DNS inverso confirmado hacia adelante

DNS inverso confirmado hacia adelante ( FCrDNS ), también conocido como DNS inverso de círculo completo , DNS inverso doble o iprev , es una configuración de parámetros de red en la que una dirección IP determinada tiene (nombre a dirección) e inverso ( dirección a nombre) Entradas del Sistema de nombres de dominio (DNS) que coinciden entre sí. Esta es la configuración estándar esperada por los estándares de Internet que admiten muchos protocolos dependientes de DNS. David Barr publicó una opinión en RFC 1912 (Informativo) recomendándola como mejor práctica para los administradores de DNS, pero no existen requisitos formales codificados dentro del propio estándar DNS. ^[1]

Una verificación FCrDNS puede crear una forma débil de autenticación de que existe una relación válida entre el propietario de un nombre de dominio y el propietario de la red a la que se le ha asignado una dirección IP. Si bien es débil, esta autenticación es lo suficientemente fuerte como para usarse con fines de inclusión en listas blancas porque los spammers y los phishers generalmente no pueden eludir esta verificación cuando usan computadoras zombies para suplantar el correo electrónico. Es decir, el DNS inverso podría verificarse, pero normalmente será parte de otro dominio distinto del nombre de dominio reclamado.

El uso del servidor de correo de un ISP como retransmisión puede resolver el problema del DNS inverso, porque el requisito es que la búsqueda directa e inversa para la retransmisión de envío debe coincidir, no tiene que estar relacionado con el campo de origen o el dominio de envío de mensajes. relés.

Otros métodos para establecer una relación entre una dirección IP y un dominio en el correo electrónico son el Marco de políticas del remitente (SPF) y el registro MX .

Los ISP que no quieran o no puedan configurar DNS inverso generarán problemas para los hosts en sus redes, en virtud de que no pueden soportar aplicaciones o protocolos que requieran DNS inverso y estén de acuerdo con el registro A (o AAAA) correspondiente. Los ISP que no pueden o no quieren proporcionar DNS inverso en última instancia limitarán la capacidad de su base de clientes para utilizar los servicios de Internet que brindan de manera efectiva y segura.

Aplicaciones

• La mayoría de los agentes de transferencia de correo electrónico (software de servidor) utilizan una verificación FCrDNS y, si hay un nombre de dominio válido, colóquelo en el campo de encabezado de seguimiento "Recibido:".
• Algunos agentes de transferencia de correo electrónico realizarán la verificación FCrDNS en el nombre de dominio proporcionado en los comandos SMTP HELO y EHLO. Esto puede violar el RFC 2821 y, por lo tanto, el correo electrónico generalmente no se rechaza de manera predeterminada.
• El sistema antifalsificación de correo electrónico Sender Policy Framework utiliza una verificación FCrDNS en su mecanismo "ptr:". Sin embargo, se desaconseja el uso de este mecanismo "ptr:" desde la primera estandarización del SPF en 2006 (en RFC 4408).
• Algunos filtros de spam de correo electrónico utilizan comprobaciones FCrDNS como método de autenticación para nombres de dominio o para fines de inclusión en listas blancas , según, por ejemplo, RFC 8601.
• SpamCop utiliza la verificación FCrDNS, lo que a veces causa problemas a los usuarios de SpamCop que también son clientes de proveedores de servicios de Internet que no proporcionan registros DNS y rDNS que coincidan adecuadamente para los servidores de correo. [1] [2]
• Algunos servidores FTP , Telnet y TCP Wrapper realizan comprobaciones FCrDNS.[3] Archivado el 1 de julio de 2020 en Wayback Machine.
• Algunos servidores IRC realizan comprobaciones FCrDNS para evitar abusos.

Referencias

1. "Información sobre ETS 13» Editor RFC ". Noviembre de 1987 . Consultado el 26 de marzo de 2018 .