DNS 反向解析問題引起郵件被拒絕發(fā)布時(shí)間：2010-5-10 13:39:34 分類：梭子魚新聞 已經(jīng)閱讀207次 作者:Lee什么是反向DNS 解析（PTR ）？可逆DNS(RDNS)就是反向

DNS 反向解析問題引起郵件被拒絕

發(fā)布時(shí)間：2010-5-10 13:39:34 分類：梭子魚新聞 已經(jīng)閱讀207次 作者:Lee

什么是反向DNS 解析（PTR ）？

可逆DNS(RDNS)就是反向解析，就是把IP 解析成域名。相對(duì)應(yīng)的，DNS 是正向解析，把域名解析成IP ?？赡鍰NS(RDNS)的原理和DNS 解析是完全相同的。

DNS 反向解析就是將IP 反向查詢?yōu)橛蛎?，在相關(guān)IP 授權(quán)DNS 服務(wù)器上增加您的IP 地址的PTR 記錄。反向解析的意義是這個(gè)IP 地址的網(wǎng)絡(luò)身份是被認(rèn)可的, 是合法的。

可逆DNS(RDNS)的一個(gè)應(yīng)用是作為垃圾郵件過濾器. 它是這樣工作的:垃圾郵件制造者一般會(huì)使用與域名不合的無效IP 地址, 即不和域名匹配的IP 地址. 可逆DNS 查找程序把引入信息的IP 地址輸入一個(gè)DNS 數(shù)據(jù)庫. 如果沒有找到和IP 地址匹配的有效域名, 服務(wù)器就認(rèn)為該EMAIL 是垃圾郵件。如AOL （美國在線）要求必須實(shí)施IP 反解的郵件服務(wù)器才能向AOL/AIM郵箱發(fā)送郵件。

何種IP 才能做反向解析？

國內(nèi)的IP 只有部分才能申請(qǐng)反向解析，這部分IP 為電信運(yùn)營商認(rèn)可的固定IP 地址，動(dòng)態(tài)IP 池中的不能申請(qǐng)。 一般反向解析是和IP 地址分配有聯(lián)系的，所以ISP （接入服務(wù)商）直接申請(qǐng)反向解析的授權(quán)很難得到。而電信運(yùn)營商在這方面就具備天然優(yōu)勢(shì)，通常這個(gè)授權(quán)都會(huì)直接授予本地的電信運(yùn)營商，然后再由電信運(yùn)營商授予各個(gè)使用此IP 地址的ISP （當(dāng)然，這個(gè)ISP 至少要完全占有整個(gè)C 類地址的使用權(quán)，否則不會(huì)得到授權(quán)），大部分情況，電信運(yùn)營商自己的DNS 來提供相應(yīng)IP 地址的反向解析服務(wù)。

DNS 反向解析檢測(cè)和報(bào)錯(cuò)信息？

檢測(cè)方式如下:

C:Documents and Settingsuser>nslookup –qt=ptr 124.205.118.205

Server: mx01.himail.com

Address: 124.205.118.205

說明這個(gè)IP 的反解析就是成功了。

返回信息如下

C:Documents and Settingsuser>nslookup –qt=ptr 124.205.118.205

*** Can't find server name for address 211.150.100.33: Non-existent domain

Server: UnKnown

Address: 124.205.118.205

說明這個(gè)IP 的反解析沒有作。

報(bào)錯(cuò)信息:

例：Apr 19 10:19:09 report qmail: 1145413149.690610 delivery 150: failure:

131.111.8.147_does_not_like_recipient./Remote_host_said:_550-Verification_failed_for_<> /550-It_appears_that_the_DNS_operator_for_AOL.com

/550-has_installed_an_invalid_MX_record_with_an_IP_address

/550-instead_of_a_domain_name_on_the_right_hand_side.

/550_Sender_verify_failed/Giving_up_on_131.111.8.147.

查詢郵件發(fā)送信息如果看見上面的錯(cuò)誤彈回信息，就可以判斷對(duì)方郵件服務(wù)器需要反向解析，由于自身不具備反向解析導(dǎo)致被拒絕

關(guān)于反向域名解析（Reverse DNS）

2008年03月13日 星期四 下午 05:18

反向域名解析，Reverse DNS。反向域名解析與通常的正向域名解析相反，提供IP 地址到域名的對(duì)應(yīng)。IP 反向解析主要應(yīng)用到郵件服務(wù)器中來阻攔垃圾郵件，特別是在國外。多數(shù)垃圾郵件發(fā)送者使用動(dòng)態(tài)分配或者沒有注冊(cè)域名的IP 地址來發(fā)送垃圾郵件，以逃避追蹤，使用了域名反向解析后，就可以大大降低垃圾郵件的數(shù)量。關(guān)于反向解析如何被應(yīng)用到郵件服務(wù)器中來阻攔垃圾郵件的。 由于在域名系統(tǒng)中，一個(gè)IP 地址可以對(duì)應(yīng)多個(gè)域名，因此從IP 出發(fā)去找域名，理論上應(yīng)該遍歷整個(gè)域名樹，但這在Internet 上是不現(xiàn)實(shí)的。為了完成逆向域名解析，系統(tǒng)提供一個(gè)特別域，該特別域稱為逆向解析域in-addr.arpa 。這樣欲解析的IP 地址就會(huì)被表達(dá)成一種像域名一樣的可顯示串形式，后綴以逆向解析域域名"in-addr.arpa" 結(jié)尾。例如一個(gè)IP 地址：218.30.103.170，其逆向域名表達(dá)方式為：170.103.30.218.in-addr.arpa 。兩種表達(dá)方式中IP 地址部分順序恰好相反，因?yàn)橛蛎Y(jié)構(gòu)是自底向上(從子域到域) ，而IP 地址結(jié)構(gòu)是自頂向下(從網(wǎng)絡(luò)到主機(jī)) 的。實(shí)質(zhì)上逆向域名解析是將IP 地址表達(dá)成一個(gè)域名，以地址做為索引的域名空間，這樣逆向解析的很大部分可以納入正向解析中。 查看反向解析信息：

命令行輸入nslookup -qt=ptr yourIP，從返回的信息中您可以看到反向解析的結(jié)果，或者在這個(gè)網(wǎng)站查詢。

如何做反向解析：

首先要有固定公網(wǎng)IP 地址、可用域名，例如您有needidc.com 的域名，您可以要求您的域名注冊(cè)商為您添加一個(gè)mail.needidc.com 的域名并將其A 記錄指向您的SMTP 服務(wù)器出口公網(wǎng)IP 地址，如：122.200.66.43，接著請(qǐng)與您的固定IP 所屬ISP 聯(lián)系要求為您的IP 反向解析至mail.lunch-time.com （可能要收

費(fèi)）。完成后別忘了將您的SMTP 服務(wù)器的HELO 域名改為mail.needidc.com ，這樣才可以達(dá)到目的。

另外：

1、目前很多網(wǎng)絡(luò)服務(wù)提供商要求訪問的IP 地址具有反向域名解析的結(jié)果，否則不提供Mail 服務(wù)。

2、一定要有固定公網(wǎng)IP 地址以及真實(shí)可用域名。同時(shí)要注意反向解析的域名的A 記錄一定要指向該IP ！

3、對(duì)于有多個(gè)固定公網(wǎng)IP 地址的，只要做主要出口IP 的反向解析即可，不管您有多少SMTP 服務(wù)器，只要是通過該IP 連接至外網(wǎng)就將這些SMTP 服務(wù)器的HELO 域名改成IP 反向解析之域名即可。

在垃圾郵件泛濫的今天，垃圾郵件給我們的生活、工作、學(xué)習(xí)帶來了極大的危害。由于SMTP 服務(wù)器之間缺乏有效的發(fā)送認(rèn)證機(jī)制，即使采用了垃圾郵件識(shí)別阻攔技術(shù)效果仍舊一般，再者垃圾郵件識(shí)別阻攔技術(shù)主要是在收到信件后根據(jù)一定條件進(jìn)行識(shí)別的，需要耗費(fèi)大量服務(wù)器資源，如果能在信件到達(dá)服務(wù)器之前就采取一定手段，這樣就能大大提高服務(wù)器效率了。因此，目前許多郵件服務(wù)器如sina.com ，hotmail.com ，yahoo.com.cn 等等都采用了垃圾郵件識(shí)別阻攔技術(shù) IP反向解析驗(yàn)證技術(shù)以更好的阻攔垃圾郵件。

我們先來了解一下什么是IP 反向解析。其實(shí)作過DNS 服務(wù)器的朋友一定會(huì)知道DNS 服務(wù)器里有兩個(gè)區(qū)域，即“正向查找區(qū)域”和“反向查找區(qū)域”，反向查找區(qū)域即是這里所說的IP 反向解析，它的作用就是通過查詢IP 地址的PTR 記錄來得到該IP 地址指向的域名，當(dāng)然，要成功得到域名就必需要有該IP 地址的PTR 記錄。

那么IP 反向解析是怎么被應(yīng)用到郵件服務(wù)器中來阻攔垃圾郵件的呢？我們來看看下面一個(gè)例子：

某天，阿Q 到A 公司拜訪，他遞上一張名片，名片上寫著他來自“黑道殺人俱樂部”以及電話號(hào)碼等信息，A 公司覺得應(yīng)該對(duì)阿Q 的來歷做個(gè)簡(jiǎn)單調(diào)查，于是打電話到阿Q 名片上的電話號(hào)碼所屬電信局進(jìn)行查實(shí)，如果電信局告訴A 公司其電話號(hào)碼不屬于“黑道殺人俱樂部”，則A 公司將拒絕阿Q 的拜訪，如果其電話號(hào)碼的確屬于“黑道殺人俱樂部”，A 公司可能接受阿Q 的拜訪也可能進(jìn)一步查實(shí)，于是就打電話到“黑道殺人俱樂部”所屬注冊(cè)機(jī)構(gòu)查詢，如果得到的答復(fù)確認(rèn)該俱樂部確有此電話號(hào)碼，則A 公司將接受阿Q 的拜訪，否則仍將拒絕阿Q 的拜訪。

這個(gè)例子中，阿Q 好比是我們的郵件服務(wù)器，A 公司是對(duì)方郵件服務(wù)器，“黑道殺人俱樂部”就是我們郵件服務(wù)器與對(duì)方郵件服務(wù)器通信時(shí)所使用的HELO 域名（不是郵件地址@后的域名），名片上的電話號(hào)碼就是我們郵件服務(wù)器出口的公網(wǎng)IP 地址。A 公司對(duì)阿Q 進(jìn)行調(diào)查的過程就相當(dāng)于一個(gè)反向解析驗(yàn)證過程。由此看出，反向解析驗(yàn)證其實(shí)是對(duì)方服務(wù)器在進(jìn)行的，如果我們沒有做反向解析，那么對(duì)方服務(wù)器的反向解析驗(yàn)證就會(huì)失敗，這樣對(duì)方服務(wù)器就會(huì)以我們是不明發(fā)送方而拒收我們發(fā)往的郵件，這也就是我們排除其它原因后（如被對(duì)方列入黑名

單、沒有MX 記錄、使用的是動(dòng)態(tài)IP 地址等等）在沒做反向解析時(shí)無法向sina.com 、homail.com 發(fā)信的原因。

那么我們應(yīng)當(dāng)如何順利做好反向解析？首先要有固定公網(wǎng)IP 地址、可用域名（最好不要被其它服務(wù)所用），例如您有l(wèi)unch-time.com 的域名，您可以要求您的域名注冊(cè)商為您添加一個(gè)okmail.lunch-time.com 的域名并將其A 記錄指向您的SMTP 服務(wù)器出口公網(wǎng)IP 地址，如：220.112.20.18，接著請(qǐng)與您的固定IP 所屬ISP 聯(lián)系要求為您的IP 反向解析至okmail.lunch-time.com 。完成后別忘了將您的SMTP 服務(wù)器的HELO 域名改為okmail.lunch-time.com ，這樣才可以達(dá)到目的。

另：

1、做好反向解析后發(fā)往sina.com 的信件有可能會(huì)被轉(zhuǎn)至“不明郵件夾”中，此時(shí)請(qǐng)您與sina.com 聯(lián)系，要求為您解決該問題。

2、查看反向解析是否成功，可用如下命令：nslookup –qt=ptr yourIP ，從返回的信息中您可以看到反向解析的結(jié)果。

3、一定要有固定公網(wǎng)IP 地址以及真實(shí)可用域名。同時(shí)要注意反向解析的域名的A 記錄一定要指向該IP ！

4、對(duì)于有多個(gè)固定公網(wǎng)IP 地址的，只要做主要出口IP 的反向解析即可，不管您有多少SMTP 服務(wù)器，只要是通過該IP 連接至外網(wǎng)就將這些SMTP 服務(wù)器的HELO 域名改成IP 反向解析之域名即可。（和這些SMTP 服務(wù)器上的地址域是無關(guān)的）

相關(guān)需要了解的詞匯：

內(nèi)域信件/域內(nèi)信件/內(nèi)部信件： “本地服務(wù)器上存在的賬戶”發(fā)送的郵件。

外域信件/域外信件/外部信件： “非本地服務(wù)器上存在的賬戶”發(fā)送的郵件。

? 接收郵件：

接收郵件包括兩層意思：

1) 接收外域發(fā)來的郵件。

2) 接收本域用戶發(fā)送的郵件。

因?yàn)槭褂每蛻舳税l(fā)送郵件時(shí)，郵件是先由客戶端發(fā)送到服務(wù)器端，再由服務(wù)器端發(fā)送出去，所以相對(duì)郵件服務(wù)器， 郵件是一個(gè)先IN 再OUT 的過程。

? 日志：

日志是MDaemon 郵件服務(wù)器的重要組成部分，請(qǐng)務(wù)必了解以下基本內(nèi)容。

1) MDaemon 主界面打開后，右面很大面積的一個(gè)窗口就是日志顯示窗口，下方有日志分類標(biāo)簽，如果有標(biāo)簽無法看到，則需要點(diǎn)擊小箭頭將無法顯示的標(biāo)簽移出。

2) MDaemon 主界面中只保留最近的一些日志，并非顯示所有的日志，完?

整的日志存放在 MDaemon安裝目錄下的Logs 子目錄中。

3) 日志有多種記錄方式，請(qǐng)前往MDaemon 控制臺(tái)”設(shè)置菜單（Setup ）”→”日志（Logging ）”→ 選擇每天新建一套完整的日志。選用此種方式記錄日志，更有利于檢查問題。

4) 在日志中，從左向右的箭頭“→”代表你方服務(wù)器發(fā)送給對(duì)方的信息，從右向左的箭頭“←”表示對(duì)方發(fā)送給你方的信息。

? 常用日志文件內(nèi)容詳解：

1）SMTP-(in) / SMTP－（入）日志：

外部郵件服務(wù)器發(fā)送郵件給我方時(shí)，郵件進(jìn)入時(shí)的連接記錄；或者Outlook 等郵件客戶端發(fā)送郵件時(shí)的連接記錄。

2）SMTP-（out ） / SMTP-（出）日志：

本域郵件發(fā)送到外域地址時(shí)的連接記錄。

3）POP 日志：

本域用戶使用Outlook 等郵件客戶端接收郵件時(shí)的記錄。

4） System / 系統(tǒng) 日志：

MDaemon 郵件服務(wù)器啟動(dòng)時(shí)啟用的服務(wù)，設(shè)置更改后相關(guān)服務(wù)更新的記錄，以及動(dòng)態(tài)屏蔽IP 地址的記錄。

5）Routing / 路由 日志：

所有收發(fā)的郵件在本地經(jīng)過處理時(shí)的記錄，接收的郵件存放到用戶目錄中的記錄，以及外發(fā)郵件進(jìn)入郵件服務(wù)器后轉(zhuǎn)移到遠(yuǎn)程隊(duì)列的記錄。

6）Content Filter / 內(nèi)容過濾器 日志：

內(nèi)容過濾器規(guī)則處理的記錄。

7）AntiSpam / 垃圾郵件過濾器 日志：

啟發(fā)式評(píng)分制垃圾郵件過濾器的處理記錄。

8）AntiVirus / 病毒過濾插件 日志：

病毒過濾插件過濾的記錄。

? 郵件收發(fā)日志記錄大致流程：

1) 接收外部郵件：

Smtp In（Smtp 接收）→ AntiVirus（反病毒引擎）→ AntiSpam（反垃圾引擎）→

ContentFilter （內(nèi)容過濾器）→Routing （路由）

2) 收發(fā)本域郵件：

Smtp In（Smtp 接收）→ AntiVirus（反病毒引擎）→ AntiSpam（反垃圾引擎）→

ContentFilter （內(nèi)容過濾器）→Routing （路由）

3) 發(fā)送外域郵件：

Smtp In（Smtp 接收）→ AntiVirus（反病毒引擎）→ AntiSpam（反垃圾引擎）→

ContentFilter （內(nèi)容過濾器）→Routing （路由）→Smtp Out（Smtp 發(fā)送）

? 隊(duì)列：

入站隊(duì)列（Inbound Queue）：

進(jìn)入郵件服務(wù)器的隊(duì)列，包括外域發(fā)入的郵件和本域用戶使用OutLook

等客戶端工具向外發(fā)送的郵件。

本地隊(duì)列（Local Queue）：

本地處理中的隊(duì)列，包括外域發(fā)來的郵件和本域發(fā)送的郵件。 遠(yuǎn)程隊(duì)列（Remote Queue）：

向外發(fā)送的隊(duì)列，為本地用戶向外域發(fā)送的郵件。

重試隊(duì)列（Retry Queue）：

向外發(fā)送暫時(shí)失敗，等待重試發(fā)送的郵件。

壞隊(duì)列（Bad Queue）：

接收到的無此收件人以及本地發(fā)送失敗超過生命周期的郵件或者匹配內(nèi)容過濾器中默認(rèn)安全規(guī)則的郵件被投遞到壞的隊(duì)列中，其中多數(shù)為垃圾郵件。

保持隊(duì)列（Holding Queue）：

當(dāng)郵件不能被AntiVirus AntiSpam ContetFilter 進(jìn)行掃描處理或郵件接收過程中發(fā)生意外錯(cuò)誤時(shí)被投遞到Holding 隊(duì)列中。該隊(duì)列中的郵件多數(shù)為垃圾郵件，但當(dāng)系統(tǒng)級(jí)殺毒軟件干涉了MDaemon 的郵件處理進(jìn)程時(shí)，可能造成正常郵件進(jìn)入該隊(duì)列。

未處理隊(duì)列（RAW queue）：

翻譯問題，應(yīng)該為“系統(tǒng)自動(dòng)產(chǎn)生郵件的隊(duì)列”，系統(tǒng)自動(dòng)產(chǎn)生的郵件在此處理，如退信、系統(tǒng)提示郵件、系統(tǒng)歡迎郵件等。

檢查域名MX PTR(反向解析) 記錄的方法：

1) 在Windows 系統(tǒng)中點(diǎn)擊”開始”菜單→”運(yùn)行”→”輸入cmd ”（Windows98系統(tǒng)為command ），打開windows 系統(tǒng)的MS-DOS 界面。輸入”nslookup ”命令，進(jìn)入域名解析界面。

2) 輸入” set q=mx “回車，進(jìn)入MX 記錄查詢狀態(tài)

輸入您公司郵件服務(wù)器的主域名，即為用戶郵件地址的”@”之后的部分 如：163.com ，China.com 等

本文以China.com 為例返回如下大致信息(藍(lán)色部分為注釋) ： > china.com ――這是所查詢的主域

Server: ns-pd.online.sh.cn－－這是當(dāng)前所使用的DNS 主機(jī)名 Address: 202.96.209.133－－這是當(dāng)前所使用DNS 主機(jī)地址

Non-authoritative answer:

china.com MX preference = 10, mail exchanger = mta1.china.com china.com MX preference = 10, mail exchanger = mta2.china.com china.com MX preference = 10, mail exchanger = mta3.china.com －－這是china.com 的MX 記錄指向的3個(gè)郵件主機(jī)名

mta1.china.com internet address = 211.99.189.179

mta2.china.com internet address = 211.99.189.180

mta3.china.com internet address = 211.99.189.184

－－這是china.com 的MX 記錄指向的3個(gè)郵件主機(jī)名對(duì)應(yīng)的IP 地址 china.com nameserver = ns2.china.com

china.com nameserver = ns1.china.com

－－這兩個(gè)是負(fù)責(zé)解析china.com 的DNS 服務(wù)器主機(jī)名

ns1.china.com internet address = 61.151.243.136

ns2.china.com internet address = 202.84.1.101

－－這兩個(gè)是負(fù)責(zé)解析china.com 的DNS 服務(wù)器主機(jī)名對(duì)應(yīng)的IP 地址 －－有時(shí), 查詢MX 紀(jì)錄的結(jié)果中只有MX 對(duì)應(yīng)的主機(jī)名, 但沒有主機(jī)名對(duì)應(yīng)的IP 地址顯示(如上海電信DNS 的MX 解析結(jié)果), 還需要輸入:

> set q=a －－進(jìn)入A 紀(jì)錄解析模式 再輸入主機(jī)名解析IP 地址:

> mta1.china.com －－輸入郵件服務(wù)器主機(jī)名進(jìn)行查詢

>Non-authoritative answer:

Name: mta1.china.com

Address: 211.99.189.179 －－得到IP 地址

3) 規(guī)范的MX 記錄應(yīng)當(dāng)由主域解析出一個(gè)主機(jī)名（本例中是

mta.china.com ），再由此主機(jī)名解析出一個(gè)或多個(gè)IP 地址（本例中是 211.99.189.179和211.99.189.180），而不能直接由主域解析出一個(gè)IP 地址，而且，主域解析出的主機(jī)名不應(yīng)當(dāng)同主域名相同。

4) 輸入” set q=ptr”回車，進(jìn)入PTR 記錄查詢狀態(tài)

> set q=ptr

> 211.99.189.179 ――輸入所查詢郵件服務(wù)器的IP 地址

Server: ns-pd.online.sh.cn ――這是當(dāng)前用來解析的DNS 服務(wù)器主機(jī)名

Address: 202.96.209.133 ――這是用來解析的DNS 服務(wù)器地址

Non-authoritative answer:

179.189.99.211.in-addr.arpa name = mta.china.com －－這是該IP 地址的PTR 記錄所指向的主機(jī)名

189.99.211.in-addr.arpa nameserver = ns.intercom.com.cn

189.99.211.in-addr.arpa nameserver = ns1.intercom.com.cn

ns.intercom.com.cn internet address = 211.99.207.229

ns1.intercom.com.cn internet address = 211.152.53.3

5) 注意:域名解析修改和添加只是在域名提供商的個(gè)別DNS 上修改，其他人所使用的DNS 服務(wù)器未必和您申請(qǐng)域名解析的DNS 服務(wù)器相同，因此當(dāng)您的域名添加或者修改后，只有等DNS 服務(wù)器之間資料同步后才能看到正確的解析結(jié)果。同一個(gè)地區(qū)的同步可能需要幾小時(shí)，全國DNS 同步可能需要2天，全球DNS 同步可 能需要4天或者更長時(shí)間，因此域名解析更改后無法立刻全球生效。

測(cè)試MDaemon 是否可訪問的方法：

1) 在Windows 系統(tǒng)中點(diǎn)擊”開始”菜單→”運(yùn)行”→”輸入cmd ”（Windows98系統(tǒng)為command ），打開windows 系統(tǒng)的MS-DOS 界面。

2) 輸入” telnet IP 25″回車。其中”IP ”是可以連通的，MDaemon 郵件服務(wù)器的IP 。

例如：

測(cè)試本機(jī)命令為：telnet 127.0.0.1 25

測(cè)試局域網(wǎng)是否可以正常連接：telnet 〔內(nèi)網(wǎng)地址〕 25

測(cè)試公網(wǎng)地址是否可以連接：telnet 〔公網(wǎng)地址〕 25

如果能返回MDaemon 的信息，則說明連接正常。

郵件服務(wù)器發(fā)送郵件的流程：

1) 使用OutLook 或者FoxMail 等客戶端發(fā)送：

OutLook 客戶端計(jì)算機(jī)通過DNS 服務(wù)器解析發(fā)送郵件服務(wù)器地址 → 連接發(fā)送郵件服務(wù)器的25端口 → 身份口令驗(yàn)證 → 發(fā)送郵件到郵件服務(wù)器 → 郵件服務(wù)器處理 → 郵件服務(wù)器根據(jù)收信者主域后綴解析該域MX 記錄 → 連接收信者域的郵件服務(wù)器

2) 使用Web 客戶端發(fā)送：

登陸Web 系統(tǒng)，完成身份驗(yàn)證 → 發(fā)送郵件到MDaemon 隊(duì)列中 → 郵件服務(wù)器根據(jù)收信者后綴解析該域MX 記錄 → 連接收信者域的郵件服務(wù)器