Сайт под защитой от ДДоС. Не могу разобратся с записью PTR

1

1

Подключили на днях защиту от ддос CloudFlare. Они проксируют трафик на наш IP, соответственно A-запись для сайта поменялась. Причём, она периодически меняется.

Также у нас есть mail-server. IP другой, сервер другой, CloudFlare не защищён. Только домен тот же, что у сайта.

Для стандартизированной настройки до подключения CloudFlare нашему внешнему IP была добавлена PTR-запись, указывающая на адрес домена. До подключения CloudFlare сервис senderbase.org был о нас отличного мнения и мы не попадали в чёрные списки антиспама. После смены IP-адреса меня насторожило предупреждение senderbase-а «Fwd/Rev DNS Match: No». Я так понимаю, ето из-за того, что поменялась A-запись, а PTR записи в данный момент нет.

Переписка с техподдержкой CloudFlare какая-то запутанная. Они предлагают договорится с моим хостером, чтобы они дали нам статический IP. Но он итак у нас есть.

Объясните, может я не понимаю сути надписи «Fwd/Rev DNS Match: No» или я не правильно представляю себе PTR-запись. Или просто техподдержка CloudFlare меня не понимает. Если кто раньше сталкивался с серисами антиддос, подскажите, как обстоит дело с отправкой почты от имени защищённого сайта.

Переписка с ТП:

Я: How can I add PTR record for my site, if it's IP often changes?
CF (Sam Howson): Thanks for contacting us. PTR records need to be set up with the group who owns the IP address, which means that this usually doesn't work if the IP address changes, sorry. Are you trying to do this because you have a mail server which is in your office, on a domestic internet connection by any chance? If that's the case then I would recommend asking your ISP for a static IP address, as you can't really have a PTR record if you IP address is constantly changing, sorry.
Я: But if I've added my domain to CloudFlare, my external IPs will be yours. And I see that IP of my site today is not the same as yestarday. Am I right?
CF (Algin): To clarify, when a domain is active on our system and using our DNS, our nameservers will respond to certain requests with CloudFlare IP addresses instead of the origin address of the webserver hosting the domain.
This behavior is normal when using our services, as your domain's origin IP is masked as a result of our reverse proxy service. In short, the domain will respond with our IPs for some requests (particularly for records that are routed through our network, records that do not have CF enabled will still show the origin), but your site is still serving\hosting content from your webserver as normal. As such, using our service does not solve the issue with your PTR record's origin IP constantly changing.
As Sam suggested, we recommend contacting your ISP and make a request for a static IP address.

Ссылка

←	CentOS 6.4 Не пускает локальных пользователей

Аналоги проприетарных форматов

→

Я так понял они не поняли что ты говоришь про их айпишник. Напиши им что IP меняется потому что CF его меняет.

true_admin ★★★★★
(30.10.13 15:45:10 MSK)

Ссылка

А MX-запись для домена куда указывает? На ip почтового сервера? Почта исходит с какого адреса? Со статического, на котором есть PTR-запись?

anonymous
(30.10.13 15:49:48 MSK)

Ответ на: комментарий от anonymous 30.10.13 15:49:48 MSK

Да, MX указывает на почтовый сервак, с него же почта и уходит. PTR там есть. Причём, подпись на senderbase появилась после перевода сайта на CloudFlare. Значит, в PTR для сайта дело

abr_linux ★
(30.10.13 16:24:20 MSK) автор топика

Ответ на: комментарий от abr_linux 30.10.13 16:24:20 MSK

Не в PTR дело.
Смотри, допустим твой сервак имеет айпи x.x.x.x, раньше на него указывал домен domain.com.
В SMTP-сессии твой почтовик говорил:
helo domain.com
Удаленный почтовик резолвил domain.com и видел, что айпишка почтовика совпадает с результатом резолва.
Теперь же domain.com резолвится на cloudflare (y.y.y.y), и когда твой почтовик говорит helo domain.com, соединяясь со своей статической айпишки, то удаленный сервер видит, что домен из helo резолвится не туда.
Выход - создать mail.domain.com, указывающий на оригинальный ip сервера и настроить правильный helo.

Komintern ★★★★★
(30.10.13 17:26:25 MSK)
Последнее исправление: Komintern 30.10.13 17:26:41 MSK (всего исправлений: 1)

Ответ на: комментарий от Komintern 30.10.13 17:26:25 MSK

Выход - создать mail.domain.com, указывающий на оригинальный ip сервера и настроить правильный helo.

Два чая, все верно.

tazhate ★★★★★
(30.10.13 17:28:38 MSK)

Ссылка

Какие цены на антиддос у них, кстати?

tazhate ★★★★★
(30.10.13 17:28:53 MSK)

Ответ на: комментарий от Komintern 30.10.13 17:26:25 MSK

Выход - создать mail.domain.com

В настоящий момент так и есть.

Конфиг такой. У сайта domain.com есть реальный IP x.x.x.site. На CloudFlare у него адрес y.y.y.site. Есть адрес mx.domain.com с реальным адресом x.x.x.mail и без адреса на CloudFlare.

В ehlo говорится «EHLO mx.domain.com».

Senderbase к адресу x.x.x.mail претензий не имеет. MTA reputation там Neutral, Fwd/Rev DNS Match = Yes

А вот к адресу x.x.x.site у него как раз Fwd/Rev DNS Match = No

Если я правильно понял, то единственный правильный выход ето слать письма с адресов *@mx.domain.com, не меняя ничего остального?

abr_linux ★
(30.10.13 22:14:50 MSK) автор топика

Ответ на: комментарий от tazhate 30.10.13 17:28:53 MSK

У нас $200 в месяц бизнес-аккаунт. Есть ентерпрайз за $3000, но там уж очень много плюшек они предлагают )

abr_linux ★
(30.10.13 22:16:48 MSK) автор топика

Ссылка

Ответ на: комментарий от abr_linux 30.10.13 22:14:50 MSK

единственный правильный выход ето слать письма с адресов *@mx.domain.com

ну это глупость на самом деле. большинство доменов имеют A и MX на разных серверах. дело точно не в этом.
может в SPF-записи? есть у домена SPF?

Komintern ★★★★★
(30.10.13 22:35:23 MSK)

Чувак прав

I would recommend asking your ISP for a static IP address

и ISP пусть сделает PTR. В чём проблема-то? ISP не даёт статический IP?

fluf
(31.10.13 13:45:28 MSK)

Ответ на: комментарий от Komintern 30.10.13 22:35:23 MSK

есть у домена SPF?

Да. Причём, у CloudFlare даже есть отдельный тип записи SPF. В общем, у меня и TXT и SPF есть. Правда, только счас внимание обратил. Там в разрешённых указан мой прямой IP. Счас перепишу запись, посмотрим, может получится

А вобще, я так подумал, ведь у меня IP-адрес домена уже далеко не x.x.x.site. А я как раз ето адрес и проверяю в senderbase.

По сути, почта теперь ходит с адреса x.x.x.mail, домен завязан на y.y.y.site. Может, мне вобще забить проверять x.x.x.site. А у текущих адресов MTA reputation = Neutral и «Fwd/Rev DNS Match» = Yes.

abr_linux ★
(31.10.13 14:16:57 MSK) автор топика
Последнее исправление: abr_linux 31.10.13 14:25:40 MSK (всего исправлений: 1)

Ответ на: Чувак прав от fluf 31.10.13 13:45:28 MSK

и ISP пусть сделает PTR. В чём проблема-то? ISP не даёт статический IP?

ISP и сделал PTR. Я ж говорю, до перехода на CloudFlare всё было нормально.

Проблема узнать, что senderbase от меня хочет.

ISP даёт. Статики нет у CloudFlare. Адрес раза 3 менялся.

abr_linux ★
(31.10.13 14:18:53 MSK) автор топика

Ссылка

Ответ на: комментарий от abr_linux 31.10.13 14:16:57 MSK

да при чем тут IP-адрес домена? не может он влиять на почту, если точно (вы ведь убедились, да?) в helo передается mail.yourdomain.com, который резолвится на ip сервера, с которого уходит почта, и этот айпи бекрезолвится в mail.yourdomain.com (PTR-запись, делается у провайдера-владельца айпишки твоего сервака, НЕ CloudFlare). в SPF-записи для yourdomain.com должно быть прописано:

v=spf1 +mx ~all

Ну и MX для yourdomain.com должен быть mail.yourdomain.com. В этом случае никаких претензий к твоей почте не возникнет. не трогай cloudflare, это всего лишь A-запись. Возможно, PTR айпишки твоего сервера указывает какраз не на mail.yourdomain.com, а на просто yourdomain.com, тогда сервер получателя делает что:

helo mail.yourdomain.com
<mail.yourdomain.com -> IN A x.x.x.x>
<x.x.x.x -> IN PTR yourdomain.com>
<yourdomain.com -> IN A y.y.y.y != x.x.x.x> - ACHTUNG!

но это пальцем в небо.

Komintern ★★★★★
(01.11.13 07:28:46 MSK)
Последнее исправление: Komintern 01.11.13 07:36:54 MSK (всего исправлений: 1)

Ответ на: комментарий от Komintern 01.11.13 07:28:46 MSK

Еще одно предположение, что в SPF для yourdomain.com написано

v=spf1 +a -all

До смены айпишки все было ок, почта слалась с того же адреса куда указывала A-запись домена. После ее смены естественно такой SPF невалидный, и нужно добавить +mx.

Komintern ★★★★★
(01.11.13 07:40:37 MSK)

Ответ на: комментарий от Komintern 01.11.13 07:40:37 MSK

Не, в SPF у меня полный либерализм:

v=spf1 +a +mx include:_spf.google.com ~all

Я понял, что я реально проблему не там ищу.

Счас попробовал отправить письмо на gmail и получил совершенно непонятный мне заголовок:

Received: from mx.domain.com ([x.x.x.site])
        by mx.google.com with ESMTPS id 2si3220262lar.126.2013.11.01.03.12.01
        for <xxxxxxx@gmail.com>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Fri, 01 Nov 2013 03:12:02 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning yyyyyyy@domain.com does not designate x.x.x.site as permitted sender) client-ip=x.x.x.site;

Кто сошёл с ума, я или гугль? Почему для mx.domain.com он определяет адрес x.x.x.site и откуда вобще етот адрес берётся, если A-запись уже давно сменена.

abr_linux ★
(01.11.13 14:25:43 MSK) автор топика

Ответ на: комментарий от abr_linux 01.11.13 14:25:43 MSK

Всё, в параллельной теме разобрались. Оказывается, наш хостер неправильно роутил трафик. В итоге, почта шла с IP сервера с сайтом. Счас маршруты поменяют и проблема отпадёт.

abr_linux ★
(06.11.13 15:36:38 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	CentOS 6.4 Не пускает локальных пользователей

Admin

Аналоги проприетарных форматов

→

Чувак прав

Похожие темы