывает вашу общую стратегию аутентификации:
Приоритет оценки
Большинство принимающих серверов выполняют проверку «рукопожатия» еще до того, как они просматривают ваши записи DMARC или DKIM. Если ваш rDNS и баннер не совпадают, ваша электронная почта может быть ограничена или отклонена на шлюзе еще до того, как ваша политика DMARC «Отклонить» даже получит шанс доказать, что сообщение является легитимным.
Сигнал «Профессионализм»
Фильтры безопасности используют выравнивание rDNS в качестве индикатора работоспособности сервера. Несоответствие указывает на плохую настройку или взлом сервера, что типично для ботнетов, и может привести к снижению рейтинга репутации, независимо от того, насколько идеальны ваши записи SPF.
Соответствие FCrDNS
Крупные интернет-провайдеры часто требуют подтвержденный обратный DNS в качестве базового критерия доверия. Если ваш SMTP-баннер не синхронизирован с вашими PTR- и A-записями, вы не пройдете эту проверку, в результате чего ваши электронные письма, соответствующие DMARC, будут выглядеть подозрительно.
Невидимые сбои
Без такой платформы, как PowerDMARC, эти пробелы в инфраструктуре часто остаются незамеченными. Хотя стандартные проверки DNS могут показать, что ваши записи «активны», они не всегда сообщают, как шлюз получателя интерпретирует несоответствие между вашим баннером и вашим IP-адресом.
Как PowerDMARC автоматизирует выравнивание rDNS и SMTP
Ручная проверка команд терминала и вход в различные панели управления VPS может быть трудоемким процессом и подверженным человеческим ошибкам. PowerDMARC предоставляет централизованный набор инструментов, предназначенных для обеспечения постоянной действительности и доверия к «рукопожатию» вашего сервера со стороны глобальных интернет-провайдеров.
1. Проверка PTR и FCrDNS в режиме реального времени
Наш инструмент поиска записей DNS выходит за рамки базовых проверок. Он проверяет FCrDNS, одновременно проверяя вашу запись PTR и убеждаясь, что итоговое имя хоста указывает на ваш IP-адрес отправителя. Это помогает вам выявить «неполностью настроенные» конфигурации, в которых PTR существует, но не согласован с записью A.
2. Проактивный мониторинг и оповещения
Происходит смещение DNS, поставщики облачных услуг иногда сбрасывают записи или переназначают диапазоны IP-адресов. Сервисы мониторинга репутации отслеживают вашу инфраструктуру круглосуточно. Если выравнивание rDNS нарушается или IP-адрес вашего сервера внезапно попадает в черный список из-за ошибки конфигурации, вы получите предупреждение до того, как показатели доставляемости начнут снижаться.
3. Комплексная панель управления доставкой
В то время как rDNS обрабатывает уровень соединения, PowerDMARC связывает эти данные с производительностью SPF, DKIM и DMARC. Просматривая сводные отчеты RUA, вы можете увидеть, сталкиваются ли определенные IP-адреса с высоким уровнем отклонения со стороны Gmail или Outlook, что поможет вам отследить проблемы с доставкой до несовпадающих SMTP-баннеров.
Окончательный контрольный список
- Запись PTR соответствует баннеру SMTP.
- Баннер SMTP соответствует прямой DNS (запись A).
- Репутация IP-адреса хорошая (нет в черных списках).
- SPF, DKIM и DMARC полностью настроены и согласованы.
Подведение итогов
В конце концов, электронная почта – это вопрос доверия. Если ваш IP-адрес и приветствие сервера не совпадают, вам будет сложно попасть в папку «Входящие». Согласование ваших записей – это не просто «лучшая практика», это необходимость, если вы хотите, чтобы ваши письма действительно читали.
Такие ошибки инфраструктуры может быть сложно отследить. PowerDMARC упрощает задачу, отслеживая ваши настройки и предоставляя вам четкие отчеты о том, что работает, а что нет. Он обнаруживает эти пробелы в конфигурации, прежде чем они превратятся в кошмар с доставкой.
Попробуйте бесплатную пробную версию PowerDMARC и посмотрите, как ваши серверы выглядят для остального мира.
Часто задаваемые вопросы
Могу ли я исправить запись PTR в своем регистраторе домена?
Нет. Записи PTR привязаны к IP-адресу. Вам нужно обратиться к своему хостинг-провайдеру или интернет-провайдеру.
Будет ли DMARC работать из-за этого?
Не обязательно, но вас все равно могут заблокировать. Многие фильтры проверяют баннер «handshake» еще до того, как они посмотрят ваши записи DMARC.
Почему ошибка все еще присутствует после того, как я ее исправил?
Распространение DNS. Распространение новых записей по Интернету может занять до 24 часов.
Что делать, если у меня несколько доменов на одном IP?
Не беспокойтесь, это очень распространенная ситуация. Вам не нужно создавать отдельный баннер для каждого домена. Просто выберите одно «главное» имя для вашего сервера и убедитесь, что ваши PTR, SMTP-баннер и A-запись указывают на это имя. Если они совпадают, другие домены, отправляющие сообщения с этого IP, будут работать нормально.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.
Последние сообщения Юнеса Тарады (см. все)
