DNS 反向解析問題引起郵件被拒絕發(fā)布時間：2010-5-10 13:39:34 分類：梭子魚新聞 已經閱讀207次 作者:Lee什么是反向DNS 解析（PTR ）？可逆DNS(RDNS)就是反向

DNS 反向解析問題引起郵件被拒絕

發(fā)布時間：2010-5-10 13:39:34 分類：梭子魚新聞 已經閱讀207次 作者:Lee

什么是反向DNS 解析（PTR ）？

可逆DNS(RDNS)就是反向解析，就是把IP 解析成域名。相對應的，DNS 是正向解析，把域名解析成IP ?？赡鍰NS(RDNS)的原理和DNS 解析是完全相同的。

DNS 反向解析就是將IP 反向查詢?yōu)橛蛎?，在相關IP 授權DNS 服務器上增加您的IP 地址的PTR 記錄。反向解析的意義是這個IP 地址的網(wǎng)絡身份是被認可的, 是合法的。

可逆DNS(RDNS)的一個應用是作為垃圾郵件過濾器. 它是這樣工作的:垃圾郵件制造者一般會使用與域名不合的無效IP 地址, 即不和域名匹配的IP 地址. 可逆DNS 查找程序把引入信息的IP 地址輸入一個DNS 數(shù)據(jù)庫. 如果沒有找到和IP 地址匹配的有效域名, 服務器就認為該EMAIL 是垃圾郵件。如AOL （美國在線）要求必須實施IP 反解的郵件服務器才能向AOL/AIM郵箱發(fā)送郵件。

何種IP 才能做反向解析？

國內的IP 只有部分才能申請反向解析，這部分IP 為電信運營商認可的固定IP 地址，動態(tài)IP 池中的不能申請。 一般反向解析是和IP 地址分配有聯(lián)系的，所以ISP （接入服務商）直接申請反向解析的授權很難得到。而電信運營商在這方面就具備天然優(yōu)勢，通常這個授權都會直接授予本地的電信運營商，然后再由電信運營商授予各個使用此IP 地址的ISP （當然，這個ISP 至少要完全占有整個C 類地址的使用權，否則不會得到授權），大部分情況，電信運營商自己的DNS 來提供相應IP 地址的反向解析服務。

DNS 反向解析檢測和報錯信息？

檢測方式如下:

C:Documents and Settingsuser>nslookup –qt=ptr 124.205.118.205

Server: mx01.himail.com

Address: 124.205.118.205

說明這個IP 的反解析就是成功了。

返回信息如下

C:Documents and Settingsuser>nslookup –qt=ptr 124.205.118.205

*** Can't find server name for address 211.150.100.33: Non-existent domain

Server: UnKnown

Address: 124.205.118.205

說明這個IP 的反解析沒有作。

報錯信息:

例：Apr 19 10:19:09 report qmail: 1145413149.690610 delivery 150: failure:

131.111.8.147_does_not_like_recipient./Remote_host_said:_550-Verification_failed_for_<> /550-It_appears_that_the_DNS_operator_for_AOL.com

/550-has_installed_an_invalid_MX_record_with_an_IP_address

/550-instead_of_a_domain_name_on_the_right_hand_side.

/550_Sender_verify_failed/Giving_up_on_131.111.8.147.

查詢郵件發(fā)送信息如果看見上面的錯誤彈回信息，就可以判斷對方郵件服務器需要反向解析，由于自身不具備反向解析導致被拒絕

關于反向域名解析（Reverse DNS）

2008年03月13日 星期四 下午 05:18

反向域名解析，Reverse DNS。反向域名解析與通常的正向域名解析相反，提供IP 地址到域名的對應。IP 反向解析主要應用到郵件服務器中來阻攔垃圾郵件，特別是在國外。多數(shù)垃圾郵件發(fā)送者使用動態(tài)分配或者沒有注冊域名的IP 地址來發(fā)送垃圾郵件，以逃避追蹤，使用了域名反向解析后，就可以大大降低垃圾郵件的數(shù)量。關于反向解析如何被應用到郵件服務器中來阻攔垃圾郵件的。 由于在域名系統(tǒng)中，一個IP 地址可以對應多個域名，因此從IP 出發(fā)去找域名，理論上應該遍歷整個域名樹，但這在Internet 上是不現(xiàn)實的。為了完成逆向域名解析，系統(tǒng)提供一個特別域，該特別域稱為逆向解析域in-addr.arpa 。這樣欲解析的IP 地址就會被表達成一種像域名一樣的可顯示串形式，后綴以逆向解析域域名"in-addr.arpa" 結尾。例如一個IP 地址：218.30.103.170，其逆向域名表達方式為：170.103.30.218.in-addr.arpa 。兩種表達方式中IP 地址部分順序恰好相反，因為域名結構是自底向上(從子域到域) ，而IP 地址結構是自頂向下(從網(wǎng)絡到主機) 的。實質上逆向域名解析是將IP 地址表達成一個域名，以地址做為索引的域名空間，這樣逆向解析的很大部分可以納入正向解析中。 查看反向解析信息：

命令行輸入nslookup -qt=ptr yourIP，從返回的信息中您可以看到反向解析的結果，或者在這個網(wǎng)站查詢。

如何做反向解析：

首先要有固定公網(wǎng)IP 地址、可用域名，例如您有needidc.com 的域名，您可以要求您的域名注冊商為您添加一個mail.needidc.com 的域名并將其A 記錄指向您的SMTP 服務器出口公網(wǎng)IP 地址，如：122.200.66.43，接著請與您的固定IP 所屬ISP 聯(lián)系要求為您的IP 反向解析至mail.lunch-time.com （可能要收

費）。完成后別忘了將您的SMTP 服務器的HELO 域名改為mail.needidc.com ，這樣才可以達到目的。

另外：

1、目前很多網(wǎng)絡服務提供商要求訪問的IP 地址具有反向域名解析的結果，否則不提供Mail 服務。

2、一定要有固定公網(wǎng)IP 地址以及真實可用域名。同時要注意反向解析的域名的A 記錄一定要指向該IP ！

3、對于有多個固定公網(wǎng)IP 地址的，只要做主要出口IP 的反向解析即可，不管您有多少SMTP 服務器，只要是通過該IP 連接至外網(wǎng)就將這些SMTP 服務器的HELO 域名改成IP 反向解析之域名即可。

在垃圾郵件泛濫的今天，垃圾郵件給我們的生活、工作、學習帶來了極大的危害。由于SMTP 服務器之間缺乏有效的發(fā)送認證機制，即使采用了垃圾郵件識別阻攔技術效果仍舊一般，再者垃圾郵件識別阻攔技術主要是在收到信件后根據(jù)一定條件進行識別的，需要耗費大量服務器資源，如果能在信件到達服務器之前就采取一定手段，這樣就能大大提高服務器效率了。因此，目前許多郵件服務器如sina.com ，hotmail.com ，yahoo.com.cn 等等都采用了垃圾郵件識別阻攔技術 IP反向解析驗證技術以更好的阻攔垃圾郵件。

我們先來了解一下什么是IP 反向解析。其實作過DNS 服務器的朋友一定會知道DNS 服務器里有兩個區(qū)域，即“正向查找區(qū)域”和“反向查找區(qū)域”，反向查找區(qū)域即是這里所說的IP 反向解析，它的作用就是通過查詢IP 地址的PTR 記錄來得到該IP 地址指向的域名，當然，要成功得到域名就必需要有該IP 地址的PTR 記錄。

那么IP 反向解析是怎么被應用到郵件服務器中來阻攔垃圾郵件的呢？我們來看看下面一個例子：

某天，阿Q 到A 公司拜訪，他遞上一張名片，名片上寫著他來自“黑道殺人俱樂部”以及電話號碼等信息，A 公司覺得應該對阿Q 的來歷做個簡單調查，于是打電話到阿Q 名片上的電話號碼所屬電信局進行查實，如果電信局告訴A 公司其電話號碼不屬于“黑道殺人俱樂部”，則A 公司將拒絕阿Q 的拜訪，如果其電話號碼的確屬于“黑道殺人俱樂部”，A 公司可能接受阿Q 的拜訪也可能進一步查實，于是就打電話到“黑道殺人俱樂部”所屬注冊機構查詢，如果得到的答復確認該俱樂部確有此電話號碼，則A 公司將接受阿Q 的拜訪，否則仍將拒絕阿Q 的拜訪。

這個例子中，阿Q 好比是我們的郵件服務器，A 公司是對方郵件服務器，“黑道殺人俱樂部”就是我們郵件服務器與對方郵件服務器通信時所使用的HELO 域名（不是郵件地址@后的域名），名片上的電話號碼就是我們郵件服務器出口的公網(wǎng)IP 地址。A 公司對阿Q 進行調查的過程就相當于一個反向解析驗證過程。由此看出，反向解析驗證其實是對方服務器在進行的，如果我們沒有做反向解析，那么對方服務器的反向解析驗證就會失敗，這樣對方服務器就會以我們是不明發(fā)送方而拒收我們發(fā)往的郵件，這也就是我們排除其它原因后（如被對方列入黑名

單、沒有MX 記錄、使用的是動態(tài)IP 地址等等）在沒做反向解析時無法向sina.com 、homail.com 發(fā)信的原因。

那么我們應當如何順利做好反向解析？首先要有固定公網(wǎng)IP 地址、可用域名（最好不要被其它服務所用），例如您有l(wèi)unch-time.com 的域名，您可以要求您的域名注冊商為您添加一個okmail.lunch-time.com 的域名并將其A 記錄指向您的SMTP 服務器出口公網(wǎng)IP 地址，如：220.112.20.18，接著請與您的固定IP 所屬ISP 聯(lián)系要求為您的IP 反向解析至okmail.lunch-time.com 。完成后別忘了將您的SMTP 服務器的HELO 域名改為okmail.lunch-time.com ，這樣才可以達到目的。

另：

1、做好反向解析后發(fā)往sina.com 的信件有可能會被轉至“不明郵件夾”中，此時請您與sina.com 聯(lián)系，要求為您解決該問題。

2、查看反向解析是否成功，可用如下命令：nslookup –qt=ptr yourIP ，從返回的信息中您可以看到反向解析的結果。

3、一定要有固定公網(wǎng)IP 地址以及真實可用域名。同時要注意反向解析的域名的A 記錄一定要指向該IP ！

4、對于有多個固定公網(wǎng)IP 地址的，只要做主要出口IP 的反向解析即可，不管您有多少SMTP 服務器，只要是通過該IP 連接至外網(wǎng)就將這些SMTP 服務器的HELO 域名改成IP 反向解析之域名即可。（和這些SMTP 服務器上的地址域是無關的）

相關需要了解的詞匯：

內域信件/域內信件/內部信件： “本地服務器上存在的賬戶”發(fā)送的郵件。

外域信件/域外信件/外部信件： “非本地服務器上存在的賬戶”發(fā)送的郵件。

? 接收郵件：

接收郵件包括兩層意思：

1) 接收外域發(fā)來的郵件。

2) 接收本域用戶發(fā)送的郵件。

因為使用客戶端發(fā)送郵件時，郵件是先由客戶端發(fā)送到服務器端，再由服務器端發(fā)送出去，所以相對郵件服務器， 郵件是一個先IN 再OUT 的過程。

? 日志：

日志是MDaemon 郵件服務器的重要組成部分，請務必了解以下基本內容。

1) MDaemon 主界面打開后，右面很大面積的一個窗口就是日志顯示窗口，下方有日志分類標簽，如果有標簽無法看到，則需要點擊小箭頭將無法顯示的標簽移出。

2) MDaemon 主界面中只保留最近的一些日志，并非顯示所有的日志，完?

整的日志存放在 MDaemon安裝目錄下的Logs 子目錄中。

3) 日志有多種記錄方式，請前往MDaemon 控制臺”設置菜單（Setup ）”→”日志（Logging ）”→ 選擇每天新建一套完整的日志。選用此種方式記錄日志，更有利于檢查問題。

4) 在日志中，從左向右的箭頭“→”代表你方服務器發(fā)送給對方的信息，從右向左的箭頭“←”表示對方發(fā)送給你方的信息。

? 常用日志文件內容詳解：

1）SMTP-(in) / SMTP－（入）日志：

外部郵件服務器發(fā)送郵件給我方時，郵件進入時的連接記錄；或者Outlook 等郵件客戶端發(fā)送郵件時的連接記錄。

2）SMTP-（out ） / SMTP-（出）日志：

本域郵件發(fā)送到外域地址時的連接記錄。

3）POP 日志：

本域用戶使用Outlook 等郵件客戶端接收郵件時的記錄。

4） System / 系統(tǒng) 日志：

MDaemon 郵件服務器啟動時啟用的服務，設置更改后相關服務更新的記錄，以及動態(tài)屏蔽IP 地址的記錄。

5）Routing / 路由 日志：

所有收發(fā)的郵件在本地經過處理時的記錄，接收的郵件存放到用戶目錄中的記錄，以及外發(fā)郵件進入郵件服務器后轉移到遠程隊列的記錄。

6）Content Filter / 內容過濾器 日志：

內容過濾器規(guī)則處理的記錄。

7）AntiSpam / 垃圾郵件過濾器 日志：

啟發(fā)式評分制垃圾郵件過濾器的處理記錄。

8）AntiVirus / 病毒過濾插件 日志：

病毒過濾插件過濾的記錄。

? 郵件收發(fā)日志記錄大致流程：

1) 接收外部郵件：

Smtp In（Smtp 接收）→ AntiVirus（反病毒引擎）→ AntiSpam（反垃圾引擎）→

ContentFilter （內容過濾器）→Routing （路由）

2) 收發(fā)本域郵件：

Smtp In（Smtp 接收）→ AntiVirus（反病毒引擎）→ AntiSpam（反垃圾引擎）→

ContentFilter （內容過濾器）→Routing （路由）

3) 發(fā)送外域郵件：

Smtp In（Smtp 接收）→ AntiVirus（反病毒引擎）→ AntiSpam（反垃圾引擎）→

ContentFilter （內容過濾器）→Routing （路由）→Smtp Out（Smtp 發(fā)送）

? 隊列：

入站隊列（Inbound Queue）：

進入郵件服務器的隊列，包括外域發(fā)入的郵件和本域用戶使用OutLook

等客戶端工具向外發(fā)送的郵件。

本地隊列（Local Queue）：

本地處理中的隊列，包括外域發(fā)來的郵件和本域發(fā)送的郵件。 遠程隊列（Remote Queue）：

向外發(fā)送的隊列，為本地用戶向外域發(fā)送的郵件。

重試隊列（Retry Queue）：

向外發(fā)送暫時失敗，等待重試發(fā)送的郵件。

壞隊列（Bad Queue）：

接收到的無此收件人以及本地發(fā)送失敗超過生命周期的郵件或者匹配內容過濾器中默認安全規(guī)則的郵件被投遞到壞的隊列中，其中多數(shù)為垃圾郵件。

保持隊列（Holding Queue）：

當郵件不能被AntiVirus AntiSpam ContetFilter 進行掃描處理或郵件接收過程中發(fā)生意外錯誤時被投遞到Holding 隊列中。該隊列中的郵件多數(shù)為垃圾郵件，但當系統(tǒng)級殺毒軟件干涉了MDaemon 的郵件處理進程時，可能造成正常郵件進入該隊列。

未處理隊列（RAW queue）：

翻譯問題，應該為“系統(tǒng)自動產生郵件的隊列”，系統(tǒng)自動產生的郵件在此處理，如退信、系統(tǒng)提示郵件、系統(tǒng)歡迎郵件等。

檢查域名MX PTR(反向解析) 記錄的方法：

1) 在Windows 系統(tǒng)中點擊”開始”菜單→”運行”→”輸入cmd ”（Windows98系統(tǒng)為command ），打開windows 系統(tǒng)的MS-DOS 界面。輸入”nslookup ”命令，進入域名解析界面。

2) 輸入” set q=mx “回車，進入MX 記錄查詢狀態(tài)

輸入您公司郵件服務器的主域名，即為用戶郵件地址的”@”之后的部分 如：163.com ，China.com 等

本文以China.com 為例返回如下大致信息(藍色部分為注釋) ： > china.com ――這是所查詢的主域

Server: ns-pd.online.sh.cn－－這是當前所使用的DNS 主機名 Address: 202.96.209.133－－這是當前所使用DNS 主機地址

Non-authoritative answer:

china.com MX preference = 10, mail exchanger = mta1.china.com china.com MX preference = 10, mail exchanger = mta2.china.com china.com MX preference = 10, mail exchanger = mta3.china.com －－這是china.com 的MX 記錄指向的3個郵件主機名

mta1.china.com internet address = 211.99.189.179

mta2.china.com internet address = 211.99.189.180

mta3.china.com internet address = 211.99.189.184

－－這是china.com 的MX 記錄指向的3個郵件主機名對應的IP 地址 china.com nameserver = ns2.china.com

china.com nameserver = ns1.china.com

－－這兩個是負責解析china.com 的DNS 服務器主機名

ns1.china.com internet address = 61.151.243.136

ns2.china.com internet address = 202.84.1.101

－－這兩個是負責解析china.com 的DNS 服務器主機名對應的IP 地址 －－有時, 查詢MX 紀錄的結果中只有MX 對應的主機名, 但沒有主機名對應的IP 地址顯示(如上海電信DNS 的MX 解析結果), 還需要輸入:

> set q=a －－進入A 紀錄解析模式 再輸入主機名解析IP 地址:

> mta1.china.com －－輸入郵件服務器主機名進行查詢

>Non-authoritative answer:

Name: mta1.china.com

Address: 211.99.189.179 －－得到IP 地址

3) 規(guī)范的MX 記錄應當由主域解析出一個主機名（本例中是

mta.china.com ），再由此主機名解析出一個或多個IP 地址（本例中是 211.99.189.179和211.99.189.180），而不能直接由主域解析出一個IP 地址，而且，主域解析出的主機名不應當同主域名相同。

4) 輸入” set q=ptr”回車，進入PTR 記錄查詢狀態(tài)

> set q=ptr

> 211.99.189.179 ――輸入所查詢郵件服務器的IP 地址

Server: ns-pd.online.sh.cn ――這是當前用來解析的DNS 服務器主機名

Address: 202.96.209.133 ――這是用來解析的DNS 服務器地址

Non-authoritative answer:

179.189.99.211.in-addr.arpa name = mta.china.com －－這是該IP 地址的PTR 記錄所指向的主機名

189.99.211.in-addr.arpa nameserver = ns.intercom.com.cn

189.99.211.in-addr.arpa nameserver = ns1.intercom.com.cn

ns.intercom.com.cn internet address = 211.99.207.229

ns1.intercom.com.cn internet address = 211.152.53.3

5) 注意:域名解析修改和添加只是在域名提供商的個別DNS 上修改，其他人所使用的DNS 服務器未必和您申請域名解析的DNS 服務器相同，因此當您的域名添加或者修改后，只有等DNS 服務器之間資料同步后才能看到正確的解析結果。同一個地區(qū)的同步可能需要幾小時，全國DNS 同步可能需要2天，全球DNS 同步可 能需要4天或者更長時間，因此域名解析更改后無法立刻全球生效。

測試MDaemon 是否可訪問的方法：

1) 在Windows 系統(tǒng)中點擊”開始”菜單→”運行”→”輸入cmd ”（Windows98系統(tǒng)為command ），打開windows 系統(tǒng)的MS-DOS 界面。

2) 輸入” telnet IP 25″回車。其中”IP ”是可以連通的，MDaemon 郵件服務器的IP 。

例如：

測試本機命令為：telnet 127.0.0.1 25

測試局域網(wǎng)是否可以正常連接：telnet 〔內網(wǎng)地址〕 25

測試公網(wǎng)地址是否可以連接：telnet 〔公網(wǎng)地址〕 25

如果能返回MDaemon 的信息，則說明連接正常。

郵件服務器發(fā)送郵件的流程：

1) 使用OutLook 或者FoxMail 等客戶端發(fā)送：

OutLook 客戶端計算機通過DNS 服務器解析發(fā)送郵件服務器地址 → 連接發(fā)送郵件服務器的25端口 → 身份口令驗證 → 發(fā)送郵件到郵件服務器 → 郵件服務器處理 → 郵件服務器根據(jù)收信者主域后綴解析該域MX 記錄 → 連接收信者域的郵件服務器

2) 使用Web 客戶端發(fā)送：

登陸Web 系統(tǒng)，完成身份驗證 → 發(fā)送郵件到MDaemon 隊列中 → 郵件服務器根據(jù)收信者后綴解析該域MX 記錄 → 連接收信者域的郵件服務器