Обратный DNS и SMTP

Question

Я в процессе реализации Forward Confirmed Reverse DNS для моего SMTP-сервера.Прочитав немного, я обнаружил, что лучше всего выполнить поиск по IP-адресу, найденному на другом конце SMTP-соединения (не в заголовке почты, потому что этот IP-адрес подделан легче).Получив имя хоста, я могу сравнить его с доменом электронной почты «from» в заголовке и определить, является ли электронная почта действительной.

Тем не менее, я подумал об этом и понял, что это может не быть IP, против которого я хочу провести поиск.Если почтовое сообщение должно было проходить через несколько SMTP-серверов по пути к моему, не будет ли IP на другом конце SMTP-соединения возвращать DNS обратно в домен SMTP-сервера «последнего прыжка», а не в доменадрес электронной почты 'from'?

И если вышеприведенное верно, как узнать, какой IP-адрес является правильным для поиска?

Спасибо, -Ben

Answer 1

FCrDNS подтверждает только то, что отправляющий сервер правильно настроил DNS. То есть, вы получаете входящее соединение с 1.2.3.4, вы ищите 1.2.3.4, чтобы получить what.example.com, затем вы ищите what.example.com. Если это приводит к 1.2.3.4, то испытание проходит.

Вы не хотите делать эту проверку по отношению к доменному имени, которое на самом деле находится внутри почтового заголовка. Если на сервере размещена электронная почта для сотен доменов, то описанный вами метод завершится ошибкой как минимум 99 из них, поскольку обратная проверка может вернуть только одно имя хоста. Вы не можете предполагать, что легальная почта для example.com будет когда-либо поступать только с сервера, размещенного на доменном имени example.com.

Что вы, вероятно, хотите сделать вместо этой проверки, это реализовать SPF.

Редактировать: Вы можете сделать правильную проверку FCrDNS в дополнение к SPF, но я обнаружил, что это больше проблем, чем стоит, поскольку существует множество неправильно настроенных серверов. Скорее всего, вы потратите большую часть своего времени на поиск ложных срабатываний.