Forward confirmed reverse DNS
El forward-confirmed reverse DNS (FCrDNS), també conegut com a full-circle reverse DNS, double-reverse DNS, o iprev, és un paràmetre de configuració de xarxa en què, donada una adreça IP, aquesta té tant el registre DNS (Domain Name System), traducció de nom de domini a adreça, com l'invers, d'adreça a nom de domini. Aquesta és la configuració esperada segons els estàndards d'Internet i els diferents protocols basats en DNS. Els RFC 1912 i 1033 (aquest últim és informatiu) ho recomanen com a bona pràctica, però no és un requeriment de l'estàndard segons els RFC que regeixen les operacions DNS.
Una verificació FCrDNS es pot considerar una forma d'autenticació simple, en permetre indicar que hi ha una relació vàlida entre el propietari d'un nom de domini i el propietari de la xarxa que té una adreça IP concreta. Tot i que simple, aquesta validació és prou bona per a ser utilitzada per a crear llistes blanques, ja que els spammers i phishers sovint no poden superar-la quan utilitzen ordinadors zombis per enviar correu no desitjat de forma massiva. En aquest cas, el Reverse DNS Lookup pot funcionar, però habitualment resoldrà a un domini diferent de l'indicat a les capçaleres del correu.
Una possible solució al problema del DNS invers, podria ser utilitzar un servidor de correu d'un Proveïdor de Serveis d'Internet (ISP) com a relay, per què en aquest el requeriment per a enviar correu és que coincideixin tant la resolució de DNS directa com la inversa.
Altres mètodes per establir la relació entre una adreça IP i un nom de domini al correu és l'SPF (Sender Policy Framework) i el registre MX. Tot i això, l'SPF es basa completament en el DNS invers.
Els ISP que no poden o no volen configurar el DNS invers poden generar problemes als amfitrions dins les seves xarxes, en no poder utilitzar aplicacions o protocols que requereixin aquesta validació amb el registre A corresponent. Aquests ISP, per tant, estaran limitant la capacitat de poder rebre o oferir serveis d'Iinternet de forma efectiva i segura.
Aplicacions modifica
- La majoria d'agents de transferència de correu (Mail Transfer Agent, o MTA), utilitzen la verificació FCrDNS i si troben un nom de domini vàlid l'afegeixen a la part de "Rebut:" de la capçalera del correu.
- Alguns MTA efectuaran la validació FCrDNS sobre el domini rebut en la conversa de les ordres SMTP HELO i EHLO. Això no respecta l'RFC 2821 i el correu no es rebutja de forma predeterminada.
- El sistema de detecció de correu fraudulent SPF utilitza la validació FCrDNS amb el registre PTR.
- Alguns filtres de correu no desitjat utilitzen la validació FCrDNS com a mètode d'autenticació per a nom de dominis o per a la creació de llistes blanques, d'acord amb l'RFC 7001, per exemple.
- SpamCop utilitza la validació FCrDNS, el que algun cop causa problemes als usuaris del servei que també són clients d'ISP que no implementen de forma correcta els registres DNS i rDNS als servidors de correu.[1] Arxivat 2013-02-22 at Archive.is [2] Arxivat 2013-02-22 at Archive.is
- Alguns servidors d'FTP, Telnet i TCP Wrapper efectuen la validació FcrDNS, així com alguns servidors d'IRC, per evitar l'abús del servei.