Root » Servers » Mail servers » Nodige DNS records
Een eigen mailserver:
de DNS records die nodig zijn
DNS
Zoals bij een eigen webserver heb je DNS records nodig indien je een mailserver wenst te runnen. De voornaamste DNS record is de MX record, maar dat is niet alles.

Bepaling mail server voor een domein

Veronderstel een email adres marc@verfaillie.be. Dit adres bestaat uit 2 delen, een gebruikersnaam en een domein. Voor het versturen van mailberichten kijken de servers niet naar de gebruikersnaam, enkel naar het domein. Maar naar welke server moeten de mails voor verfaillie.be verstuurd worden? Waarschijnlijk niet naar verfaillie.be, want deze naam kan bijvoorbeeld gebruikt worden voor een webserver (naast www.verfaillie.be wordt ook vaak het domein zonder www gebruikt voor webservers).

Bij het bepalen van de server die de mails moet ontvangen wordt een ander type DNS record gebruikt: een MX record (MX: Mail eXchanger). Een MX record wijst niet direkt naar een IP adres (zoals een A record dat zou doen), maar naar een hostname (een beetje zoals een CNAME). Meer informatie over de verschillende DNS records is hier te vinden. Je hebt dus een DNS record :
verfaillie.be IN MX 10:mail.verfaillie.com
Hiermee vertellen we dat mail.verfaillie.com de server is die de mails voor verfaillie.be verwerkt. De waarde 10: is een voorkeurswaarde, je kan namelijk meerdere servers aangeven. Dit dateert nog uit de begintijd van het internet toen de netwerken niet zo stabiel waren en een mailserver regelmatig dagen onbereikbaar was. Tegenwoordig zijn meerdere servers niet meer nodig, maar de voorkeurswaarde moet je wel nog invullen.

Een laatste stap is het omzetten van de hostname in een ip adres, en daarvoor gebruiken we de bekende A-record (Address).

Bijkomende informatie over mail servers en DNS records

  • Zoals je gezien hebt uit vorige voorbeeld kan je werken met domeinen die in verschillende TLDs zitten: verfaillie.be als adres en mail.verfaillie.com als server.
  • Als je webserver en mailserver op één host draaien, kan je zelfs het IP adres van je webserver gebruiken:
    verfaillie.be IN MX 10:www.verfaillie.be
    Dit veroorzaakt geen problemen want beide servers luisteren op andere poorten.

PTR records

DNS is een zeer snel protocol (het gebruikt UDP in plaats van TCP), het wordt daarom ook gebruikt om spammers op te sporen. Spammers gebruiken altijd een mailserver (of een geïnfecteerde computer), dus een host met een IP adres. Als een mailserver met anti-spam mogelijkheden een mailbericht ontvangt, dan zal het snel een DNS query uitvoeren voor het IP adres in kwestie. Ten eerste wordt nagegaan of de server een PTR-record heeft (alle hosts die met het internet verbonden zijn moeten een hostname hebben, en dit geldt in het bijzonder voor mail servers). De hostname zoals die opgenomen is in DNS moet de groetnaam van de server zijn (EHLO mail.verfaillie.com, zie smtp sessie). De DNS PTR record moet er zo uitzien:
150.107.246.81.in-addr.arpa. IN PTR mail.verfaillie.com
(Het IP adres van onze mailserver is 81.246.107.150)

Voor het aanmaken van alle records moet je bij je DNS provider zijn (de provider waarbij je je domein geregistreerd hebt, of een andere DNS provider dat je als authoritative hebt aangesteld). De enige uitzondering zijn PTR records: daarvoor met je bij je ISP zijn. (internet service provider AKA access provider)

Omdat er mensen niet echt weten wat het verschil is tussen al deze providers ziehier het verschil in een notedop:

DNS provider
Dat is de provider bij wie je het domein geregistreerd hebt. Je kan een domein registreren bij je normale access provider, maar je kan ook bij een bedrijf gaan dat enkel domein namen registreert, GoDaddy is de meest bekende.
Internet Service Provider
Dit is de provider die je je internet-toegang verzorgt (access provider). Dit is vergelijkbaar met de waterdistributiemaatschappij of telefoonmaatschappij. Bedrijven die internet-toegang verzorgen (in Belgie zijn dat voornamelijk Skynet en Telenet) leveren meestal ook DNS diensten.
Authoritative DNS
Je kan je domein bij een provider registreren (dit kan zowel een specialistische DNS provider zijn zoals GoDaddy of een access provider zijn) en een andere provider aanstellen als zijnde de effectieve DNS provider (we zeggen dat die provider authoritative is). Dit doe je bijvoorbeeld omdat de provider bij wie je je domein geregistreerd hebt:
  • een kost aanrekent bij het wijzigen van een DNS record
  • bepaalde DNS records niet "kent", in het bijzonder TXT records die als anti-spam maatregel gebruikt worden
  • geen dynamische records toelaat.
Al deze uitleg om te zeggen, dat je bij je access provider moet zijn voor het aanmaken van een PTR-record. Indien je access provider het runnen van servers niet toelaat, dan ben je eraan voor de moeite: geen geldige PTR-record. De provider zal wel een PTR record aanmaken (volgens de internet-regels is hij daartoe verplicht), maar hij kan een naam gebruiken die aangeeft dat het IP adres niet gebruikt mag worden voor servers. De PTR record kan zoiets zijn als xxx.dyn-ip.provider.be of yyy.adsl.provider.be. Mailservers met anti-spam mogelijkheden zullen mails van dergelijke hostnames (met "dyn" of "adsl" in hun naam) weigeren.

Real Time Blocking list

Een mailserver met anti-spam mogelijkheden zal ook een tweede DNS query uitvoeren op het IP adres van de zender. Het verschil met de vorige DNS query (dat via de normale DNS server loopt) is dat deze query gericht is aan een anti-spam database. Deze database gebruikt geen SQL of andere speciale query-taal, maar DNS omdat dit protocol bijzonder snel is en het netwerk weinig belast.

De anti-spam database zal ofwel antwoorden met "NOT FOUND": je hebt geluk, het IP adres van de server is niet in de spam database opgenomen ofwel 127.0.0.x (dit is een onmogelijk internet adres, want het is de loopback). x is een getal dat aangeeft waarom het IP adres in de database opgenomen is: heeft spamberichten uitgestuurd, is niet compliant met de internet-normen, is een open relay, enz.

Er zijn een groot aantal spam databases, waarvan er slechts een paar de moeite zijn (zij houden hun database up-to-date en hebben niet teveel false positives en false negatives).

Zoals je al gemerkt hebt is het runnen van een mailserver veel complexer dan het runnen van een webserver. De mailserver moet niet enkel complexere taken uitvoeren, maar je moet er ook voor zorgen dat de mailserver in orde is volgens de internet-regels. Ten gevolge van de spamplaag worden mails van niet-compliante servers gewoon geweigerd. Daar sta je dan met je mailserver, als niemand je mails kan ontvangen!

Op de volgende pagina bespreken we de voordelen van IMAP ten opzichte van POP

Links to relevant pages - Liens vers d'autres pages au contenu similaire - Links naar gelijkaardige pagina's