Section 1 : Qu'est-ce que le DNS inversé ?
Le DNS inversé est un service basé sur les requêtes et les réponses, de sorte que lorsqu'une adresse IP est utilisée pour accéder à un site Web ou envoyer un e-mail, le DNS inversé peut être utilisé pour déterminer le domaine associé.
Section 2 : Délégation DNS inversée
2.1 Délégation DNS inversée
Les registres Internet régionaux, tels qu'AFRINIC, gèrent le processus de délégation inverse pour leurs régions respectives. Comprendre la structure hiérarchique et le processus de délégation du DNS inverse est essentiel pour maintenir une configuration appropriée et garantir des recherches d'adresses IP efficaces dans l'écosystème Internet.
Hiérarchie du DNS inversé
Enregistrements PTR et fichiers de zone
Processus de délégation inversée AFRINIC
Les serveurs DNS AFRINIC fournissent des références pour les ressources IP déléguées à ses membres ressources.
Pour demander une délégation inversée, les détenteurs de ressources doivent créer un objet de domaine dans l'AFRINIC WHOIS Base de données. Les membres doivent également configurer à l'avance les zones DNS inversées sur leurs serveurs de noms, car les serveurs AFRINIC effectueront une vérification pour s'assurer que les configurations appropriées sont déjà en place. Il est recommandé d'avoir au moins deux serveurs de noms à des fins de redondance. Si les serveurs de noms sont correctement configurés, AFRINIC propage la délégation au Domain Name System. Cependant, si un serveur DNS n'est pas correctement configuré, il sera détecté comme un serveur DNS boiteux et la demande de délégation peut être abandonnée à moins que le problème ne soit résolu rapidement.
2.2 Utilisation du DNS inversé
-
Authentification des e-mails : le DNS inversé est un composant essentiel des mécanismes d'authentification des e-mails tels que SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). Vérifier que l'adresse IP utilisée pour l'envoi des e-mails correspond au domaine spécifié dans l'adresse de l'expéditeur permet de lutter contre les spams et d'améliorer la délivrabilité.
-
Dépannage du réseau : en utilisant le DNS inversé, les administrateurs réseau peuvent identifier le domaine associé à une adresse IP problématique à l'aide des données du journal avec des noms d'hôte lisibles par l'homme au lieu d'adresses IP numériques, ce qui leur permet d'identifier plus efficacement la source des problèmes de réseau.
-
Sécurité et contrôle d'accès : le DNS inversé est souvent utilisé dans les configurations de pare-feu et les systèmes de contrôle d'accès. Il permet aux organisations de définir des règles basées sur des noms de domaine plutôt que sur des adresses IP, améliorant les mesures de sécurité et facilitant la gestion du réseau.
2.3 Problèmes courants de DNS inverse
1. Absence de délégation DNS inversée
- AFRINIC conserve des informations faisant autorité pour les blocs IP qu'ils administrent et ses serveurs DNS faisant autorité donnent des références s'ils contiennent les informations du serveur de noms (NS) de l'opérateur réseau dans ce que l'on appelle la délégation DNS inversée.
- Par exemple, AFRINIC administre le préfixe 196/8 et possède le domaine correspondant 196.in-addr.arpa.
- Les membres ressources doivent demander la délégation en enregistrant leurs serveurs de noms DNS dans la base de données AFRINIC.
- Par exemple, l'opérateur réseau avec 196.1.0.0/24 doit enregistrer le domaine 0.1.196.in-addr.arpa.
2. Manque d'enregistrements PTR pour votre adresse IP
- Un enregistrement PTR mappe une adresse IP à un nom d'hôte dans la zone DNS inverse.
- Les opérateurs de réseau doivent créer des enregistrements PTR pour leurs serveurs de messagerie, permettant une recherche DNS inversée pour établir l'autorité du serveur pour l'envoi et la réception de courrier. Si un serveur DNS ne possède pas l'enregistrement PTR approprié, la recherche DNS inversée échouera. Par conséquent, l'envoi d'e-mails à partir d'un tel serveur peut être rejeté par les fournisseurs de messagerie qui exigent un enregistrement DNS inverse valide.
3. Enregistrement DNS inversé incorrect
- Un enregistrement DNS inversé incorrect peut entraîner une défaillance du service ou de la délégation DNS, affectant d'autres fonctionnalités du réseau, entraînant le rejet des e-mails envoyés depuis le serveur. Il est crucial de garantir l'exactitude des enregistrements PTR pour maintenir une résolution DNS inversée appropriée.
4. Résolution DNS inversée lente
- Des retards dans les recherches DNS inversées peuvent survenir en raison de la congestion du réseau ou de problèmes de performances du serveur DNS. Si la résolution DNS inverse lente devient un problème, d'autres serveurs DNS peuvent être utilisés pour déterminer si le problème persiste. Dans de tels cas, il est recommandé de contacter le fournisseur d'hébergement ou l'administrateur réseau pour une enquête plus approfondie.
Section 3 : Étapes pour configurer la délégation inverse dans l'AFRINIC WHOIS base de données
-
Enregistrer les affectations sur le WHOIS Base de données : pour les membres du registre Internet local (LIR), il est indispensable d'enregistrer les affectations d'utilisation IP dans l'AFRINIC WHOIS base de données avant de lancer l'enregistrement DNS inversé. AFRINIC exige au moins une cession enregistrée afin de se conformer à la politique d'acceptation des délégations inversées.
- Limites de délégation pour IPv4 et IPv6: AFRINIC autorise la délégation inverse sur les frontières 8 bits pour IPv4 adresses, généralement /16 ou /24.
Étape 1. Configurations DNS sur vos serveurs de noms
-
Créer une zone inversée : assurez-vous que la zone inversée est créée avant de procéder à la demande de délégation DNS inversée.
-
Configurer les enregistrements PTR : configurez correctement les enregistrements PTR dans les zones inversées. Ces enregistrements facilitent le mappage des adresses IP aux noms de domaine.
-
Uniformité dans l'enregistrement de ressource SOA : maintenez la cohérence entre tous les serveurs de noms en vous assurant que l'enregistrement de ressource SOA (Start of Authority) contient le même numéro de série et d'autres contenus de données. La SOA doit également inclure un « rname » valide, qui représente l'adresse de contact à des fins administratives.
Étape 2. Enregistrez votre ou vos domaines sur les serveurs AFRINIC
2.1 À travers MyAfrinic Portail des membres
- Connectez-vous à https://my.afrinic.net
- Allez dans Ressources -> Délégation inversée
- Cliquez sur "+" pour développer l'allocation cible
- Cliquez sur l'option "Ajouter une délégation inverse" pour ajouter le domaine
- Mettez à jour les détails et soumettez
2.2 Grâce à la whois portail web
- S'il vous plaît allez à https://afrinic.net/whois
- Cliquez sur "créer un objet", puis choisissez "domaine", puis chargez.
- Remplissez le formulaire comme demandé, puis soumettez-le.
2.3 Par e-mail et efficace pour les mises à jour groupées
La propagation peut prendre quelques heures pour se refléter pleinement dans le système DNS mondial (en fonction du TTL et des valeurs d'actualisation). En cas de problèmes de propagation après 8 heures, veuillez contacter AFRINIC au cette adresse e-mail qui est protégée du spam. Vous devez activer JavaScript pour la voir..
Section 4 : Dépannage du DNS inversé ( QU'EST-CE QUI PEUT FAIRE ?)
1. Message d'erreur si les affectations d'utilisation IP ne sont pas enregistrées dans la base de données AFRINIC :
En référence à la section 10.5 de l'AFRINIC Guide collectif des politiques (CPM), il est indiqué qu '«aucune délégation inverse de l'espace d'adressage IP administré / alloué n'est autorisée à moins qu'une attribution ou une sous-attribution de l'attribution d'adresse spécifique ne soit enregistrée de manière appropriée dans l'AFRINIC WHOIS base de données",
Le non-respect des exigences de la politique ci-dessus générera le message ci-dessous :
2. Erreur d'authentification lors de la création sur whois portail Web et e-mail.
Si votre mot de passe ne peut pas être retrouvé, les étapes suivantes vous aideront à réinitialiser le mot de passe :
- Cliquez sur WHOIS Crypt et autres utilitaires
- Saisissez le nouveau mot de passe que vous souhaitez utiliser pour le responsable.
- Cliquez sur "Générer du hachage".
- Veuillez nous envoyer la valeur de hachage BCRYPT qui sera générée. Nous l'utiliserons ensuite pour réinitialiser votre objet.
Section 5 : Sections importantes de la politique
1. Section - 10.5 - Validité de la délégation inversée
Pas de service Reverse DNS en l'absence d'affectations enregistrées :
- Aucune délégation inverse de l'espace d'adressage IP administré / alloué n'est autorisée à moins qu'une attribution ou une sous-allocation de l'allocation d'adresse spécifique ne soit enregistrée de manière appropriée dans l'AFRINIC whois base de données.
- Pour une délégation inversée / 24, au moins une affectation ou sous-allocation doit être enregistrée dans la base de données AFRINIC pour ce / 24 spécifique. Il n'est pas nécessaire d'attribuer l'intégralité du / 24 pour que la délégation inverse soit autorisée.
2. Section 10.7 - Suppression des délégations 'Lame'
Qu'est-ce que la délégation Lame?
- Ne répond pas du tout.
- Répondre d'une manière ou d'une autre, mais pas pour le domaine spécifique interrogé.
- Répondre au domaine correct, mais sans le bit d'autorité défini.
De légères délégations peuvent conduire à:
- Refus de certains services et retards dus à des dysfonctionnements DNS.
- Les délais d'expiration des serveurs qui ne répondent pas peuvent augmenter le trafic DNS entre la mise en cache et les serveurs DNS faisant autorité, ce qui peut entraîner une charge sur l'infrastructure et une augmentation des coûts d'exploitation.
Que peut faire le membre ? ( Test de délégation boiteux )
- Configurez les serveurs de noms faisant autorité pour les zones concernées
- Editez la liste des serveurs de noms dans les attributs "nserver" des objets "domaine" concernés. Les objets avec des délégations boiteuses peuvent être mis à jour par l'un des mécanismes d'interaction avec le WHOIS base de données identifiée ci-dessus.