Login
Winkelmandje
Webmail
Beantwoord

Reverse-DNS record werkt niet meer

  • 9 november 2019
  • 74 reacties
  • 1495 keer bekeken
Toon eerste bericht

74 reacties

Nick83
Rank
Reputatie 7
Badge +20

Beetje off-topic, maar ... ik vraag mn eigen af of het verstandig is om machines zo te configureren. Kan wel zo wezen dat je toendertijd getekend hebt voor een vast ip. Maar het kan verbolgens later ook zo zijn dat die afspraak opeens niet meer nagekomen word. Om 1 of andere reden. Kabelbreuk bijboorbeeld, die heel lang duurt voordat die opgelost is. U krijgt een noodpakket en daarbij dus ook een ander ip. Wat moet je dan?

Zet voor de gein maar eens een ssh poort open zonder IP restricties. Dat is letterlijk vliegen op de stroop, vaak heb je binnen de eerste 5 minuten al zeker duizend inlogpogingen gehad. Vinden ze overigens ook leuk op de smtp poort, maar daar wordt wat minder fanatiek op ingehakt.

Password login disable je natuurlijk. Je gebruikt public/private keys authentication. Daarnaast kun je ipv 1 enkel ip toegang te verschaffen, ook een aantal ip reeksen van KPN en Ziggo toegang verschaffen. Dan hou je ook heel veel buiten de deur en je hebt toch voor je zelf een plan b. Dan kun je bij familie / kennissen vragen of je ff bij hun het internet op mag om wat zaken te regelen.

Dennis ABD
Rank
Reputatie 7
Badge +7

@gordonb3Dat komt omdat je IP overal als residential (ie. een eind gebruiker) geregistreerd staat, oa in de PBL van Spamaus. Daarnaast weigeren een hoop mailservers mail van IP’s met generic PTRs. Mail via een thuis aansluiting werkt daarom eigenlijk altijd onbetrouwbaar en relayen of een VPS neerzetten met meer controle is aan te raden.


Dat zei ik dus al. De andere woordkeuze verandert er ook verder niets aan dat de oorsprong van deze problematiek niet bij mijn fysieke aansluiting ligt, maar bij KPN die daar een bepaalde status aan toekent en zichzelf buitengewoon onwillig toont om in het belang van klanten daar meer mogelijkheden voor te creëren.

 

Het *is* een residential IP, namelijk het IP van een eind gebruiker. Dat is niet iets wat wij specifiek bepaald hebben, anders dan het IP toe te kennen aan een eind gebruiker. Toegegeven, wij hebben de PBL gevult, maar wel met de mogelijkheid je te delisten. De meeste andere lijsten (Abusix) scannen simpelweg voor generic rDNS, wat altijd een uitstekende indicatie is voor een IP waar geen mail vandaan hoort te komen. Mailservers staan normaal gesproken immers niet bij eind gebruikers thuis. Het overgrote deel van spam komt hier echter wel vandaan (hoewel cloud providers steeds populairder worden voor spammers, mede door dit soort policies).

 

Edit: Zelf gebruik ik DenyHosts om SSH te beschermen. Dit kan je ook nog zo instellen dat het een shared blacklist gebruikt, zodat je ook IP adressen blokkeerd welke door andere DenyHosts gebruikers gezien worden. Werkt uitstekend en geeft geen merkbare performance decrease zelfs bij een grote blacklist: http://denyhosts.sourceforge.net/

 

Fail2ban is ook uitstekend, zoals al genoemd, en kan ook goed voor meerdere diensten gebruikt worden. het werkt echter niet meteen uit de doos en vraagt wat config.

gordonb3
Rank
Reputatie 2
Badge

Overigens, als je je echt zo druk maakt om hackers die op je SSH weten in te breken, dan zou ik gewoon SSH-keys gaan gebruiken ipv een user/pass combinatie. Ik wens ze veel success met die te kraken.

 

Het gaat er helemaal niet over dat ik bang zou zijn dat ze inbreken, dat heb ik ook helemaal niet gezegd. Waar het om gaat is dat dit energiezuinige machientjes zijn welke niet zijn gebouwd om een dergelijke load te kunnen verwerken. Het publiekelijk openstellen van bijvoorbeeld de SSH poort maakt daarmee de-facto de machine reeds onbruikbaar.

 

gordonb3
Rank
Reputatie 2
Badge

Het *is* een residential IP, namelijk het IP van een eind gebruiker. Dat is niet iets wat wij specifiek bepaald hebben, anders dan het IP toe te kennen aan een eind gebruiker. Toegegeven, wij hebben de PBL gevult, maar wel met de mogelijkheid je te delisten. De meeste andere lijsten (Abusix) scannen simpelweg voor generic rDNS, wat altijd een uitstekende indicatie is voor een IP waar geen mail vandaan hoort te komen. Mailservers staan normaal gesproken immers niet bij eind gebruikers thuis. Het overgrote deel van spam komt hier echter wel vandaan (hoewel cloud providers steeds populairder worden voor spammers, mede door dit soort policies).

Even terug naar het begin:

  • Waarom *moet* het een dynamisch IP adres zijn wanneer er een TV achter zit?
  • Op basis waarvan oordeelt KPN dat er geen mailserver zou mogen staan op een adres met een TV?
  • Waarom wil KPN met alle geweld mijn IP adres kunnen veranderen, even los van dat dit de afgelopen acht jaar niet is voorgekomen,  zonder mij daarvan op voorhand van in kennis te stellen?
  • Wat gaat er in de koppies van het management rond dat KPN mensen met een TV kennelijk niet als volwaardige internetgebruikers wenst te beschouwen?
Dennis ABD
Rank
Reputatie 7
Badge +7

Een aansluiting met TV hoeft geen dynamisch IP te zijn, dat is bij ons echter simpelweg het geval, daar TV enkel op dergelijke aansluitingen geleverd word.

 

Er mag prima een mailserver staan op verbindingen met een TV. “Het internet” heeft echter besloten om zo veel mogelijk mail van residential IP adressen te weigeren. Simpelweg omdat hier de overgrote hoeveelheid van de spam vandaan komt en het overgrote deel van de mailservers op een fixed IP staan.

De uitzonderingen op de regel, zoals jij en ik, zullen hier omheen moeten werken. Zoals wel vaker het geval met uitzonderingen. Workarounds kunnen bestaan uit het instellen van een smarthost of het afnemen van een VPS.

wjb
Rank
Reputatie 7

Dennis heeft het issue ook voor mijn adsl-surfen.hetnet.nl aansluiting weten te fixen. 

Mijn dank is groot.

Be positive, avoid negativity, enjoy life and stay healthy!
gordonb3
Rank
Reputatie 2
Badge

Een aansluiting met TV hoeft geen dynamisch IP te zijn, dat is bij ons echter simpelweg het geval, daar TV enkel op dergelijke aansluitingen geleverd word.

Sorry, maar nu maak je er een soort van algemene regel van om te kunnen verkondigen dat ik onzin verkoop terwijl het dus precies om dat bijzinnetje gaat dat KPN dit als policy hanteert.

En dat hele “eromheen werken”, dat gaat dus gewoon niet. Want ik kan wel heel leuk van mijn huidige A record een CNAME maken naar een of andere dyndns service, maar daarmee kan ik nog steeds niet tevens het MX record voor mijn domein matchen aan het nieuwe PTR record. Waarbij ik dan ongetwijfeld wel nog steeds mail kan verzenden, omdat de KPN relay ervan uitgaat dat ik rechtstreeks met iets als Outlook verbinding maak en er in de headers toch alleen maar troep staat met een RFC1918 adres, maar aan mijn domein gerichte emails vervolgens bij @wjb of zo terechtkomen.

Dus nogmaals: wat is de grondslag van deze totaal nodeloze onwil aan de kant van KPN? Waarom wil KPN met alle geweld een zwaard van damocles boven mijn privédiensten houden? Wat wil KPN hiermee winnen en welk bedrag wil KPN van mij hebben om mij van dat kruis te verlossen?

wjb
Rank
Reputatie 7

Een aansluiting met TV hoeft geen dynamisch IP te zijn, dat is bij ons echter simpelweg het geval, daar TV enkel op dergelijke aansluitingen geleverd word.

Sorry, maar nu maak je er een soort van algemene regel van om te kunnen verkondigen dat ik onzin verkoop ...

Ik denk niet dat dat de intentie van Dennis is.

Be positive, avoid negativity, enjoy life and stay healthy!
gordonb3
Rank
Reputatie 2
Badge

Een aansluiting met TV hoeft geen dynamisch IP te zijn, dat is bij ons echter simpelweg het geval, daar TV enkel op dergelijke aansluitingen geleverd word.

Sorry, maar nu maak je er een soort van algemene regel van om te kunnen verkondigen dat ik onzin verkoop ...

Ik denk niet dat dat de intentie van Dennis is.


Ik kan daar vooralsnog niet over oordelen, ik constateer slechts dat hij een vraag/aanmerking welke specifiek betrekking heeft op de opstelling van KPN ombuigt in een generale stelling om vervolgens als reactie te geven dat de generale stelling onjuist is maar wel de keuze van KPN. Hij geeft dus totaal geen antwoord maar herhaalt slechts de gestelde vraag.

 

Even los hiervan vind ik het allemaal geweldig boe mensen hier proberen mee te denken hoe ik een probleem zou kunnen oplossen dat in eerste instantie niet had mogen bestaan, maar precies dat laatste is waar ik het grootste probleem mee heb. Ik heb in dit onderwerp mogen vernemen dat KPN zich eenzijdig niet aan de afspraken wenst te houden welke ik acht jaar geleden met ze ben aangegaan. Dat vind ik gewoon niet leuk.

Dennis ABD
Rank
Reputatie 7
Badge +7

Volgens mij word er een beetje in cirkels gedraait en gaat dit niet ergens heen. De accute problemen zijn opgelost in ieder geval.

 

@wjb Geen probleem, uiteraard! :)

E
Rank

Zou mijn DNS van ipXXXXXX.direct-adsl.nl (rest volgt bij DM) ook hersteld kunnen worden? De reverse DNS werkt wel.
 

gordonb3
Rank
Reputatie 2
Badge

Volgens mij word er een beetje in cirkels gedraait en gaat dit niet ergens heen. De accute problemen zijn opgelost in ieder geval.

Als er hier al iets in cirkels draait dan zal dat jouw bureaustoel zijn.

gordonb3
Rank
Reputatie 2
Badge

Even voor de duidelijkheid: van mij uit is er geen enkel verschil of mijn mogelijkheid om email te kunnen ontvangen onmogelijk wordt gemaakt door het wissen van het A record, of dat dit A record ineens naar een onjuiste aansluiting verwijst. Dat jij het eerste kennelijk wel als iets belangrijks identificeert maar vervolgens de tweede variant daarop niet geeft alleen maar aan dat je het niet begrijpt. Of meer waarschijnlijk: wilt begrijpen.

gordonb3
Rank
Reputatie 2
Badge

Zet anders deze gewoon weer open:

https://forum.kpn.com/e-mail-10/kpn-smtp-relay-systeem-vanaf-15-juni-offline-359278

 

Tenslotte is dat waar het allemaal begon.

M
Rank

Ook hier nog een IP wat een reverse naar .planet.nl geeft. Kan ook deze aangepast worden?

wjb
Rank
Reputatie 7

Dennis heeft het issue ook voor mijn adsl-surfen.hetnet.nl aansluiting weten te fixen. 

Mijn dank is groot.

@Dennis ABD, hoe zit het met rDNS voor IPv6.

Er is een moment geweest waarop er keurig een IPv6 rDNS entry gegeven werd zoals je in het onderstaande screenshot kunt zien onder IPv6 Hostname.

De laatste tijd krijg ik echter een score van 19 uit 20 omdat er geen rDNS record (Hostname) gevonden kan worden.

 

Be positive, avoid negativity, enjoy life and stay healthy!
Dennis ABD
Rank
Reputatie 7
Badge +7

Er word gekeken naar een structurele oplossing voor het rDNS probleem, IPv6 zal hier ook bijzitten. Ik durf helaas echtergeen termijn te noemen.

wjb
Rank
Reputatie 7

Er word gekeken naar een structurele oplossing voor het rDNS probleem, IPv6 zal hier ook bijzitten. Ik durf helaas echtergeen termijn te noemen.

Dank je voor jouw terugkoppeling.

Goed te horen dat er gekeken wordt naar een structurele oplossing.

Be positive, avoid negativity, enjoy life and stay healthy!
M
Rank

@Dennis ABD fijn dat er een structurele oplossing komt, maar zou je een blik willen werpen waarom ik nog op een speed.planet.nl zonder A record zit? Ik las dat deze allemaal omgezet zouden zijn, maar lijkt dan niet het geval?

Dennis ABD
Rank
Reputatie 7
Badge +7

Omdat er aan een structurelere oplossing gewerkt word, ga ik op dit moment geen individuele cases oppakken met dit probleem.

M
Rank

Goed om te zien hoe klachten van gebruikers worden behandeld. Doet me denken aan het 4g port forwarding debacle van een jaartje terug.

 

Jammer om zo'n antwoord te krijgen met daarbij horen dat het ook niet bekend is hoe lang dit gaat duren, ik heb hier last van...

M
Rank

Ik merkte wat problemen met de mailserver, wat veroorzaakt werd door een aangepast rdns adres. Is dit de structurele oplossing geweest?

RBxx
Rank
Reputatie 7
Badge +18

Ik merkte wat problemen met de mailserver, wat veroorzaakt werd door een aangepast rdns adres. Is dit de structurele oplossing geweest?

Hallo @Mrtn in dit topic klik hier wordt dat door Dennis ABD bevestigd.

Groeten, Ruud. Tevreden KPN klant met VDSL (100/30 Mbps) | KPN Box 12 | 2x SuperWifi |
M
Rank

@RBxx ah die had ik gemist. Bedankt! :)

Reageer