DNS Reverso

Colaboração: Carlos E. Morimoto

Data de Publicação: 08 de Maio de 2006

O DNS reverso é um recurso que permite que outros servidores verifiquem a autenticidade do seu servidor, checando se o endereço IP atual bate com o endereço IP informado pelo servidor DNS. Isso evita que alguém utilize um domínio que não lhe pertence para enviar spam, por exemplo.

Qualquer um pode enviar e-mails colocando no campo do remetente o servidor do seu domínio, mas um servidor configurado para checar o DNS reverso vai descobrir a farsa e classificar os e-mails forjados como spam.

O problema é que os mesmos servidores vão recusar seus e-mails, ou classificá-los como spam caso você não configure seu servidor DNS corretamente para responder às checagens de DNS reverso. Chegamos a um ponto em que o problema do spam é tão severo, que quase todos os servidores importantes fazem esta checagem, fazendo com que, sem a configuração, literalmente metade dos seus e-mails não sejam entregues.

O primeiro passo é checar os arquivos /etc/hostname e /etc/hosts (no servidor), que devem conter o nome da máquina e o domínio registrado.

O arquivo /etc/hostname deve conter apenas o nome da máquina, como em: servidor

No Fedora e em algumas outras distribuições, o nome da máquina vai dentro do arquivo /etc/sysconfig/network.

No arquivo /etc/hosts deve conter duas entradas, uma para a interface de loopback, o 127.0.0.1, e outra para o IP de internet do seu servidor, que está vinculado ao domínio, como em:

  127.0.0.1 localhost.localdomain localhost
  64.234.23.12 servidor.kurumin.com.br servidor

A partir daí, falta adicionar a zona reversa no bind complementando a configuração do domínio, que já fizemos. Começamos adicionando a entrada no /etc/bind/named.conf ou /etc/bind/named.conf.local:

  zone "23.234.64.in-addr.arpa" {
       type master;
            file "/etc/bind/db.kurumin.rev";
    };

No nosso exemplo, o endereço IP do servidor é 64.234.23.12. Se retiramos o último octeto e escrevemos o restante do endereço de trás pra frente, temos justamente o 23.234.64 que usamos no registro reverso. A terceira linha indica o arquivo onde a configuração do domínio reverso será salva. Neste caso indiquei o arquivo db.kurumin.rev, mas você pode usar qualquer nome de arquivo.

Este arquivo db.kurumin.rev é bem similar ao arquivo com a configuração do domínio, que acabamos de configurar. As três linhas iniciais são idênticas (incluindo o número de sincronismo), mas ao invés de usar o A para relacionar o domínio e cada subdomínio ao IP correspondente, usamos a diretiva PTR para relacionar o endereço IP de cada servidor ao domínio (é justamente por isso que chamamos de DNS reverso ;).

No primeiro arquivo, usamos apenas os três primeiros octetos do endereço (a parte referente à rede), removendo o octeto final (o endereço do servidor dentro da rede). Agora, usamos apenas o número omitido da primeira vez.

O IP do servidor é 64.234.23.12, removendo os três primeiros octetos ficamos apenas com o 12. Temos também o endereço do DNS secundário, que é 64.234.23.13, de onde usamos apenas o 13. Relacionando os dois a seus respectivos domínios, o arquivo fica:

  @IN SOAservidor.kurumin.com.br. hostmaster.kurumin.com.br. (
    2006040645 3H 15M 1W 1D )
  NS servidor.kurumin.com.br.
  NS ns1.kurumin.com.br.
  12PTRkurumin.com.br.
  13PTRns1.kurumin.com.br.

Caso você não esteja usando um DNS secundário, é só omitir as linhas referentes a ele, como em:

  @IN SOAservidor.kurumin.com.br. hostmaster.kurumin.com.br. (
  2006040645 3H 15M 1W 1D )
  NS servidor.kurumin.com.br.
  12PTRkurumin.com.br.

Depois de terminar, reinicie o Bind e verifique usando o dig. Comece checando o domínio, como em:

  # dig kurumin.com.br

Na resposta, procure pela seção ANSWER SECTION, que deverá conter o IP do servidor, como configurado no bind:

  ;; ANSWER SECTION:
  kurumin.com.br.        86400   IN      A        64.234.23.12

Faça agora uma busca reversa pelo endereço IP, adicionando o parâmetro -x, como em:

  # dig -x 64.234.23.12

Na resposta você verá:

  ;; ANSWER SECTION:
  12.23.234.64.in-addr.arpa. 86400 IN      PTR     kurumin.com.br.

Ou seja, com o DNS reverso funcionando, o domínio aponta para o IP do servidor e o IP aponta para o domínio, permitindo que os outros servidores verifiquem a autenticidade do seu na hora de receber e-mails provenientes do seu domínio.

Lembre-se que seus e-mails podem ser classificados como spam também se seu IP estiver marcado em alguma blacklist. Você pode verificar isso rapidamente no http://rbls.org/.

Você vai notar, por exemplo, que praticamente endereço IP de uma conexão via ADSL ou modem vai estar listado, muitas vezes "preventivamente", já que é muito comum que conexões domésticas sejam usadas para enviar spam. É recomendável verificar periodicamente os IP's usados pelo seu servidor, além de verificar qualquer novo IP ou link antes de contratar o serviço.

---

Gostou da dica? Venha fazer um curso com o autor:

Curso: Redes e servidores Linux

Com Carlos E. Morimoto

Em São Paulo, de 29/05 a 03/06 (intensivo, com aulas à tarde)

Este é um curso sobre a configuração de servidores Linux. Nele você aprende a configurar cada serviço diretamente nos arquivos de configuração ou utilizando ferramentas genéricas, sem se prender a uma única distribuição. Os exemplos dados durante o curso usam como base o Debian e Fedora, com dicas de peculiaridades do Mandriva, Slackware, Kurumin e Ubuntu.

Este é um curso intensivo, onde você passa menos tempo vendo teoria e opções pouco usadas e mais tempo aprendendo a resolver problemas do dia a dia. O formato das aulas permite que sejam abordados uma grande quantidade de temas numa única semana, oferecendo uma visão global dos recursos disponíveis e onde eles podem ser aplicados. Ao invés de fazer um curso sobre o Squid, outro sobre o Samba, outro sobre o Apache, etc., você aprende muitas coisas de uma única vez, economizando tempo e dinheiro.

Nesta turma do dia 29/05, combinou do curso de redes e o curso para iniciantes serem ministrados na mesma semana: o curso para iniciantes de segunda a sexta, das 8:00 às 11:00, e o curso de redes das 12:30 às 18:00. Fazendo o curso de redes, você tem acesso também às aulas para iniciantes e pode fazer os dois cursos simultaneamente (pagando apenas um), e assim aproveitar para tirar todas as dúvidas.

Veja mais detalhes sobre a programação de cursos, temas abordados, preços e formas de pagamento no:

http://guiadohardware.net/cursos/

Todas as aulas do curso de redes são ministradas pelo próprio Carlos Morimoto, o que garante o nível do curso. Nada de aulas inaugurais e mutretas do gênero :)

Veja a relação completa dos artigos de Carlos E. Morimoto

Referências Adicionais

Referências adicionais sobre os assuntos abordados neste site podem ser encontradas em nossa Bibliografia.

Avalie esta dica

Recomendar este artigo	Versão para impressão

---