Как обратный DNS повышает безопасность? [дубликат]
Здесь есть много хороших ответов о том, как работает обратный DNS, но почему он используется?
Похоже, что все обратные DNS доказывают, что человек, отправляющий электронное письмо, имеет доступ к записям DNS для IP. Для конечного пользователя с домашним подключением я обнаружил, что исходящая почта блокируется сервером SMTP из-за отсутствия обратной записи DNS. Поскольку я не пытаюсь подделать какой-то другой домен, а использую домен для SMTP-сервера, как эта проверка добавляет какую-либо безопасность? Похоже, что сначала следует проверить, идет ли большой объем почты с IP-адреса, прежде чем рассматривать возможность отклонения.
Это не добавляет безопасности - это устаревшая проверка на спам, и в значительной степени бессмысленная.
Можно утверждать, что она показывает, что системные администраторы минимально компетентны и имеет контроль обратного DNS. Теоретически это исторически указывает на то, что отправитель, скорее всего, будет MTA, а не MUA. Поскольку для этого процесса требуется обратный, а затем прямой поиск обратного просмотра, и поскольку обратный DNS теперь достаточно полностью отображен, он больше не является хорошим предиктором легитимности, но помните, что SMTP - очень старый протокол, и такого рода уловок, которые раньше были полезны до SPF, DKIM и т. д.
Это восходит к 1999 - RFC2505 - в котором говорится (параграф 1.4))
When we suggest use of FQDNs rather than IP addresses this is because
FQDNs are intuitively much easier to use. However, all such usage
depends heavily on DNS and .IN-ADDR.ARPA (PTR) information. Since it
is fairly easy to forge that, either by false cache information
injected in DNS servers or spammers running their own DNS with false
information in them, host and domain names must be used with care,
e.g. verified so that the translation address->name corresponds to
name->address. With Secure DNS, RFC2065, [7], things will improve,
since spoofing of .IN-ADDR.ARPA will no longer be possible.
Обратный DNS доказывает, что человек, который владеет IP-адресом, соглашается с тем, что запись DNS должна указывать на него.
Любой может создать запись хоста hello.mydomain.ca и указывать на любой IP-адрес, который он хочет, подделав веб-сайт . Допустим, я указываю на IP-адрес amazon.com.
Конечно, в наши дни существует множество других проверок, особенно если вы используете SSL-сертификаты на исходном сайте.
Но обратный DNS покажет истинный владелец / домен этого веб-сайта. Может быть 100 записей DNS A, указывающих на один и тот же IP-адрес, но обратный DNS показывает только правильную запись A.
Изменить:Поскольку я не согласен с Давидго, но пока не могу комментировать его сообщение.
Дэвид заявляет, что обратный DNS устарел, больше не нужен и т. Д. Это совершенно неверно.
Если вы используете серверы электронной почты и не настраиваете их. PTR записи, вы можете ожидать, что Gmail, Yahoo, Microsoft будут отмечать электронные письма из вашего домена как спам. См. здесь для одного примера .
Системы регистрации и мониторинга, которые видят трафик с IP-адресов, будут использовать обратный DNS, чтобы помещать удобочитаемые имена в IP-адреса.
Ежедневное устранение неполадок по сети и администраторы безопасности будут полагаться на обратный DNS, чтобы снова сопоставить IP-адреса с именами хостов, именами приложений и т. д.
В моей работе он используется каждый день. Если Дэвид хочет предположить, что мир оставил обратный DNS, он может это сделать. Но он не должен изливать такую чушь без доказательств.
Если обратный DNS бесполезен, должен быть RFC, в котором говорится о смерти обратного DNS. Такого не существует.