DNS Reverso

  DNS Reverso
  ===========

Colaboração: Carlos E. Morimoto (http://www.guiadohardware.net/cursos)

O DNS reverso é um recurso que permite que outros servidores verifiquem a
autenticidade do seu servidor, checando se o endereço IP atual bate com o
endereço IP informado pelo servidor DNS. Isso evita que alguém utilize um
domínio que não lhe pertence para enviar spam, por exemplo.

Qualquer um pode enviar e-mails colocando no campo do remetente o servidor
do seu domínio, mas um servidor configurado para checar o DNS reverso vai
descobrir a farsa e classificar os e-mails forjados como spam.

O problema é que os mesmos servidores vão recusar seus e-mails, ou
classificá-los como spam caso você não configure seu servidor DNS corretamente
para responder às checagens de DNS reverso. Chegamos a um ponto em que
o problema do spam é tão severo, que quase todos os servidores importantes
fazem esta checagem, fazendo com que, sem a configuração, literalmente metade
dos seus e-mails não sejam entregues.

O primeiro passo é checar os arquivos /etc/hostname e /etc/hosts
(no servidor), que devem conter o nome da máquina e o domínio registrado.

O arquivo /etc/hostname deve conter apenas o nome da máquina, como em: 
servidor

No Fedora e em algumas outras distribuições, o nome da máquina vai dentro
do arquivo /etc/sysconfig/network.

No arquivo /etc/hosts deve conter duas entradas, uma para a interface
de loopback, o 127.0.0.1, e outra para o IP de internet do seu servidor,
que está vinculado ao domínio, como em:


  127.0.0.1 localhost.localdomain localhost
  64.234.23.12 servidor.kurumin.com.br servidor


A partir daí, falta adicionar a zona reversa no bind complementando a
configuração do domínio, que já fizemos. Começamos adicionando a entrada no
/etc/bind/named.conf ou /etc/bind/named.conf.local:


  zone "23.234.64.in-addr.arpa" {
       type master;
            file "/etc/bind/db.kurumin.rev";
    };


No nosso exemplo, o endereço IP do servidor é 64.234.23.12. Se retiramos o
último octeto e escrevemos o restante do endereço de trás pra frente, temos
justamente o 23.234.64 que usamos no registro reverso. A terceira linha
indica o arquivo onde a configuração do domínio reverso será salva. Neste
caso indiquei o arquivo db.kurumin.rev, mas você pode usar qualquer nome
de arquivo.

Este arquivo db.kurumin.rev é bem similar ao arquivo com a configuração do
domínio, que acabamos de configurar. As três linhas iniciais são idênticas
(incluindo o número de sincronismo), mas ao invés de usar o A para relacionar
o domínio e cada subdomínio ao IP correspondente, usamos a diretiva PTR
para relacionar o endereço IP de cada servidor ao domínio (é justamente por
isso que chamamos de DNS reverso ;).

No primeiro arquivo, usamos apenas os três primeiros octetos do endereço
(a parte referente à rede), removendo o octeto final (o endereço do servidor
dentro da rede). Agora, usamos apenas o número omitido da primeira vez.

O IP do servidor é 64.234.23.12, removendo os três primeiros octetos
ficamos apenas com o 12. Temos também o endereço do DNS secundário, que
é  64.234.23.13, de onde usamos apenas o 13. Relacionando os dois a seus
respectivos domínios, o arquivo fica:


  @IN SOAservidor.kurumin.com.br. hostmaster.kurumin.com.br. (
    2006040645 3H 15M 1W 1D )
  NS servidor.kurumin.com.br.
  NS ns1.kurumin.com.br.
  12PTRkurumin.com.br.
  13PTRns1.kurumin.com.br.


Caso você não esteja usando um DNS secundário, é só omitir as linhas referentes
a ele, como em:


  @IN SOAservidor.kurumin.com.br. hostmaster.kurumin.com.br. (
  2006040645 3H 15M 1W 1D )
  NS servidor.kurumin.com.br.
  12PTRkurumin.com.br.


Depois de terminar, reinicie o Bind e verifique usando o dig. Comece checando
o domínio, como em:


  # dig kurumin.com.br


Na resposta, procure pela seção ANSWER SECTION, que deverá conter o IP do 
servidor, como configurado no bind:


  ;; ANSWER SECTION:
  kurumin.com.br.        86400   IN      A        64.234.23.12


Faça agora uma busca reversa pelo endereço IP, adicionando o parâmetro -x, como 
em:


  # dig -x 64.234.23.12


Na resposta você verá:


  ;; ANSWER SECTION:
  12.23.234.64.in-addr.arpa. 86400 IN      PTR     kurumin.com.br.


Ou seja, com o DNS reverso funcionando, o domínio aponta para o IP do servidor
e o IP aponta para o domínio, permitindo que os outros servidores verifiquem
a autenticidade do seu na hora de receber e-mails provenientes do seu domínio.

Lembre-se que seus e-mails podem ser classificados como spam também se seu
IP estiver marcado em alguma blacklist. Você pode verificar isso rapidamente
no http://rbls.org/.

Você vai notar, por exemplo, que praticamente endereço IP de uma conexão
via ADSL ou modem vai estar listado, muitas vezes "preventivamente", já
que é muito comum que conexões domésticas sejam usadas para enviar spam. É
recomendável verificar periodicamente os IP's usados pelo seu servidor,
além de verificar qualquer novo IP ou link antes de contratar o serviço.

-------------------------------------------------------------------------------
Gostou da dica? Venha fazer um curso com o autor:


                Curso: Redes e servidores Linux
                ===============================

Com Carlos E. Morimoto

Em São Paulo, de 29/05 a 03/06 (intensivo, com aulas à tarde)

Este é um curso sobre a configuração de servidores Linux. Nele você aprende
a configurar cada serviço diretamente nos arquivos de configuração ou
utilizando ferramentas genéricas, sem se prender a uma única distribuição. Os
exemplos dados durante o curso usam como base o Debian e Fedora, com dicas
de peculiaridades do Mandriva, Slackware, Kurumin e Ubuntu.

Este é um curso intensivo, onde você passa menos tempo vendo teoria e opções
pouco usadas e mais tempo aprendendo a resolver problemas do dia a dia. O
formato das aulas permite que sejam abordados uma grande quantidade de temas
numa única semana, oferecendo uma visão global dos recursos disponíveis e
onde eles podem ser aplicados. Ao invés de fazer um curso sobre o Squid,
outro sobre o Samba, outro sobre o Apache, etc., você aprende muitas coisas
de uma única vez, economizando tempo e dinheiro.

Nesta turma do dia 29/05, combinou do curso de redes e o curso para iniciantes
serem ministrados na mesma semana: o curso para iniciantes de segunda a sexta,
das 8:00 às 11:00, e o curso de redes das 12:30 às 18:00. Fazendo o curso
de redes, você tem acesso também às aulas para iniciantes e pode fazer os
dois cursos simultaneamente (pagando apenas um), e assim aproveitar para
tirar todas as dúvidas.

Veja mais detalhes sobre a programação de cursos, temas abordados, preços
e formas de pagamento no:

http://guiadohardware.net/cursos/

Todas as aulas do curso de redes são ministradas pelo próprio Carlos Morimoto,
o que garante o nível do curso. Nada de aulas inaugurais e mutretas do
gênero :)