Beantwoord

Reverse-DNS record werkt niet meer

  • 9 november 2019
  • 64 reacties
  • 651 keer bekeken


Toon eerste bericht

64 reacties

Reputatie 7
Badge +9

Beetje off-topic, maar ... ik vraag mn eigen af of het verstandig is om machines zo te configureren. Kan wel zo wezen dat je toendertijd getekend hebt voor een vast ip. Maar het kan verbolgens later ook zo zijn dat die afspraak opeens niet meer nagekomen word. Om 1 of andere reden. Kabelbreuk bijboorbeeld, die heel lang duurt voordat die opgelost is. U krijgt een noodpakket en daarbij dus ook een ander ip. Wat moet je dan?

Zet voor de gein maar eens een ssh poort open zonder IP restricties. Dat is letterlijk vliegen op de stroop, vaak heb je binnen de eerste 5 minuten al zeker duizend inlogpogingen gehad. Vinden ze overigens ook leuk op de smtp poort, maar daar wordt wat minder fanatiek op ingehakt.

Password login disable je natuurlijk. Je gebruikt public/private keys authentication. Daarnaast kun je ipv 1 enkel ip toegang te verschaffen, ook een aantal ip reeksen van KPN en Ziggo toegang verschaffen. Dan hou je ook heel veel buiten de deur en je hebt toch voor je zelf een plan b. Dan kun je bij familie / kennissen vragen of je ff bij hun het internet op mag om wat zaken te regelen.

Reputatie 7
Badge +7

@gordonb3Dat komt omdat je IP overal als residential (ie. een eind gebruiker) geregistreerd staat, oa in de PBL van Spamaus. Daarnaast weigeren een hoop mailservers mail van IP’s met generic PTRs. Mail via een thuis aansluiting werkt daarom eigenlijk altijd onbetrouwbaar en relayen of een VPS neerzetten met meer controle is aan te raden.


Dat zei ik dus al. De andere woordkeuze verandert er ook verder niets aan dat de oorsprong van deze problematiek niet bij mijn fysieke aansluiting ligt, maar bij KPN die daar een bepaalde status aan toekent en zichzelf buitengewoon onwillig toont om in het belang van klanten daar meer mogelijkheden voor te creëren.

 

Het *is* een residential IP, namelijk het IP van een eind gebruiker. Dat is niet iets wat wij specifiek bepaald hebben, anders dan het IP toe te kennen aan een eind gebruiker. Toegegeven, wij hebben de PBL gevult, maar wel met de mogelijkheid je te delisten. De meeste andere lijsten (Abusix) scannen simpelweg voor generic rDNS, wat altijd een uitstekende indicatie is voor een IP waar geen mail vandaan hoort te komen. Mailservers staan normaal gesproken immers niet bij eind gebruikers thuis. Het overgrote deel van spam komt hier echter wel vandaan (hoewel cloud providers steeds populairder worden voor spammers, mede door dit soort policies).

 

Edit: Zelf gebruik ik DenyHosts om SSH te beschermen. Dit kan je ook nog zo instellen dat het een shared blacklist gebruikt, zodat je ook IP adressen blokkeerd welke door andere DenyHosts gebruikers gezien worden. Werkt uitstekend en geeft geen merkbare performance decrease zelfs bij een grote blacklist: http://denyhosts.sourceforge.net/

 

Fail2ban is ook uitstekend, zoals al genoemd, en kan ook goed voor meerdere diensten gebruikt worden. het werkt echter niet meteen uit de doos en vraagt wat config.

Reputatie 1
Badge

Overigens, als je je echt zo druk maakt om hackers die op je SSH weten in te breken, dan zou ik gewoon SSH-keys gaan gebruiken ipv een user/pass combinatie. Ik wens ze veel success met die te kraken.

 

Het gaat er helemaal niet over dat ik bang zou zijn dat ze inbreken, dat heb ik ook helemaal niet gezegd. Waar het om gaat is dat dit energiezuinige machientjes zijn welke niet zijn gebouwd om een dergelijke load te kunnen verwerken. Het publiekelijk openstellen van bijvoorbeeld de SSH poort maakt daarmee de-facto de machine reeds onbruikbaar.

 

Reputatie 1
Badge

Het *is* een residential IP, namelijk het IP van een eind gebruiker. Dat is niet iets wat wij specifiek bepaald hebben, anders dan het IP toe te kennen aan een eind gebruiker. Toegegeven, wij hebben de PBL gevult, maar wel met de mogelijkheid je te delisten. De meeste andere lijsten (Abusix) scannen simpelweg voor generic rDNS, wat altijd een uitstekende indicatie is voor een IP waar geen mail vandaan hoort te komen. Mailservers staan normaal gesproken immers niet bij eind gebruikers thuis. Het overgrote deel van spam komt hier echter wel vandaan (hoewel cloud providers steeds populairder worden voor spammers, mede door dit soort policies).

Even terug naar het begin:

  • Waarom *moet* het een dynamisch IP adres zijn wanneer er een TV achter zit?
  • Op basis waarvan oordeelt KPN dat er geen mailserver zou mogen staan op een adres met een TV?
  • Waarom wil KPN met alle geweld mijn IP adres kunnen veranderen, even los van dat dit de afgelopen acht jaar niet is voorgekomen,  zonder mij daarvan op voorhand van in kennis te stellen?
  • Wat gaat er in de koppies van het management rond dat KPN mensen met een TV kennelijk niet als volwaardige internetgebruikers wenst te beschouwen?
Reputatie 7
Badge +7

Een aansluiting met TV hoeft geen dynamisch IP te zijn, dat is bij ons echter simpelweg het geval, daar TV enkel op dergelijke aansluitingen geleverd word.

 

Er mag prima een mailserver staan op verbindingen met een TV. “Het internet” heeft echter besloten om zo veel mogelijk mail van residential IP adressen te weigeren. Simpelweg omdat hier de overgrote hoeveelheid van de spam vandaan komt en het overgrote deel van de mailservers op een fixed IP staan.

De uitzonderingen op de regel, zoals jij en ik, zullen hier omheen moeten werken. Zoals wel vaker het geval met uitzonderingen. Workarounds kunnen bestaan uit het instellen van een smarthost of het afnemen van een VPS.

Reputatie 7

Dennis heeft het issue ook voor mijn adsl-surfen.hetnet.nl aansluiting weten te fixen. 

Mijn dank is groot.

Reputatie 1
Badge

Een aansluiting met TV hoeft geen dynamisch IP te zijn, dat is bij ons echter simpelweg het geval, daar TV enkel op dergelijke aansluitingen geleverd word.

Sorry, maar nu maak je er een soort van algemene regel van om te kunnen verkondigen dat ik onzin verkoop terwijl het dus precies om dat bijzinnetje gaat dat KPN dit als policy hanteert.

En dat hele “eromheen werken”, dat gaat dus gewoon niet. Want ik kan wel heel leuk van mijn huidige A record een CNAME maken naar een of andere dyndns service, maar daarmee kan ik nog steeds niet tevens het MX record voor mijn domein matchen aan het nieuwe PTR record. Waarbij ik dan ongetwijfeld wel nog steeds mail kan verzenden, omdat de KPN relay ervan uitgaat dat ik rechtstreeks met iets als Outlook verbinding maak en er in de headers toch alleen maar troep staat met een RFC1918 adres, maar aan mijn domein gerichte emails vervolgens bij @wjb of zo terechtkomen.

Dus nogmaals: wat is de grondslag van deze totaal nodeloze onwil aan de kant van KPN? Waarom wil KPN met alle geweld een zwaard van damocles boven mijn privédiensten houden? Wat wil KPN hiermee winnen en welk bedrag wil KPN van mij hebben om mij van dat kruis te verlossen?

Reputatie 7

Een aansluiting met TV hoeft geen dynamisch IP te zijn, dat is bij ons echter simpelweg het geval, daar TV enkel op dergelijke aansluitingen geleverd word.

Sorry, maar nu maak je er een soort van algemene regel van om te kunnen verkondigen dat ik onzin verkoop ...

Ik denk niet dat dat de intentie van Dennis is.

Reputatie 1
Badge

Een aansluiting met TV hoeft geen dynamisch IP te zijn, dat is bij ons echter simpelweg het geval, daar TV enkel op dergelijke aansluitingen geleverd word.

Sorry, maar nu maak je er een soort van algemene regel van om te kunnen verkondigen dat ik onzin verkoop ...

Ik denk niet dat dat de intentie van Dennis is.


Ik kan daar vooralsnog niet over oordelen, ik constateer slechts dat hij een vraag/aanmerking welke specifiek betrekking heeft op de opstelling van KPN ombuigt in een generale stelling om vervolgens als reactie te geven dat de generale stelling onjuist is maar wel de keuze van KPN. Hij geeft dus totaal geen antwoord maar herhaalt slechts de gestelde vraag.

 

Even los hiervan vind ik het allemaal geweldig boe mensen hier proberen mee te denken hoe ik een probleem zou kunnen oplossen dat in eerste instantie niet had mogen bestaan, maar precies dat laatste is waar ik het grootste probleem mee heb. Ik heb in dit onderwerp mogen vernemen dat KPN zich eenzijdig niet aan de afspraken wenst te houden welke ik acht jaar geleden met ze ben aangegaan. Dat vind ik gewoon niet leuk.

Reputatie 7
Badge +7

Volgens mij word er een beetje in cirkels gedraait en gaat dit niet ergens heen. De accute problemen zijn opgelost in ieder geval.

 

@wjb Geen probleem, uiteraard! :)

Zou mijn DNS van ipXXXXXX.direct-adsl.nl (rest volgt bij DM) ook hersteld kunnen worden? De reverse DNS werkt wel.
 

Reputatie 1
Badge

Volgens mij word er een beetje in cirkels gedraait en gaat dit niet ergens heen. De accute problemen zijn opgelost in ieder geval.

Als er hier al iets in cirkels draait dan zal dat jouw bureaustoel zijn.

Reputatie 1
Badge

Even voor de duidelijkheid: van mij uit is er geen enkel verschil of mijn mogelijkheid om email te kunnen ontvangen onmogelijk wordt gemaakt door het wissen van het A record, of dat dit A record ineens naar een onjuiste aansluiting verwijst. Dat jij het eerste kennelijk wel als iets belangrijks identificeert maar vervolgens de tweede variant daarop niet geeft alleen maar aan dat je het niet begrijpt. Of meer waarschijnlijk: wilt begrijpen.

Reputatie 1
Badge

Zet anders deze gewoon weer open:

https://forum.kpn.com/e-mail-10/kpn-smtp-relay-systeem-vanaf-15-juni-offline-359278

 

Tenslotte is dat waar het allemaal begon.

Reageer