[vpsFree.cz: community-list] KB: vysvětlení reverse DNS

[Ing. Lukáš Jelínek - AIKEN]

Vícero názvů pro tentýž SMTP server přináší navíc ještě problémy s 
certifikáty. Samozřejmě ne, pokud to bude wildcard certifikát a pokryje 
všechny názvy, případně bude obsahovat jako alternativní názvy všechny 
používané (což ale moc obvyklé není). Obecně je lepší mít jen jeden 
název, pro ten mít nastaven PTR záznam a vytvořen certifikát.


> Dne 14.8.2015 v 09:36 Stanislav Petr napsal(a):
>> Takze se bojim ze spis to melo vypadat tak ze podpora vpsfree nevi co je
>> to PTR, ze kazda adresa muze mit vice PTR zaznamu, a v takovem pripade
>> je potreba zejmena hlidat aby celkova velikost odpovedi nepresahla 512B,
>> protoze nektere SW implementace maji problem s EDNS u reverznich
>> prekladu (RFC6891).
> Ano, adresa skutečně může mít víc PTR záznamů, to zakázané není, ale
> prakticky je to dost na nic, protože drtivá většina aplikací, které
> zjišťují reverzní záznam, nedokáží zpracovat víc než jednu odpověď. Pak
> to vypadá třeba takhle:
>
> $ ping php.sh.cvut.cz
> PING php.sh.cvut.cz (147.32.30.201) 56(84) bytes of data.
> 64 bytes from dvbgrab.siliconhill.cz (147.32.30.201): icmp_seq=1 ttl=58
> time=1.40 ms
> 64 bytes from televize.siliconhill.cz (147.32.30.201): icmp_seq=2 ttl=58
> time=0.664 ms
> 64 bytes from autodesk.siliconhill.cz (147.32.30.201): icmp_seq=3 ttl=58
> time=0.671 ms
> 64 bytes from menza.siliconhill.cz (147.32.30.201): icmp_seq=4 ttl=58
> time=0.649 ms
> 64 bytes from cryptofest.sh.cvut.cz (147.32.30.201): icmp_seq=5 ttl=58
> time=0.637 ms
> 64 bytes from hudebny.sh.cvut.cz (147.32.30.201): icmp_seq=6 ttl=58
> time=0.709 ms
> 64 bytes from volby.sh.cvut.cz (147.32.30.201): icmp_seq=7 ttl=58
> time=0.674 ms
> 64 bytes from sit.siliconhill.cz (147.32.30.201): icmp_seq=8 ttl=58
> time=0.661 ms
> 64 bytes from mucirna.sh.cvut.cz (147.32.30.201): icmp_seq=9 ttl=58
> time=0.685 ms
> 64 bytes from zapisy.siliconhill.cz (147.32.30.201): icmp_seq=10 ttl=58
> time=0.746 ms
> 64 bytes from volby.siliconhill.cz (147.32.30.201): icmp_seq=11 ttl=58
> time=0.767 ms
> 64 bytes from jobs.siliconhill.cz (147.32.30.201): icmp_seq=12 ttl=58
> time=0.684 ms
> …
>
> Rozhodně bych tohle nebral jako nejlepší současnou praxi. Naopak, server
> by měl mít jedno kanonické jméno, tedy takové, které má A a AAAA
> záznamy. Na toto jméno by měl vést reverzní záznam. Ostatní jména (např.
> jména webových služeb, který daný server provozuje), by měla být řešena
> jako aliasy (CNAME záznamy) na kanonické jméno. Tuhle praxi popisuje už
> RFC1034:
> http://tools.ietf.org/html/rfc1034#section-3.6.2
>
> Pravda, trochu nám to nabourává nemožnost úmístit CNAME záznam do apexu
> zóny, takže pokud chcete webovou službu funkční i bez úvodního www., je
> nutné přidat do apexu A a AAAA záznamy. To by měla být ale jediná
> příležitost, kdy duplikovat A a AAAA záznamy k jedné adrese.
>
> MX záznam by pak měl vždy ukazovat na kanonické jméno nameserveru, který
> by se taktéž kanonickým jménem měl představovat v SMTP komunikaci.
> Rozhodně bych nedoporučoval používat tzv. vanity MX, tedy vícero názvů
> pro tentýž SMTP server.
>
> Možná by tohle chtělo taky zapracovat do nějakého KB článku :)
>
> --
> Ondra
>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20150814/6ecc79cc/attachment-0002.html>