Domain-Name-System

我應該為反向 DNS PTR 記錄使用什麼域?

  • October 1, 2011

如果設置郵件伺服器。用於 IP 的 PTR 記錄的最佳域是什麼?

通常使用“mail.domain.com”還是只使用“domain.com”更好?

我了解如果設置了 PTR 記錄,某些郵件提供商會嘗試從原始地址獲取 HELO 響應?因為我只從我自己的伺服器發送郵件並且是通過我的程式碼完成的,所以我認為沒有必要在 iptables 設置上打開埠 25。但似乎我可能需要讓郵件提供商做 HELO,對吧?即使我從自己的伺服器發送郵件,打開埠 25 是否有任何安全隱患?

PTR 記錄應該指向一個主機名。不要將其指向域名。如果郵件伺服器的名稱mail在 domainexample.com中,則:

mail.example.com -> 1.2.3.4
and
4.3.2.1.IN-ADDR.ARPA -> mail.example.com

大多數郵件伺服器會嘗試驗證上述關係是否正確。

當郵件伺服器連接時,它會打開與“EHLO mail.example.com”的對話。接收郵件伺服器然後檢查正向和反向查找(通常,它不是必需的,但大多數都需要)。

如果您想接收電子郵件,您必須在埠 25 上接受它,並且也必須在您的防火牆 (iptables) 中進行配置。如果您沒有在此伺服器上接收電子郵件,則不必打開埠 25(用於傳入連接)。對於郵件伺服器來說,只發送電子郵件是完全可以接受的配置。在這種情況下,最常見的是另一台伺服器處理接收域的電子郵件,但這不是必需的。您的防火牆必須允許到目標埠 25 的傳出連接。防火牆不過濾傳出連接**是很常見的(儘管在高安全性環境中很常見)。

您在防火牆上打開的每個埠都可能使您面臨新的威脅。除非您知道有必要,否則切勿打開埠。即便如此,只有在採取合理措施保護伺服器免受相關服務的常見攻擊向量後才應該這樣做。

引用自:https://serverfault.com/questions/317435