Seção 1: O que é DNS reverso
O DNS reverso é um serviço baseado em consulta e resposta, de modo que, quando um endereço IP é usado para acessar um site ou enviar um e-mail, o DNS reverso pode ser empregado para determinar o domínio associado.
Seção 2: Delegação reversa de DNS
2.1 Delegação de DNS reverso
Os Registros Regionais da Internet, como o AFRINIC, gerenciam o processo de delegação reversa para suas respectivas regiões. Compreender a estrutura hierárquica e o processo de delegação do DNS reverso é essencial para manter a configuração adequada e garantir pesquisas eficientes de endereços IP no ecossistema da Internet.
Hierarquia do DNS reverso
Registros PTR e arquivos de zona
Processo de Delegação Reversa AFRINIC
Os servidores AFRINIC DNS fornecem referências para os recursos IP delegados a seus membros de recurso.
Para solicitar a delegação reversa, os detentores de recursos precisam criar um objeto de domínio no AFRINIC WHOIS Base de dados. Os membros também devem configurar zonas DNS reversas em seus servidores de nomes com antecedência, pois os servidores AFRINIC realizarão a verificação para garantir que as configurações adequadas já estejam em vigor. Recomenda-se ter pelo menos dois servidores de nomes para fins de redundância. Se os servidores de nomes estiverem configurados corretamente, o AFRINIC propaga a delegação para o Domain Name System. No entanto, se um servidor DNS não estiver configurado corretamente, ele será detectado como um servidor DNS lame e a solicitação de delegação poderá ser descartada, a menos que o problema seja resolvido imediatamente.
2.2 Uso de DNS reverso
-
Autenticação de e-mail: o DNS reverso é um componente essencial dos mecanismos de autenticação de e-mail, como SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail). Verificar se o endereço IP usado para enviar e-mails corresponde ao domínio especificado no endereço do remetente ajuda a combater o spam de e-mail e melhorar a capacidade de entrega.
-
Solução de problemas de rede: ao usar o DNS reverso, os administradores de rede podem identificar o domínio associado a um endereço IP problemático usando os dados de log com nomes de host legíveis por humanos em vez de endereços IP numéricos, permitindo que eles identifiquem a origem dos problemas de rede com mais eficiência.
-
Segurança e controle de acesso: o DNS reverso é frequentemente usado em configurações de firewall e sistemas de controle de acesso. Ele permite que as organizações definam regras com base em nomes de domínio em vez de endereços IP, aprimorando as medidas de segurança e facilitando o gerenciamento de rede.
2.3 Problemas comuns de DNS reverso
1. Falta de delegação de DNS reverso
- O AFRINIC mantém informações autorizadas para os blocos de IP que administram e seus servidores DNS autoritativos fornecem referências se contiverem as informações do servidor de nomes (NS) da operadora de rede no que é chamado de delegação DNS reversa.
- Por exemplo, AFRINIC administra o prefixo 196/8 e tem o domínio correspondente 196.in-addr.arpa.
- Os membros do recurso devem solicitar a delegação registrando seus servidores de nomes DNS no banco de dados AFRINIC.
- Por exemplo, a operadora de rede com 196.1.0.0/24 deve registrar o domínio 0.1.196.in-addr.arpa.
2. Falta de registros PTR para seu endereço IP
- Um registro PTR mapeia um endereço IP para um nome de host dentro da zona DNS reversa.
- Os operadores de rede devem criar registros PTR para seus servidores de e-mail, permitindo a pesquisa DNS reversa para estabelecer a autoridade do servidor para enviar e receber e-mails. Se um servidor DNS não possuir o registro PTR apropriado, a pesquisa DNS reversa falhará. Consequentemente, o envio de e-mails de tal servidor pode ser rejeitado por provedores de e-mail que exigem um registro de DNS reverso válido.
3. Registro de DNS reverso incorreto
- Um registro de DNS reverso incorreto pode causar falha no serviço ou na delegação de DNS, afetando outras funcionalidades da rede, levando à rejeição de e-mails enviados do servidor. É crucial garantir a precisão dos registros PTR para manter a resolução DNS reversa adequada.
4. Resolução lenta de DNS reverso
- Atrasos nas pesquisas de DNS reverso podem ocorrer devido ao congestionamento da rede ou problemas com o desempenho do servidor DNS. Se a resolução lenta do DNS reverso se tornar um problema, servidores DNS alternativos podem ser usados para determinar se o problema persiste. Nesses casos, é recomendável entrar em contato com o provedor de hospedagem ou administrador de rede para uma investigação mais aprofundada.
Seção 3: Etapas para configurar a delegação reversa no AFRINIC WHOIS banco de dados
-
Registrar Atribuições no WHOIS Banco de dados: Para membros do Local Internet Registry (LIR), é obrigatório registrar as atribuições de utilização de IP no AFRINIC WHOIS banco de dados antes de iniciar o registro de DNS reverso. O AFRINIC requer pelo menos uma cessão registrada para cumprir a política de aceitação de delegações reversas.
- Limites de delegação para IPv4 e IPv6: AFRINIC permite delegação reversa em limites de 8 bits para IPv4 endereços, normalmente /16 ou /24.
Etapa 1. Configurações de DNS em seus servidores de nomes
-
Criar zona reversa: certifique-se de que a zona reversa seja criada antes de prosseguir com a solicitação de delegação de DNS reverso.
-
Configurar registros PTR: Configure corretamente os registros PTR nas zonas reversas. Esses registros facilitam o mapeamento de endereços IP para nomes de domínio.
-
Uniformidade no registro de recursos SOA: mantenha a consistência entre todos os servidores de nomes, garantindo que o registro de recursos SOA (Start of Authority) contenha o mesmo número de série e outro conteúdo de dados. A SOA também deve incluir um 'rname' válido, que representa o endereço de contato para fins administrativos.
Passo 2. Registre seu(s) Domínio(s) nos Servidores AFRINIC
2.1 Através MyAfrinic Portal de membros
- Logar em https://my.afrinic.net
- Vá para Recursos -> Delegação Reversa
- Clique em "+" para expandir a alocação de destino
- Clique na opção "Adicionar delegação reversa" para adicionar o domínio
- Atualize os detalhes e envie
2.2 Através do whois portal web
- Por favor vá a https://afrinic.net/whois
- Clique em "criar objeto", escolha "domínio" e carregue.
- Preencha o formulário conforme solicitado e, em seguida, envie-o.
2.3 Por e-mail e vale para atualizações em massa
A propagação pode levar algumas horas para refletir totalmente no sistema DNS global (dependendo do TTL e dos valores de atualização). Em caso de desafios com propagação após 8 horas, entre em contato com AFRINIC em Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo..
Seção 4: Solução de problemas de DNS reverso (O QUE PODE DAR ERRADO!)
1. Mensagem de erro se as atribuições de utilização de IP não estiverem registradas no banco de dados AFRINIC:
Com referência à seção 10.5 do AFRINIC Manual de políticas consolidadas (CPM), afirma-se que “Nenhuma delegação reversa de espaço de endereço IP administrado/alocado é permitida, a menos que uma atribuição ou subalocação da alocação de endereço específico seja registrada apropriadamente no AFRINIC WHOIS base de dados",
O não cumprimento dos requisitos da política acima gerará a mensagem abaixo:
2. Erro de autenticação ao criar em whois portal web e e-mail.
Caso sua senha não possa ser rastreada, as etapas a seguir ajudarão a redefinir a senha:
- Acesse WHOIS Cripta e outros utilitários
- Insira a nova senha que você deseja usar para o mantenedor.
- Clique em "Gerar hash".
- Por favor, envie-nos o valor de hash BCRYPT que será gerado. Em seguida, usaremos isso para redefinir seu objeto.
Seção 5: seções importantes da política
1. Cláusula - 10.5 - Validade da Delegação Reversa
Nenhum serviço de DNS reverso na ausência de atribuições registradas:
- Nenhuma delegação reversa de espaço de endereço IP administrado / alocado é permitida, a menos que uma atribuição ou subalocação da alocação de endereço específica seja registrada apropriadamente no AFRINIC whois base de dados.
- Para uma delegação reversa / 24, pelo menos uma atribuição ou subalocação deve ser registrada no banco de dados AFRINIC para esse / 24 específico. O / 24 inteiro não precisa ser atribuído para que a delegação reversa seja permitida.
2. Seção 10.7 - Remoção de Delegações 'Lame'
O que é a Delegação Lame?
- Não estou respondendo.
- Respondendo de alguma forma, mas não para o domínio específico consultado.
- Respondendo ao domínio correto, mas sem o bit de autoridade definido.
Delegações coxas podem levar a:
- Negação de certos serviços e atrasos devido a mau funcionamento do DNS.
- Tempos limite de servidores que não respondem podem aumentar o tráfego de DNS entre servidores de cache e DNS autorizados, resultando em possível carga na infraestrutura e aumento dos custos operacionais.
O que o Membro pode fazer? (Teste de Delegação Lame)
- Configure os servidores de nomes autorizados para as zonas relevantes
- Edite a lista de servidores de nomes nos atributos "nserver" dos objetos "domínio" relevantes. Objetos com delegações lame podem ser atualizados por um dos mecanismos de interação com o WHOIS banco de dados identificado acima.