Reverse DNS

Auf der Seite MX-Record lesen Sie, wie ein Mailserver den passenden Zielrechner für eine Domäne ermittelt. Aber auch in umgekehrter Richtung kann eine Namensauflösung stattfinden. Zwei Verfahren werden hier oft eingesetzt um z.B. Spam zu reduzieren

  • HELO-Name
    Einige Mailserver prüfen nämlich, ob der Mailserver in einer "HELO-Meldung (Siehe SMTP-Telnet) einen Namen verwendet, der auch auflösbar ist.
  • IP-Adresse
    Der empfangende Mailserver bekommt natürlich die IP-Adresse des Absenders zu sehen und auch zu dieser Adresse ist eine Namensauflösung möglich. Es gibt analog zur Übersetzung eines Namens (z.B.: www.msxfaq.de) zu einer IP-Adresse auch den umgekehrten Weg.

Da es leider wirklich Firmen gibt, die bei unstimmigkeiten hier eine Verbindung ablehnen, müssen Sie als Administrator natürlich wissen, wie Sie dies richtig konfigurieren.

HELO Name = SMTP-Server konfigurieren

Jeder Mailserver leitet eine Kommunikation mit der Gegenstelle mit dem Befehl "HELO" oder "EHLO" ein. Dabei übermittelt er seinen eigenen Hostnamen. Eine Kommunikation kann daher wie folgt starten:

-> TCP-Connect
<- TCP Ack
-> TCP ACK
<- 220 nospamproxy.de ready at Wed, 8 Mar 2006 17:41:05 +0100
-> helo mail.msxfaq.de
-> 250 gate.netatwork.de Hello [80.1.2.3]

Der Mailserver (hier nospamproxy.de) hat sich gemeldet und mein HELO hat er mit einer "250 OK" Meldung quittiert. Dabei steht in den eckigen Klammern die IP-Adresse meines Systems.

Einige Empfängersystem nutzen aber diese Information und ermitteln passend zur IP-Adresse auch den Namen. Diesen prüfen Sie dann mit der Angabe hinter dem HELO. Einige Empfänger prüfen auch überhaupt den Aufbau des Namens hinter dem HELO. So kann es sein, dass ein Mailserver kein Mails von ihnen annimmt, wenn der Namen nicht "gültig" ist. Es muss also nicht mal erforderlich sein, dass der Name zur IP-Adresse passt, sondern dass nur eine syntaktische Prüfung erfolgt.

Wenn sich ihr Mailserver dann mit einem "HELO Exchange.firma.local" meldet, dann kann es schon mal sein, dass ein Empfänger die Verbindung nicht annimmt, da dieser Name ganz sicher nicht gültig ist. Aber diese Meldung können Sie recht einfach ändern.

Über den Exchange System Manager können Sie in den Eigenschaften des virtuellen SMTP-Servers den Namen ändern, mit dem sich der Exchange Server bei der Gegenstelle meldet.

Auf der gleichen Karteikarte können Sie selbst auch die Funktion aktivieren, dass eingehende Verbindungen einem Reverse-DNS Lookup unterzogen werden. Exchange übernimmt dann die aufgelösten Namen in den Header der Nachrichten. Eine Ablehnung kann hier jedoch nicht konfiguriert werden.

Ob ihre Einstellung schon übernommen wurde können Sie einfach mit einem TELNET auf ihren Server auf den Port 25 prüfen. Der SMTP-Server sollte sich auch hier mit dem Namen melden.

Dieser Name und die Domäne muss nicht mit der SMTP-Domäne ihrer Empfänger übereinstimmen. Es ist ja durchaus möglich, dass ein Mailserver viele Domänen bedient und als Relay für viele Firmen genutzt wird. Allerdings sollte es eben bei der Verbindung mit dem Internet ein "gültiger" Name sein, der auch im DNS eingetragen und auflösbar ist. Es gibt eben Mailserver bzw. Administratoren, die darauf wert legen und diese Daten prüfen lassen.

Ein wirklich guter Spamschutz ist es aber nicht, da Spammer eben diese Voraussetzungen sehr einfach erfüllen können. Allerdings gibt es sehr viele Firmen, die vielleicht etwas nachlässig konfiguriert haben und die dann einige Gegenstellen nicht erreichen können.

IP-Reverse DNS konfigurieren

Früher war es üblich, dass nicht nur ein Name zu einer IP-Adresse aufgelöst werden konnte, sondern auch dass es zu jeder IP-Adresse einen eindeutigen Namen gegeben hat. Das funktioniert ähnlich wie bei Mobiltelefon, welches bei einem Anruf statt der Nummer gleich den Namen des Gesprächpartners anzeigt. Dazu wird das Telefonbuch genutzt.

In den Anfängen des Internets war es sogar noch weit verbreitet, dass über die IP-Adresse nicht nur der Name des Systems, sondern sogar ein Ansprechpartner (WHOIS) und eine Adresse ermittelt werden konnte. So was ein direkter Kontakt der Administratoren bei Problemen und Fehlfunktionen einfach möglich. Mit dem schnellen Wachstum des Internet ist das natürlich alles etwas verloren gegangen, zumal sehr viele IP-Adressen heute dynamisch zugeteilt werden und damit ein Rückschluss auf Inhaber immer weniger gelingt. Maximal der Provider ist entsprechend auflösbar.

Trotzdem kann ein Mailserver natürlich ausgehend von der IP-Adresse der ankommenden Verbindung diese Adresse über DNS nachfragen und den dazugehörigen Namen erhalten. Abhängig von der Antwort kann der Mailserver dann reagieren.

  • Kein Name
    In vielen Fällen passiert es, dass der Provider oder sie selbst einfach das Setup eines "Reverse-DNS" vergessen oder als nicht erforderlich ansehen. Häufig machen sich viele Provider auch nicht die Mühe, ein Teilnetz zu delegieren. Viele verstehen auch einfach nicht das Prinzip eines Classless reverse DNS. Das Ergebnis ist, dass eine Anfrage auf die IP-Adresse mit einem Timeout endet. Prüft der Mailserver diese Information, dann wird die Verbindung in der Regel zumindest verzögert und manchmal auch nicht akzeptiert. Solche "ungepflegten" IP-Adressen sind meist schlechte Provider und werden oft von entsprechenden unsicheren Absendern verwendet. (Privatanwender, Spammer etc.). Ein "guter" Provider trägt seine im zugewiesenen IP-Adressen auch im DNS ein.
  • Passender Name
    Ein einigen Fällen passiert es tatsächlich, dass die IP-Adresse zu einem Namen führt, der auch im DNS auflösbar ist oder mit dem sich sogar der Mailserver gemeldet hat. Das ist natürlich die ideale Situation, da dann der Mailserver nicht nur eine schnelle Antwort erhält, sondern auch Prüfungen auf den Namen etc. möglich sind. Einige Mailserver prüfen sogar, ob die DNS-Domäne des Rechners zur IP-Adresse mit der Absenderdomäne der Mail übereinstimmt. Dies führt dann oft ein Bonus in einer Bewertung.

141.1.1.1    euro-cns3.cw.net
80.66.1.42   ns2.eggenet.de
80.66.20.18  gate.netatwork.de

  • Platzhalter und dynamische Namen
    Gerade Provider mit dynamischen IP-Adressen können natürlich nicht jedem privaten PC den "richtigen" Namen zuordnen. Zumal kein Provider eine dynamische Pflege der Einträge zulassen wird. Entsprechend kann es schon mal passieren, dass die Namen dann etwas "kryptisch" aussehen. Einige Mailserver nutzen sogar solche Namen um eben dynamische IP-Adressen zu erkennen und zu blockieren. Hier ein paar Beispiele:

80.1.0.2    pam80-1-0-2.man.dial.ntli.net
80.42.1.2   80-42-1-2.dynamic.dsl.as9105.com

Ob ihre IP-Adresse "korrekt" im DNS geführt wird, können Sie z.B.: mit folgender Webseite ermitteln:

  • www.dnsstuff.com
    Oben Rechts steht ihre IP-Adresse, mit der Sie die Webseite aufrufen. Diese können Sie in das Feld "Reverse DNS Lookup" eingeben und die Anfrage absenden

Natürlich tut es auch die Kommandozeile NSLOOKUP

Weitere Links