Frage Warum werden mehrere PTR-Einträge in DNS nicht empfohlen?


ich häufig  lesen Die Verwendung mehrerer PTR-Datensätze in einer DNS-Konfiguration wird nicht empfohlen.

Die Gründe sind jedoch oft vage oder nicht so offensichtlich, Benennung:

  • "Es kann Probleme verursachen",
  • "kann in Programmen, die eine einzige Antwort erwarten, Bugs auslösen": Es ist dann das Problem der Software, nicht wahr ?!
  • "kann DNS-Antwortpaket zu groß machen": ist das nicht behoben mit EDNS?

Sind das gute Gründe? Weißt du noch andere (gute) Gründe? All das sieht aus wie eine "Vermächtnis angst" ...


33
2017-08-07 12:38


Ursprung


Warum möchten Sie mehrere PTR-Datensätze für eine einzelne IP-Adresse haben? Ich kann mir keinen vernünftigen Grund vorstellen. - Per von Zweigbergk
@PervonZweigbergk Dies ist nicht das, was ich gefragt habe, aber zum Beispiel, weil ich mehrere Namen habe, die auf die gleiche IP verweisen, und wollen, dass die Rückseite alle abgleicht. - Totor
@PervonZweigbergk Stellen Sie sich einen Mailserver vor, der E-Mails für mehrere Domänen verarbeitet. Möglicherweise möchten Sie einen Namen in der Domäne verwenden, für die Sie E-Mails senden möchten EHLO Befehl. Bestimmte Empfänger erfordern, dass Sie eine haben PTR Rekord mit der Domain in Ihrem EHLO Befehl, sonst werden sie keine E-Mails von Ihnen akzeptieren. Aber wenn du mehrere hast PTR Aufzeichnungen, sie können nur zufällig eine von ihnen auswählen, und wenn diese nicht übereinstimmt EHLO Befehl, es lehnt die Mail ab. - kasperd
Ich weiß, dass es nicht das ist, was du gefragt hast. Deshalb habe ich das über einen Kommentar gefragt, nicht als Antwort. :-) Du hast nie erwähnt, über welche Anwendung du sprichst. Sie tun gut, um deutlicher zu sein, dass Sie über den Kontext der ausgehenden E-Mail sprechen, worüber @Kasperd spekuliert. - Per von Zweigbergk
@ Kasperd Ich nehme an, jemand möchte das tun, aber dies ist unkonventionell und verursacht unnötigerweise die problematische Situation, um die es in der Frage geht. Von einem Mail-Server wird erwartet, dass er nur einen einzigen Namen verwendet EHLO Befehle, unabhängig davon, für wie viele Domänen sie Mail bearbeitet. Der Name in HELO/EHLO wird erwartet, den Mail-Server selbst zu identifizieren, nicht auf die MAIL FROM oder From Mailadressen. - Håkan Lindqvist


Antworten:


Das PTR Aufzeichnung für einen umgekehrten Namen (z 7.2.0.192.in-addr.arpa) wird voraussichtlich identifiziert werden der kanonische Name das ist mit dieser IP-Adresse verbunden.

Sowohl die Gateway-Zeiger auf Netzwerkknoten als auch der normale Host   Zeiger an vollen Adressknoten verwenden den PTR-RR, um auf den Punkt zurück zu zeigen   primäre Domain-Namen der entsprechenden Hosts.

Von: http://tools.ietf.org/html/rfc1035#section-3.5

Diese Erwartung spiegelt sich in Software wider, die Reverse-Lookups durchführt. Oft erwartet diese Software einen einzelnen Namen und erwartet, dass dieser Name als kanonischer Name für diesen Host verwendet werden kann. Wenn mehrere Namen zurückgegeben werden, ist es üblich, nur einen zufällig zu nehmen, weil sie absolut keine Möglichkeit haben zu wissen, welchen Sie für diesen besonderen Anlass bevorzugt hätten.

Wie allgemein angenommen, gibt es einen kanonischen Namen, der mit einer IP - Adresse verknüpft ist PTR sollte darauf zeigen, dass das Hinzufügen mehrerer Namen im Allgemeinen keine Oberseite hat (nichts erwartet irgendein zufälliges A/AAAA aufnehmen, um eine Übereinstimmung zu haben PTR) aber es hat einen potenziellen Nachteil, da es seltsame Ergebnisse verursachen kann, da Sie keine Kontrolle darüber haben, welches von Ihnen PTR Datensätze werden verwendet, wenn Sie mehrere hinzugefügt haben.

Im Wesentlichen, wenn Sie mehrere haben PTR Aufzeichnungen, die Ihren Gastgeber nicht wirklich legitimer erscheinen lassen, aber eher das Gegenteil, Sie riskieren, eine Validierung zu versagen oder auf andere Weise etwas zu brechen.

Als eine vielleicht etwas extreme Metapher wird die Übergabe von fünf Reisepässen mit Ihrem Foto, aber mit unterschiedlichen Namen am Flughafen, wahrscheinlich nicht so gut angenommen, als wenn Sie nur einen übergeben würden.


17
2017-08-07 17:11



Ausarbeitung unter "einem kanonischen Namen": In Fällen, in denen die IP-Adresse mehreren Entitäten zugeordnet werden kann, wird die spezifischste bevorzugt. Im Falle eines Webservers mit mehreren namensbasierten virtuellen Hosts ist der Name des Webservers am besten geeignet. Dies ist einer der Fälle, in denen versucht wurde, dem Rat der informativen RFCs zu folgen (PTR immer einverstanden mit dem A Rekord) ist völlig Koje. - Andrew B
"Der PTR-Eintrag Es wird erwartet identifizieren ": durch wen? Es sieht aus wie a de facto Regel, als Softwareentwickler begannen zu denken, dass nur ein PTR die Norm war. Habe ich recht? - Totor
@Totor Hinzugefügt ein Zitat und einen Link für eine Quelle. - Håkan Lindqvist
Als eine Anekdote wurde kürzlich festgestellt, dass Apple ein paar PTR-Datensätze hat, die über 9 kBytes an Antworten haben. Zweifellos sind sie nicht die einzigen. Dies ist ein recht extremes Beispiel dafür, was Sie erreichen können, wenn die obligatorischen PTR-Richtlinien die Details dieser Antwort nicht berücksichtigen. - Andrew B


Es kommt alles auf unvorhersehbares Verhalten an, da der RFC kein Limit oder eine Möglichkeit zur Handhabung dieser PTR-Datensätze auferlegt. Die meisten Implementierungen wählen Round-Robin und Sie werden nicht das gewünschte Ergebnis erzielen (perfekte Übereinstimmung zwischen vielen Namen zu einer einzigen IP).

Mehr dazu können Sie hier lesen: https://supernoc.rogerstelecom.net/pdfs/multiple-ptrs.pdf

Überprüfen Sie diesen Fehler auch anhand der Glibc-Funktion getnameinfo (https://sourceware.org/bugzilla/show_bug.cgi?id=5790). Wie können Sie garantieren, dass dies nicht in der unendlichen Anzahl verschiedener Systeme im Internet geschieht (einige von ihnen sehr alt und ungepatcht)?

Als Faustregel gilt, dass es immer gut ist, Verhaltensweisen zu vermeiden, die unbestimmt und unvorhersehbar sind. Leider fallen mehrere PTR-Datensätze für eine einzelne IP in diese Kategorie (soweit RFC betroffen sind).


15
2017-08-07 13:15



Wie können Sie garantieren, dass a irgendein Problem passiert nicht in der "unendlichen" Anzahl von verschiedenen Systemen im Internet? Deine Antwort ist nett, aber dieses Argument hat keinen Wert. Darüber hinaus sind Client-Bugs IMHO irrelevant, außer wenn eine "signifikante" Anzahl betroffen ist. - Totor


Wie garantieren Sie, dass ein PTR einem bestimmten Vorlauf-Datensatz entspricht, wenn Sie mehrere PTRs haben?

Dies ist besonders wichtig bei Mail-Server-Interaktionen, bei denen die meisten eingehenden SMTP-Server prüfen, ob die Weiterleitung der umgekehrten entspricht

Ziemlich schwierig ist, dass Sie mehrere PTRs haben und keine Möglichkeit haben, zu garantieren, welche PTR ausgewählt ist und mit der Weiterleitung übereinstimmt, die Sie beim Verbinden gegeben haben

Der einfachste Weg, um eine perfekte Übereinstimmung zu garantieren, ist ein PTR, der einem Vorwärtseintrag entspricht


2
2018-03-06 02:52