我想知道大公司究竟如何pipe理公用服务器使用的所有IP地址,特别是在设置正确的PTRlogging方面。
例如,在生产环境中发送大量电子邮件时,这非常重要,因为接收邮件服务器很可能会执行FCrDNS检查以查看PTR和HELO / EHLO是否匹配。 如果没有,你几乎可以保证被标记为垃圾邮件。
我自己发现的是,facebook和Google通过为每个IP地址分配三级Alogging(看起来),然后在相应的PTRlogging中使用这个IP地址。 一个例子就是Google着名的8.8.8.8地址,它被映射到google-public-dns-a.google.com 。 另一个谷歌IP, 173.194.113.127 ,映射到fra02s22-in-f31.1e100.net (好域名,谷歌pipe理员)。
使用第三级子域似乎是最合乎逻辑的,因为您可以在SSL / TLS应用程序中为您的域使用通配符证书。
在我的情况下,我正在考虑使用像 _srv_foobar.mydomain.tld这样的scheme将子域分配给我们的服务器。以下划线开头表示该子域用于pipe理目的,如 _spf.microsoft.com或_netblocks.google.com 。这是一个有效和可靠的方法吗? 正如评论中所提到的,下划线在主机名中是不允许的,这使得这种方法变得不可能。
为每个使用的IP地址创build一个Alogging是常见的做法吗? 有哪些命名scheme是首选或应该避免的? 我很乐意从pipe理好几十,几百甚至几千个IP地址的人那里听到这个话题。 谢谢!
标记这主要是基于意见,但是这里有一些笔记。 以下意见反映了MSO范围内的DNS操作实践。
我很乐意从pipe理好几十,几百甚至几千个IP地址的人那里听到这个话题。
“燮。
为每个使用的IP地址创build一个Alogging是常见的做法吗?
有些公司可能会这样做,但这太过分了。 通常发生的情况是,将一个非常大的IP空间块分配给一个区域,以便分配给客户(我们在这里说的不止是一个/ 24),作为准备使用正向和反向logging的networking的一部分,预先生成的。 从那时起,这个IP空间的多个部分在客户之间进行洗牌并不重要,它就在那里,随时可以走。
除此之外,我们通常不预先分配DNS中的IP空间。 这很麻烦,它不必要地消耗你的资源。 为了使事情变得透彻,我们的BIND子系统花费了十多分钟的时间完成将所有logging加载到内存中并开始提供查询服务。 如果我们要为我们所有的知识产权领域提供正向和反向的logging,而不仅仅是客户的东西,我甚至不想想会有多糟糕。
请注意,如果您的DNS软件支持IP范围的合成正向和反向logging,则可能需要进行探索。 BIND不执行这个。
有哪些命名scheme是首选或应该避免的?
使用最适合您需求的方式,但通常使用指定IP地址分配给的物理区域的命名约定是个好主意。 一目了然的身份识别使您的员工更容易知道来自哪里的stream量,无论他们是现场工程师还是滥用部门的人员。 公司规模越大,业务部门越多,从中获得的价值就越高。