următorul mesaj »

[Tomoiaga]

Din pacate exista si dnsreport
http://www.dnsreport.com/

Mai nou, unii clienti sau potentiali clienti, verifica si dnsreport
pentru a-si crea o parere despre hoster !
Nu voi explica fiecare WARN sau FAIL ce apare, deoarece sunt foarte multe.
Tot ce trebuie sa stiti este ca WARN, reprezinta o posibila mica problema ce nu merita tot timpul rezolvata,
cum este de exemplu problema numelui meu. Multi imi spun Tomoioaga in loc de Tomoiaga. Poate ramane asa, pe cine intereseaza?, nu e urgent si nu afecteaza pe restul. Cred ca ati prins ideea.

Nimic nu este perfect, astept completarile/corectarile/parerile voastre cu cea mai mare placere.

Glue at parent nameservers

Sa luam urmatorul exemplu:

examplu.ro. NS ns1.examplu.ro.
examplu.ro. NS ns2.examplu.net.

In primul caz, ns1.exemplu.ro este un subdomeniu al lui exemplu.ro
iar in al doilea caz, ns2.exemplu.net este in afara .ro.
Cazul 1: avem ns1.exemplu.ro dar nu avem un record A, care sa ne spuna ce IP are subdomeniul ns1.
Daca este asa, atunci avem o mica problema, toate interogarile vor merge la ns2.exemplu.net iar
ns1.exemplu.ro este inutil deoarece nu putem interoga ns1.exemplu.ro din moment ce nu stim cine e
exemplu.ro (se invarte in cerc)

Rezolvarea cea mai simpla, adaugam A-ul pentru ns1 la zona exemplu.ro.

Cazul 2: avem ns2.exemplu.net - se poate lasa asa daca e creat corespunzator cazului 1.
WARN o sa mai apara de cateva ori pana e pus in cache, in rest totul e rezolvat.
Glue at parent nameservers implica automat Nameservers on separate class C's

Nameservers on separate class C's

Dupa cum ii spune titlul, daca nu avem 2 nameservere in clase C separate asta e, nu e problema, se poate lasa asa
desi ideal e sa existe 2 NS-uri in 2 locatii diferite s.a.m.d

Open DNS servers

Aici, daca nu e PASS e FAIL si in nici un caz nu vrem sa avem rosu nicaieri la dnsreport, chiar daca uneori  nu e mare problema.
Sa vedem ce se poate face:
Cream o lista cu toate IP-urile ce au voie sa interogheze DNS-ul nostru si le adaugam intr-un acl in /etc/named.conf in
felul urmator:
Inainte de "options" introducem un acl cu un nume la alegere:

acl "trusted" {
localhost;
8.8.8.0/24; //alte IP-uri ce folosesc DNS-ul nostru...
192.168.1.1;
}; apoi in options adaugam urmatoarea linie:
allow-recursion { trusted; };

Ar trebui sa avem cel putin urmatoarele in fisier (legat de problema noastra):

acl "trusted" {
localhost;
8.8.8.0/24; //alte IP-uri ce folosesc DNS-ul nostru...
192.168.1.1;
};

options {
//recursion no; - nu e o solutie, ramane comentata.

allow-recursion { trusted; };

// alte optiuni ce erau default

};

Problema Open DNS Report ar trebui sa fie rezolvata !

Mail server host name in greeting

Am sa prezint o rezolvare in cazul in care MTA-ul exim se afla pe acelasi
server cu domaniul pe care il interogati folosind dnsreport:
Din fericire, versiunile mai noi de exim au introdus variabila smtp_active_hostname ce poate fi modificata in functie
de nevoi. In variabila smtp_banner, trebuie sa schimbam ${primary_hostname} cu ${smtp_active_hostname}
Exemplu:

smtp_banner = "${smtp_active_hostname} ESMTP Exim  \
\#${compile_number} ${tod_full} \n\
  Remember, SPAM is illegal and we do not authorize \n\
  the use of this system to transport unsolicited, \n\
  and/or bulk e-mail."

Iar mai jos, inainte de "begin acl" sa modificam smtp_active_hostname in functie de nevoi:
//Nu uitati, IP-urile/Host-urile folosite de mine sunt pur informative, sper ca nu o sa dati copy paste direct fara sa urmariti
//cu atentie ce aveti de schimbat

smtp_active_hostname = ${if eq{$interface_address}{192.168.1.1}\
    {server1.host.ro}{\
    ${if eq{$interface_address}{192.168.1.2}\
    {server2.host.ro}{\
    ${if eq{$interface_address}{192.168.1.3}\
    {server3.host.ro}{\
    ${if eq{$interface_address}{192.168.1.4}\
    {server4.host.ro}  } }}}}}}

Nu este important daca modificarea smtp_active_hostname se face dupa smtp_banner, sunt variabile
globale si nu afecteaza cu nimic daca una e inaintea celeilalte.

Astfel daca dnsreport va interoga server3.host.ro sau un domeniu care are acelasi IP cu server3.host.ro va primi in banner-ul smtp
numele server3.host.ro fata de setarile initiale unde , tot timpul primea acelasi , probabil server1.host.ro cu alt IP
decat domeniul interogat de noi.

Se pot face si modificari astfel incat, in header-ul unui mail sa apara, cum  ca acel mail a fost trimis de pe
server2.host.ro de exemplu, si nu de pe acelasi server1.host.ro, dar din moment ce "problema" noastra e rezolvata
la dnsreport nu e necesar inca sa facem si alte modificari.

Open relay test

Daca la asa ceva apare FAIL, well, angajaza-ti un admin sau schimba-l
Rezolvarea am sa o prezint intr-un tutorial viitor despre configurarea exim.

SPF record

Multi au, foarte multi nu au. La ce ne ajuta pe noi ?
Pai daca vine un posibil spam de la user@domaniu.com iar conexiunea
a fost facuta de pe un IP/Host ce nu e valid in comparatie cu SPF-ul domeniu.com atunci,
reject la acel mail sau adaugarea unui scor mare ca spam.
Cum cream si adaugam SPF ne explica http://www.openspf.org/
Un exemplu de SPF arata cam asa:

domeniu.ro. IN TXT "v=spf1 a mx a:server.mail.ro ?all"

unde server.mail.ro este un alt server de pe care se pot trimite mail-uri, nu numai de pe domeniu.ro
Daca in schimb avem 300 domenii pe un server si am vrea sa ii multumim pe toti, si
ATENTIE acele domenii folosesc toate, acelasi server de mail care de obicei sa presupunem ca iasa in exterior prin
ce de obicei trimite mail-urile prin acelasi IP/Host, ex: server.mail.ro
se poate sa usuram munca printr-o linie simpla, asta dupa ce facem un back-up de siguranta la directorul /var/named
Din nou rog atentie, nu uitati de back-up si modificati urmatoarea linie in functie de nevoi:

files=`grep -l -v spf1 *.db | sed "s/.db//"`; for i in $files; do echo $i. IN TXT \"v=spf1 a mx a:server.mail.ro ?all\" >> $i.db; done

Restartati named, /etc/init.d/named restart ! Daca apar erori, copiati inapoi fisierele create ca back-up si reporniti serviciul named.

Nu uitati, asteptati propagarile, modificarile nu vor fi simtite imediat !

Evident exista si alte probleme , dar si alte rezolvari la ce am scris mai sus, astept raspunsurile voastre.

[Gupi]

Toate bune si frumoase, da' mie nu-mi place SPF, la fel cum nu-mi place ceapa fiarta din ciorba

Felicitari si ... la mai multe.

[dt]

Bravo!

O mica observatie, la
Glue at parent nameservers
WARNING. The parent servers (I checked with ns1.univie.ac.at.) are not providing glue for all your nameservers. This means that they are supplying the NS records (host.example.com), but not supplying the A records, which can cause slightly slower connections, and may cause incompatibilities with some non-RFC-compliant programs. This is perfectly acceptable behavior per the RFCs. This will usually occur if your DNS servers are not in the same TLD as your domain (for example, a DNS server of "ns1.example.org" for the domain "example.com"). In this case, you can speed up the connections slightly by having NS records that are in the same TLD as your domain.

Dupa cum zic ei, warning-ul apare daca nameserverul are alt TLD fata de domeniul gazduit. Iar din cate stiu, root-serverele pentru domeniile .ro oricum nu returneaza A (deci testul e valabil doar pt domenii .com/net etc)

Inca ceva:
SOA REFRESH value / SOA EXPIRE value sunt setate implicit in cpanel pe valori mai mari. Se pot modifica de la DNS Functions -> Edit Zone templates   43200 pentru refresh si 2419200 pentru expire

[Tomoiaga]

Bravo!

Dupa cum zic ei, warning-ul apare daca nameserverul are alt TLD fata de domeniul gazduit. Iar din cate stiu, root-serverele pentru domeniile .ro oricum nu returneaza A (deci testul e valabil doar pt domenii .com/net etc)

Da, corect, am dat mai sus un mic exemplu cu .ro si .net si am zis ca ramane asa, dar fara sa explic de ce. Nu tot timpul ce scrie la dnsreport este de ajuns ca sa ne facem idei despre o anumita problema, dar, e cel putin un punct de pornire! Testul merge destul de bine din cate am vazut si pentru .ro mai ales daca au NS-uri in .ro ! Daca NS-urile sunt in alt TLD atunci poate sa apara galben !

Inca ceva:
SOA REFRESH value / SOA EXPIRE value sunt setate implicit in cpanel pe valori mai mari. Se pot modifica de la DNS Functions -> Edit Zone templates   43200 pentru refresh si 2419200 pentru expire

Mersi de completare

[DevBreak]

Mai este si Acceptance of domain literals care mai apre cu warning
se rezolva adaugand

Cod:

allow_domain_literals

In sectiunea main (exim.conf)
Apoi se editeaza

/etc/localdomains

si se completeaza in primele linii ip-urile pe care le foloseste serverul
de forma

Cod:

[192.168.0.1]
[192.168.0.2]
......

(aceste informatii sunt testate)
Succese,

[Tomoiaga]

Ceva ce a aparut , nu de foarte mult timp (am fost in concediu).
"Single Point of Failure"
Ma deranjaza mesajul alaturat, dar se rezolva 100% cu 2 servere sau daca  stiti ceva jmecherii sa mearga doar cu un server, ca eu acum studiez problema...

[Gupi]

Am vazut mesajul asta inclusiv avand 3 (trei) servere diferite.
Cred ca e pur informativ si (inca) in teste.

[Tomoiaga]

Si da si nu, au spus ca mai au mici probleme.
Pe de alta parte sunt multi care au un singur server si ns1, ns2, nsX toate pe acelasi server.

[marianbrasov]

Am citit cateva chestii tehnice aici care chiar mi-au folosit - multumesc

[organic]

treaba cu single point of failure e broken, adica cel putin eu am doua NS-uri total separate, in clase si zone geografice diferite, si tot imi da yellow flag for some reason.

[Tomoiaga]

treaba cu single point of failure e broken, adica cel putin eu am doua NS-uri total separate, in clase si zone geografice diferite, si tot imi da yellow flag for some reason.

Yellow e bine (la fel e si la mine), mai mult am vrut sa pun accentul pe red, unde, in dreapta, apare si un mesaj neplacut pentru unii.

[Gupi]

Yellow e bine (la fel e si la mine), mai mult am vrut sa pun accentul pe red, unde, in dreapta, apare si un mesaj neplacut pentru unii.

Ce mesaj apare ? (sau cum il pot vedea?)

[Tomoiaga]

Se pare ca apare la fel acum si la galben si la rosu.
uite aici:
primul link, descrierea e de ajuns:
Link google

[borcan22]

treaba cu single point of failure e broken, adica cel putin eu am doua NS-uri total separate, in clase si zone geografice diferite, si tot imi da yellow flag for some reason.

da dar ai firewall si blochezi icmp pe amandoua, de acceea apare cu galben

[Tomoiaga]

Era de asteptat ca in sfarsit dnsreport sa treaca la "cersit".
Bineinteles ca fiecare vrea bani, e ceva normal ce s-a intamplat, pacat, acum sa asteptam dupa ceva free again.