RDNS——DNS反向解析

DNS反向解析就是将IP反向查询为域名，在相关IP授权DNS服务器上增加您的IP地址的PTR记录。反向解析的意义是这个IP地址的网络身份是被认可的,是合法的。

可逆DNS(RDNS)的一个应用是作为垃圾邮件过滤器.它是这样工作的:垃圾邮件制造者一般会使用与域名不合的无效IP地址,即不和域名匹配的 IP地址.可逆DNS查找程序把引入信息的IP地址输入一个DNS数据库.如果没有找到和IP地址匹配的有效域名,服务器就认为该EMAIL是垃圾邮件。如AOL（美国在线）要求必须实施IP反解的邮件服务器才能向AOL/AIM邮箱发送邮件。

 

为什么需要做RDNS？
因为有些应用程序需要反向来认证对方，如SMTP，也就是为什么国外很多SMTP发往国外的邮件被退信的主要原因。做了RDNS会好很多。DNS服务器里有两个区域，即“正向查找区域”和“反向查找区域”，反向查找区域即是这里所说的IP反向解析，它的作用就是通过查询IP地址的PTR记录来得到该IP地址指向的域名，当然，要成功得到域名就必需要有该IP地址的PTR记录.

那么IP反向解析是怎么被应用到邮件服务器中来阻拦垃圾邮件的呢？我们来看看下面一个例子：某天，阿Q到A公司拜访，他递上一张名片，名片上写着他来自 “黑道杀人俱乐部”以及电话号码等信息，A公司觉得应该对阿Q的来历做个简单调查，于是打电话到阿Q名片上的电话号码所属电信局进行查实，如果电信局告诉 A公司其电话号码不属于“黑道杀人俱乐部”，则A公司将拒绝阿Q的拜访，如果其电话号码的确属于“黑道杀人俱乐部”，A公司可能接受阿Q的拜访也可能进一步查实，于是就打电话到“黑道杀人俱乐部”所属注册机构查询，如果得到的答复确认该俱乐部确有此电话号码，则A公司将接受阿Q的拜访，否则仍将拒绝阿Q的拜访。　　

例子中，阿Q好比是我们的邮件服务器，A公司是对方邮件服务器，“黑道杀人俱乐部”就是我们邮件服务器与对方邮件服务器通信时所使用的HELO域名（不是邮件地址@后的域名），名片上的电话号码就是我们邮件服务器出口的公网IP地址。A公司对阿Q进行调查的过程就相当于一个反向解析验证过程。由此看出，反向解析验证其实是对方服务器在进行的，如果我们没有做反向解析，那么对方服务器的反向解析验证就会失败，这样对方服务器就会以我们是不明发送方而拒收我们发往的邮件，这也就是我们排除其它原因后（如被对方列入黑名单、没有MX记录、使用的是动态IP地址等等）在没做反向解析时无法向sina.com、 homail.com发信的原因。

什么IP才能做反向解析？
国内的IP只有部分才能申请反向解析，这部分IP为电信运营商认可的固定IP地址，动态IP池中的不能申请。
一般反向解析是和IP地址分配有联系的，所以ISP（接入服务商）直接申请反向解析的授权很难得到。而电信运营商在这方面就具备天然优势，通常这个授权都会直接授予本地的电信运营商，然后再由电信运营商授予各个使用此IP地址的ISP（当然，这个ISP至少要完全占有整个C类地址的使用权，否则不会得到授权），大部分情况，电信运营商自己的DNS来提供相应IP地址的反向解析服务。 

如何申请反向解析？
1）反向解析和域名注册服务商无任何关系
2）向提供您数据接入服务的ISP申请，如果ISP无授权做，则只有向ISP的上层运营商电信、网通申请
3）通常情况ISP会收取DNS反向解析服务费后，再向上层运营商下工单申请IP反解
4）申请周期长的可能需要1个月（如网通的IP反解申请一般需要统一由北京网通总部来做，周期长） 

DNS反向解析费用
DNS反向解析通常需要支付年费，原因是电信运营商投入了DNS服务器运营来负责IP地址的反解，几乎所有电信运营商都将DNS反向解析列入收费项目，如果您通过ISP申请，ISP需要付费给电信运营商，产生的费用可能较高。 

没做DNS反向解析造成的邮件退信举例说明　
国内很多ISP还不知道什么是RDNS,更不知道如何架设RDNS服务器了。也就是说不是所有ISP都可以做RDNS的。这也就是为什么国内很多用户发往国外的遭到邮件退信的主要原因。 以下表格是此类问题的详细介绍。

 

退信原因	某些邮件服务器为了防垃圾邮件的需要，接收邮件时进行对发信人的email地址进行DNS反向查询，对于公网存在正确DNS解析的发件人的邮件放行，而对于DNS反向解析不正确的地址予以拦截。
可能出现的关键字	can't verify FROM domain in DNS、domain does not exist
解决方法	存在此类问题的多数是具有自己域名的企业邮箱用户，这类的服务器要求用户所用的域名解析设置中有关的SOA记录、MX记录都正确可查询。所以DNS解析记录不完整或者对方反向解析时刚好域名所在的邮件服务器出现故障不能正常返回查询，而收件人的邮件系统具有这样的验证机制时，就会出现这样的退信了。 确认退信是以上原因的时候，通知你的域名服务器的管理员检查确认你的域名解析记录信息或者稍后等域名服务器正常了即可正常发送。
退信实例	554 refused 'mail from' because return MX does not exist ***@solvay.com, 553 can't verify FROM domain in DNS ***@hkstar.com, 553 zeng.pionmi.com does not exist <***@se.abb.com> , remote server said: 550-Verification failed for <jqh@bpeg.cn> 550-It appears that the DNS operator for bpeg.cn 550-has installed an invalid MX record with an IP address 550-instead of a domain name on the right hand side. 550 Sender verify failed