Beantwoord

Reverse DNS incorrect bij eigen mailserver

  • 7 November 2019
  • 19 reacties
  • 835 keer bekeken

Today I tried to send an e-mail through my own mail server. It was rejected because the reverse DNS was incorrect. It worked a week ago, but it seems that KPN is doing something, but made the problem even worse:

 

hvdkamer@obelix:~$ dig @ns13.kpn.net *****.speed.planet.nl
...
;; AUTHORITY SECTION:
speed.planet.nl. 3600 IN SOA ns1.kpn.net. zonemaster.kpn.com. 2019110501 10800 3600 604800 3600
...

 

Same answer from ns14. The date suggests that this change is done two days ago. Please correct this problem ASAP. Lots of things need correct reverse DNS on the IP addresses for combating fraud. I will make a blogpost on this problem and I won't be nice for this kind of breaking things…

 

admin: eigen topic aangemaakt. Oorspronkelijke topic

icon

Beste antwoord door wjb 16 November 2019, 10:35

Bekijk origineel

Dit topic is gesloten. Staat je antwoord hier niet bij, gebruik dan de zoekfunctie van de Community of stel je vraag in een nieuw topic.

19 reacties

Hmm, waarom verplaatsen? Het oorspronkelijke topic -- en die ging over de reverse DNS -- was in het Engels, vandaar dat bovenstaande eveneens die taal gebruikt. Mij is altijd geleerd eerst te zoeken en niet nieuwe topics aan te maken als er reeds een topic over dit onderwerp bestaat. Maar blijkbaar geldt dat tegenwoordig niet meer?

 

Hoe dan ook, KPN is aan het knoeien. Ik heb zojuist een mailtje gestuurd naar het NOC en andere adressen die genoemd worden voor de beheerders van 86.80.0.0/13. Reverse DNS behoort in orde te zijn en tot voor kort was dat het geval. Nu krijgen we:

 

 

Dat breekt de nodige beveiligingen die tegenwoordig essentieel zijn. Ik hoop dat er snel actie wordt ondernomen. Mogelijk is men bezig om de oude namen uit te moorden? Op zich zou dat niet verkeerd zijn, maar al twee dagen het op deze manier laten hangen is niet professioneel…

 

*Admin: gegevens verwijderd i.v.m. privacy

Reputatie 7

Unfortunately a lot of KPN customers in the domain adsl-surfen.hetnet.nl are waiting already a long time for the correct settings of reverse DNS as well.

I am very sorry to hear that this now also seems to be the case for the domain speed.planet.nl.

 

I really hope that KPN will solve this as soon as possible for all domains.

If I get an answer from the people working at the NOC, I will post a summary here. The above broke between 30 October and today. Last week I didn't send e-mail, so the precise date is unknown. However the serial number in the SOA suggests that it happened on 5 November.

 

It could be that they want to murder all the old names. Which I can understand. But now they broke it and that is not professional. The alternative should be alive before you switch. This is not difficult, it is just bookkeeping :) .

Reputatie 7

If I get an answer from the people working at the NOC, I will post a summary here.

Looking forward to the summary.

 

It could be that they want to murder all the old names. Which I can understand. But now they broke it and that is not professional. The alternative should be alive before you switch. This is not difficult, it is just bookkeeping 🙂 .

I totally agree.

I however doubt that the reason is that they want to kill old names. On the other hand it would be much better if KPN would merge all those domains to one it will make maintenance a lot easier.

 

Edit: Ik zat me al af te vragen, een Nederlandse naam en toch alles in het Engels. Vanaf nu maar gewoon in het Nederlands. :wink:

Reputatie 7

@Erwin_, heb jij nog wat van de "technische afdeling" gehoord t.a.v. dit fenomeen? 

Zie jouw bericht in het oorspronkelijke topic waar dit topic van afgesplitst is?

Reputatie 7

Voor mijn aansluiting werkt de reverse DNS wel…

...maar kan op basis van het verkregen domein geen IP adres (DNS entry) gevonden worden.

Waarom is er geen DNS record beschikbaar?

Same here, sinds een paar dagen is het DNS A-record voor ip*********.speed.planet.nl verdwenen, terwijl het PTR-record voor reverse lookup er nog wel is.

Wat zijn jullie aan het doen?
Hier zijn in al die jaren geen problemen mee geweest.

Voor mijn aansluiting werkt de reverse DNS wel…

 

Met reverse DNS in controles bedoelen we meestal dat beide richtingen hetzelfde resultaat oplveren. Ofwel een server kan over het algemeen aannemen dat het IP-adres klopt. Deze wordt vertaald naar een naam en vervolgens moet die naam exact hetzelfde IP-adres opleveren. De aanname is dat alleen de eigenaar van een IP-adres deze dubbele controle kan laten kloppen. Ofwel in dit geval moet KPN daar voor zorgen.

Bij mij gaat eveneens de stap van IP-adres naar naam goed. Ik zie dat iemand dat heeft aangepast vanwege privacy. Ik laat ook op mijn blog gewoon de echte IP-adressen staan. Ten eerste kan iedereen die ontdekken, ofwel het geeft geen echte bescherming. En aangezien IP-adressen bij providers dynamisch zijn, kan niemand beweren dat het IP-adres van mij is. Sterker nog, als dat het geval zou zijn, had de controle geklopt :) .

De stap van naam naar IP-adres werkt niet meer. In de logs van mijn mailserver kan ik achterhalen dat het op 30 oktober j.l. nog werkte en op 7 november niet meer. In het serienummer van de SOA wordt zo te zien een datum -- vrij gebruikelijk -- gebruikt en dat geeft aan dat iemand bij KPN het systeem op 5 november in een tweede poging kapot heeft gemaakt. Die persoon moet dus een paar fikse klappen krijgen voor het niet controleren of de wijzigingen correct waren.

Helaas -- maar wel verwacht -- geen antwoord van de mensen in de NOC. Op dit moment is het systeem nog steeds kapot. Helaas is bijna alle glasvezel in handen van KPN en geeft dit mij weinig vertrouwen in de toekomst. Idem voor IPv6 dat na vijf jaar beloftes nog steeds niet werkt. Waarna ze ook nog het lef hebben om XS4ALL te vermoorden. Hoe dom kan je zijn...

Reputatie 7

Voor mijn aansluiting werkt de reverse DNS wel…

Met reverse DNS in controles bedoelen we meestal dat beide richtingen hetzelfde resultaat oplveren.

Snap ik, het enige wat ik wil aangeven is dat het feitelijke probleem niet de reverse DNS (van IP naar domein) is maar maar het ontbreken van de DNS records voor het domein om van domein naar IP te komen.

Correct. Ik heb echter niet de titel bedacht :). En zoals gezegd dekt het ondanks dat het niet exact correct is, wel wat er nodig is om het probleem op te lossen.

Zoals gezegd hoop ik nog steeds dat het gewoon uitmoorden is van oude namen. Ik zit bij Telfort -- één van de laatste die zich daar heeft aangemeld -- en zo bekeken was de naam van het IP-adres sowieso al onjuist. Nu ook Telfort in de eenheidsworst gaat verdwijnen, kan ik me voorstellen dat alles nu gecentraliseerd wordt naar een KPN naamgeving.

Aan de andere kant zou het me niet verbazen als iemand iets doms heeft gedaan en dat dit nooit meer correct hersteld wordt. Zou niet de eerste keer zijn. De afgelopen jaren heb ik zeker zeven onjuiste instellingen gemeld bij het NOC en geen daarvan zijn ooit opgelost. Het interesseert ze blijkbaar niets? Helaas heb ik hier geen enkele keuze. Het is of glasvezel via het KPN netwerk of ADSL via een KPN telefoonlijn. Linksom of rechtsom zitten we hier vast aan KPN. Met dank aan ACM die niets snapt van marktwerking...

Reputatie 7

Het issue rond reverse DNS speelt al jaren voor abonnees in het domein adsl-surfen.hetnet.nl en nog altijd heeft KPN niets maar dan ook niets gedaan om het te verhelpen. Door duidelijk aan te geven waar het fout gaat hoop ik dat ze in gaan zien dat een oplossing eigenlijk wel eens heel eenvoudig zou kunnen blijken te zijn.

Ik hoop dat @Erwin_ dit binnen KPN eens flink wil gaan najagen want het wordt hoog tijd dat er oplossingen gaan komen.

@wjb . Ik zit in najaag modus. Heb de mensen die hier direct mee te maken hebben weer gemaild. Heb tevens alle (recente) voorbeelden mee gestuurd. 

 

Reputatie 7

@wjb . Ik zit in najaag modus. Heb de mensen die hier direct mee te maken hebben weer gemaild. Heb tevens alle (recente) voorbeelden mee gestuurd. 

En nu maar hopen dat de handschoen wordt opgepakt.

Dag allen 

https://forum.kpn.com/internet-9/reverse-dns-record-werkt-niet-meer-483433

 

Mochten er updates zijn, zal ik die in dat topic plaatsen.

Same here, sinds een paar dagen is het DNS A-record voor ip*********.speed.planet.nl verdwenen, terwijl het PTR-record voor reverse lookup er nog wel is.

Wat zijn jullie aan het doen?
Hier zijn in al die jaren geen problemen mee geweest.


DNS A-records zijn hersteld!

Reputatie 7

Voor het domein speed.planet.nl lijkt dit generiek voor alle IP adressen hersteld te zijn.

Voor het domein adsl-surfen.hetnet.nl lijkt het DNS A-record voor individuele IP adressen vastgelegd te worden. Zo is eergisteren het DNS A record voor mijn IP adres gelukkig vastgelegd, maar voor andere adsl-surfen.hetnet.nl adressen ontbreekt een DNS A-record nog altijd.

@wjb , hier nog een speed.planet.nl adres, waar geen A record voor gevonden is.

Zou je me verder kunnen helpen? :)

Reputatie 7

@wjb, hier nog een speed.planet.nl adres, waar geen A record voor gevonden is.

Zou je me verder kunnen helpen? :)

Dat kan ik helaas niet immers ik ben, net als jij, gewoon een klant van KPN en lid van dit forum.

Ik hoop dat een KPN moderator jouw verzoek alsnog op zal pakken.

In het centrale topic geeft @Dennis ABD  aan dat deze issues centraal worden opgelost.

Zoals hij zelf al aangeeft hebben wij (nog) geen oplostermijn. We zullen hier op moeten wachten.