Reverse DNS i PTR zapis: zašto je važan za email servere

RReverse DNS je provera koja od IP adrese traži naziv domena ili hosta. PTR zapis je DNS zapis koji to omogućava. Za običan web sajt PTR često nije presudan, ali za mail servere veliki primaoci (Gmail, Outlook, Yahoo, korporativni anti-spam sistemi) proveravaju da li IP adresa pošiljaoca ima smislen reverse DNS i da li se forward i reverse DNS slažu. Kada se ne slažu, poruka može biti prebačena u spam ili odbijena.

Standardni DNS lookup ide u jednom pravcu: za naziv mail.example.com pita autoritativni nameserver i dobija IP adresu, na primer 192.0.2.10. To se zove forward lookup.

Reverse DNS lookup ide u suprotnom smeru: krene od IP adrese i pita „koji hostname stoji iza ovog IP-a?". Za istu IP 192.0.2.10, reverse lookup bi trebalo da vrati mail.example.com.

Tehnički, reverse lookup koristi posebnu DNS zonu (in-addr.arpa za IPv4, ip6.arpa za IPv6) u kojoj žive PTR zapisi. To je važna razlika u odnosu na zapise koji žive u zoni vašeg domena.

PTR (pointer) je DNS zapis koji vraća kanonički hostname za datu IP adresu. Za razliku od A ili MX zapisa, PTR ne živi u DNS zoni vašeg domena, već u zoni IP opsega kojem ta adresa pripada.

Primer kako PTR zapis za 192.0.2.10 zaista izgleda u reverse zoni:

shell
10.2.0.192.in-addr.arpa.   IN PTR   mail.example.com.

IP adresa je upisana naopako jer DNS hijerarhija ide od najmanje ka najopštijoj komponenti. Resolver koji uradi dig -x 192.0.2.10 dobija odgovor mail.example.com. Da to bude moguće, vlasnik IP opsega 192.0.2.0/24 je morao da odobri postojanje tog PTR zapisa.

Lako se mešaju jer oba povezuju IP adresu i hostname, ali smer nije isti:

• A zapis kaže mail.example.com → 192.0.2.10 (od imena ka IP-u)
• PTR zapis kaže 192.0.2.10 → mail.example.com (od IP-a ka imenu)

txt
mail.example.com   A     192.0.2.10
192.0.2.10         PTR   mail.example.com

Idealno se ova dva pravca slažu kod svakog mail servera. Kada se ne slažu, prijemni server tu nedoslednost ume da iskoristi kao signal da nešto nije u redu sa pošiljaocem.

FCrDNS (forward confirmed reverse DNS) je formalni naziv za situaciju kada se ovaj „circular lookup" zatvori bez pukotine:

• IP adresa ima PTR zapis koji vraća hostname
• taj isti hostname ima A (ili AAAA) zapis koji vraća istu IP adresu

txt
192.0.2.10           PTR   mail.example.com
mail.example.com     A     192.0.2.10

FCrDNS je opisan u RFC 1912 kao osnovna operacionalna higijena DNS-a. Veliki broj prijemnih mail servera ga implicitno zahteva: ako provera padne, poruka ide u spam ili biva odbijena već u SMTP fazi.

Tri konkretna razloga zbog kojih prijemni mail serveri proveravaju PTR:

• spam filteri gledaju reputaciju IP adrese, a IP bez PTR-a deluje kao server koji nije pravilno administriran ili je privremen (botneti i kompromitovani serveri najčešće nemaju validan PTR)
• prijemni mail server u SMTP sesiji čita HELO/EHLO hostname koji se pošiljalac sam predstavlja, pa upoređuje sa PTR-om za izvornu IP; nepoklapanje je crveni flag
• veliki provajderi kao Gmail u svojim sender guidelines-ima eksplicitno zahtevaju validan forward i reverse DNS za servere koji šalju email u količini

Bez PTR-a, mail server može imati tehnički ispravnu SMTP sesiju, a opet ostati u spam folderu kod prijemnika. O širem skupu razloga zbog kojih poruke završavaju u spam-u, od reputacije domena do sadržaja, ima u tekstu o emailovima koji završe u spam folderu.

Kratko: ne, uglavnom ne. Web sajt funkcioniše ako domen ima A ili AAAA zapis i ako server odgovara na HTTP/HTTPS na toj IP adresi. Pregledač nikad ne radi reverse lookup pre nego što učita stranu; njega zanima samo da li IP daje sadržaj sa validnim sertifikatom (više o SSL sertifikatu i zašto je važan).

PTR postaje važan tek za servise koji idu u suprotnom smeru: mail servere, SSH bastion hostove, sisteme koji proizvode logove sa rDNS-om za identifikaciju klijenata, i alate za mrežnu dijagnostiku.

Najvažnija razlika u odnosu na A, MX i druge zapise: PTR ne podešava vlasnik domena, nego vlasnik IP adrese. To je obično:

• hosting ili VPS provajder (za shared/VPS pakete)
• cloud platforma (AWS, GCP, Azure)
• data centar koji rentira IP opseg
• internet provajder (za biznis linkove sa statičkim IP-om)
• veliki korisnik sa sopstvenim AS brojem i IP opsegom

Praktično, ako ste kupili VPS, PTR menjate kroz panel provajdera (često sa labelom „rDNS" ili „PTR record"), ili otvarate tiket. Kada se prvi put povezuje domen sa hostingom, forward zona je u vašim rukama; PTR ipak ostaje na strani provajdera, jer ta zona ne kontroliše in-addr.arpa granu koja vodi do IP-a.

Linux / macOS

shell
dig -x 192.0.2.10
host 192.0.2.10

Windows

shell
nslookup 192.0.2.10

Očekivani rezultat je hostname tipa mail.example.com. Ako odgovor stigne kao NXDOMAIN ili pokaže generički hostname tipa static-203-0-113-45.isp.com, PTR nije postavljen ili nije postavljen u skladu sa vašim mail serverom.

Dva kratka upita pokrivaju FCrDNS check:

shell
dig -x 192.0.2.10            # reverse: treba mail.example.com
dig mail.example.com A       # forward: treba 192.0.2.10

Ako prvi upit vraća mail.example.com, a drugi vraća 192.0.2.10, FCrDNS je validan. Ako se vrednosti ne poklapaju, ili ako bilo koji upit padne, mail server treba popraviti pre nego što se očekuje normalna isporuka.

Većina problema sa PTR-om svodi se na šačicu grešaka koje se uvek iznova vraćaju:

• PTR uopšte ne postoji (NXDOMAIN), pa server deluje anonimno prijemniku
• PTR pokazuje na generički hostname provajdera (vps-1234.contabo.net) umesto na hostname vašeg mail servera
• PTR pokazuje na hostname koji nema A zapis nazad ka istoj IP, pa FCrDNS pukne
• mail server u SMTP sesiji koristi HELO/EHLO hostname koji se ne poklapa sa PTR-om
• IP adresa ima legitiman PTR, ali je sama IP na blacklisti (Spamhaus, Spamcop) zbog ranije zloupotrebe od strane prethodnog korisnika
• VPS je preseljen na novi IP, PTR je ostao na starom hostname-u (ili obrnuto)
• pokušaj da se PTR doda kao A ili TXT zapis u DNS zoni domena — DNS panel to dozvoljava, ali rDNS i dalje ide kroz in-addr.arpa, ne kroz vašu zonu

Reverse DNS i email autentifikacija rešavaju različite slojeve istog problema:

• reverse DNS / PTR daje IP adresi pošiljaoca smislen identitet
• SPF kaže koji IP-ovi smeju da šalju u ime vašeg domena
• DKIM kriptografski potpisuje poruku
• DMARC propisuje šta da se radi kada SPF i DKIM padnu

PTR ne zamenjuje email autentifikaciju, niti je ona zamena za njega. Ova tri zapisa žive u DNS zoni vašeg domena i detaljno su obrađeni u tekstu o DNS zapisima. Praktično postavljanje poslovnog email-a na sopstvenom domenu zahteva oba sloja: validan PTR za IP servera, plus kompletne SPF/DKIM/DMARC zapise u domenskoj zoni.

Ako imate sopstveni VPS ili dedicated mail server, a poruke vam se odbijaju ili završavaju u spam folderu, vredi proveriti šest stvari pre svega ostalog:

• PTR za IP adresu mail servera
• HELO/EHLO hostname koji se predstavlja u SMTP sesiji
• SPF zapis u DNS zoni domena
• DKIM ključ i potpis u zaglavlju poruke
• DMARC politiku za domen
• reputaciju IP adrese kroz Spamhaus i druge javne baze

Ako se taj posao radi prvi put, ima smisla ga prepustiti tehničkoj podršci. Za novi VPS server, provajder po pravilu može da postavi inicijalni PTR i pomogne oko ostalih provera. NIJEFILA podrška može da prođe kroz osnovnu email konfiguraciju i predloži šta treba ispraviti, pre nego što potrošite vreme šaljući test poruke koje se ne vide kod primaoca.

Da li mi treba reverse DNS za običan sajt?

Za web sajt sam po sebi, ne. Sajt radi ako domen ima A/AAAA i ako server odgovara na HTTP/HTTPS. Reverse DNS postaje važan tek ako sa iste IP adrese šaljete email, koristite SSH bastion, ili imate sisteme koji se oslanjaju na rDNS za identifikaciju klijenata u logovima.

Da li PTR zapis mogu da podesim u DNS zoni domena?

Ne. PTR ne živi u DNS zoni domena (kao A, MX, TXT), nego u zoni IP opsega (in-addr.arpa za IPv4). Tu zonu kontroliše vlasnik IP-a, što je obično hosting ili cloud provajder. Promena se traži kroz njihov panel ili tiket.

Zašto Gmail traži PTR zapis za mail server?

Gmail u sender guidelines-ima zahteva validan forward i reverse DNS za servere koji šalju email u količini. Bez PTR-a, IP pošiljaoca izgleda anonimno i bot-like, što Gmail koristi kao signal da poruku tretira kao manje pouzdanu i lakše je gura u spam folder.

Da li PTR zapis rešava spam problem?

Sam po sebi ne. PTR je jedan deo veće slike koja uključuje IP reputaciju, SPF/DKIM/DMARC, kvalitet sadržaja i ponašanje primalaca. Bez PTR-a, problem je gotovo zagarantovan; sa PTR-om, problem postaje rešiv ako su i ostali signali u redu.

Šta znači kada PTR pokazuje na generički hostname?

Generički hostname kao vps-1234.contabo.net ili static-203-0-113-45.isp.com je default vrednost koju provajder postavlja. Za web sajt nema posledica, ali za mail server signalizira prijemnim sistemima da to nije namenski mail host, što obara reputaciju. Treba ga zameniti hostname-om vašeg mail servera (na primer mail.vasdomena.rs) i obezbediti da forward A zapis za taj hostname vraća istu IP adresu.

Da li VPS treba da ima PTR zapis?

Ako VPS šalje email, da, obavezno. Ako je čist web server koji prima samo HTTP/HTTPS saobraćaj, formalno nije potrebno, ali svaki ozbiljniji provajder po default-u postavi makar generički PTR. Ako planirate da VPS kasnije pretvorite i u mail server, ne košta ništa da PTR od početka bude postavljen na smislen hostname.