Какие шаги мне предпринять после того, как мой ISP выставил обратный DNS (PTR) record для моего почтовика?

А вот мой DNS сервер выдает SERVFAIL

Сбрасывать кэш(rndc flush) пробовал? Лог запросов включать пробовал? Конфиг покажи.

Я сделал это:

sudo -u bind rndc flush

А потом это:

sudo service bind9 restart

Но я всё равно получаю это:

** server can't find 12.34.567.89.in-addr.arpa: SERVFAIL (12.34.567.89 это, допустим, мой IP задом наперед)

Когда делаю это:

nslookup 89.567.34.12

P.S. Допустим, что 89.567.34.12 - мой IP адрес, ОК?

Другие адреса резолвяться? Например host 8.8.8.8 ip-вашего-dns-сервера что скажет?
ЗЫ Вообще говоря скрывать реальный ip и имя домена в данной теме, при учете что у вас там публичный dns смысла не много.

Смысл скрывать реальный IP есть. И очень даже большой! :-)

Получил ответ:

8.8.8.8.in-addr.arpa domain name pointer google-public-dns-a.google.com.

Теперь все тоже самое только вместо 8.8.8.8 ip вашего почтаря

Смысл скрывать реальный IP есть. И очень даже большой! :-)

Поясните на примерах? Хотя да, тут подумал, про вариант «не палить контору», вполне возможно...

Конечно, задавая тут чисто технические вопросы, какой смысл, чтобы все всё про тебя знали?

Вышло вот что:

Host xx.xx.x.xx.in-addr.arpa not found: 2(SERVFAIL)

где xx.xx.x.xx - это мой IP наоборот только...

Ну тогда явно проблемы у вашего бинда, может сами туда прописали зону и вообще много чего может быть. Попробуйте чистый кэширующий и с этого начинайте а потом смотрите что там у вас.
Так же конфиги можно показать здесь от бинда изменив реальные зоны.
ЗЫ tcpdump еще можно посмотреть.

Ладно, всё и так работает. Просто подожду еще.

Спасибо всем за желание помочь!

Попытаюсь для вас по простому пояснить. Если все так написано, а скорее всего оно именно так. За PTR зону отвечает пров владелец сети, вы говорите что у него все норм хотя бы на основании ответа от гугли(8.8.8.8) но при этом ваш личный dns сервер не резолвит этот адрес, это уже беда, надо разбираться с проблемой а не забивать на это, таких же проблем может быть еще миллион.

Конфиг и лог запросов я так и не увидел. Может у тебя там файл зоны с ошибкой используется(например, это видно в логах при перезапуске bind, когда зоны подгружаются)?

Какой конфиг Вам интересен? Я могу тут выложить содержимое моих файлов конфигурации BIND9.

По поводу логов... Там у меня вечно есть один error. Это в файле /var/log/named/debug.log

25-Jun-2017 22:32:57.783 general: error: zone 249.46.in-addr.arpa/IN: has no NS records

25-Jun-2017 22:32:57.783 general: error: zone 249.46.in-addr.arpa/IN: not loaded due to errors.

У меня в /etc/bind/zones находится 2 файла. Один с именем в формате db.mysite.com А второй он db.249.46 В первом файле всё просто. Обычный файл конфигурации. А второй, как я понимаю, это файл обратной зоны. Возможно я его неверно или неполностью сделал в свое время. Мой IP начинается с 46.249. Вот содержимое второго файла:

;
; BIND reverse data file for local loopback interface
;
$TTL	604800
@	IN	SOA	ns1.xxxxxxxxxxx.com. hostmaster.xxxxxxxxxxx.com. (
			      2		; Serial
			 604800		; Refresh
			  86400		; Retry
			2419200		; Expire
			 604800 )	; Negative Cache TTL
;
46.249.xx.xx	IN	NS	ns1.xxxxxxxxx.com.
46.249.xx.xx    IN	PTR	www.xxxxxxxxx.com.

Мдя. «Смешались в кучу кони люди» (с) Вот только один вопрос, вы владеете сетью 46.249/16 ? Не похоже на то. Или вообще какой-то другой? Сомневаюсь. Так нафига прописывать реверсную зону в том к чему не имееш отношение?

Короче говоря, я всё настроил так:

Допустим, мой IP будет 46.249.xx.yy

В файле named.conf.local я вписал так по поводу обратной зоны:

zone "xx.249.46.in-addr.arpa" {
type master;
file "/etc/bind/zones/db.46.249.xx";
};

В файле db.46.249.xx, что в директории «zones» сделал так:

;
; BIND reverse data file for local loopback interface
;
$TTL	604800
@	IN	SOA	ns1.xxxxxxxx.com. director.xxxxxxxx.com. (
			      2		; Serial
			 604800		; Refresh
			  86400		; Retry
			2419200		; Expire
			 604800 )	; Negative Cache TTL
;

@      IN      NS     ns1.
yy     IN     PTR     ns1.xxxxxxxxxx.com.
yy     IN     PTR     mail.xxxxxxxxx.com.

Теперь при перезагрузки BIND error'ов в логе debug.log больше нету и когда я делаю:

nslookup 46.249.xx.yy то получаю 2 ответа:

ns1.xxxxxxxxx.com

mail.xxxxxxxx.com

named-checkzone xxxxxxxxx.com /etc/bind/zones/db.46.249.xx

получаю OK

P.S. Короче говоря, у меня просто был бардак в файле обратной зоны и все мои дела с ISP и почтовиком к этому всему имели довольно косвенное отношение.

Вам же говорят - вы не владеете сетью, чтобы вот так раз и прописать два PTR и про остальное самому себе же создать проблемы. Уберите вообще всё из конфига про обратную зону.

nslookup -type=SOA 0.0.249.46.in-addr.arpa

говорит, что сеть делегирована, но явно не вам. Уберите из конфига DNS-сервера блок обратных адресов, которые вам не принадлежат - и не будет у вас проблем.

Эээ... Смотрите, как ни крути, так всё же лучше, чем иметь error'ы в логах BIND и всякие там SERVFAIL'ы. Кроме того, не забывайте, что у меня на том же IP адресе (и на той же физической машине) сидит и Postfix. Кто знает, может это как то поможет при отправке почты какому нибудь чересчур придирчивому корпоративному почтовику. Так или иначе, сделал и забыл. Работает и хорошо. А вам всем спасибо за помощь!

Смотрите, как ни крути, так всё же лучше, чем иметь error'ы в логах BIND и всякие там SERVFAIL'ы

Угу. Только это не правильно, так как вы сломали себе резолв всей обратной зоны xx.249.46.in-addr.arpa. То есть, допустим у вас адрес вида 46.249.1.1 и он прописан в файле. А адрес 46.249.1.2 - не ваш, и он НЕ прописан. Но у этого адреса ЕСТЬ обратная зона на DNS-сервере, на который он делегирован. Но так как ВАШ DNS-сервер считает, что ОН отвечает за всю зону - он смотрит в файл, не находит там соответствующей записи и выдаёт что ничего не нашел.

И это может аукнуться проблемами например в вашем Postfix, если тот настроен на отлуп всех недоверенных клиентов без PTR-записи, а системным резолвером прописан ВАШ DNS-сервер.

Короче - удалите вам не принадлежащую зону вообще и почитайте про делегирование обратных зон(например у RIPE есть соответствующая документация для владельцев блоков IP-адресов), чтобы так больше не делать.

Кто знает, может это как то поможет при отправке почты какому нибудь чересчур придирчивому корпоративному почтовику.

Приблизительно так же «как мертвому горчичники». Вам выше vodz без всяких намеков уже написал «Уберите вообще всё из конфига про обратную зону». Да и вообще здесь уже несколько раз прозвучало «вам не принадлежит». Почему бы вам тогда например и зону «gmail.com» себе не прописать? Не а че, «Кто знает, может это как то поможет при отправке почты какому нибудь чересчур придирчивому корпоративному почтовику». Надеюсь такая аналогия понятна?

Вам выше vodz без всяких намеков уже написал

Папрашу! Не надо намекать на то, чего не было! Там было объяснение, почему сделать так. Причём ниже последовали однотипные ответы.

ОК, я, в принципе, с Вами согласен. Я действительно не знаю всех тонкостей настойки DNS. Спасибо всем за ваши ответы!