domena
Petr Novotny
Petr.Novotny na antek.cz
Čtvrtek Září 7 20:27:19 CEST 2000
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 7 Sep 2000, at 20:22, ivo hanuška - konference wrote:
> Tak jak to je prezentovano. tedy:
>
> domena.sk IN NS nekde;; pro domena sk. je NS autoritativni
> stroj: nekde.domena.sk.
>
> IN MX stroj.domena.sk ;; toto by melo znamenat, ze
> pro
> domena.sk. (a pouze pro domena.sk, nikoliv pro *.domena.sk) je MX
> stroj.domena.sk. Je to tak?
Ano.
> meno.domena.sk IN CNAME domena.sk ;; meno.domena.sk. je CNAME
> ukazujici na domena.sk. Takze tedy meno.domena.sk=domena.sk? Ale pak
> zase ukazuje MX na CNAME (ukazujici na domena.sk?, odkud se vezme
> adresa hosta "domena.sk"?
Z hosta domena.sk se pouzije jeho MX. Formulujete problem
spatne: Neni to "MX ukazujici na CNAME", ale "CNAME ukazujici
na MX".
"MX ukazujici na CNAME" je chyba konfigurace, kterou ovsem
dostatecne novy DNS software zbasti. (Na siti jsou ovsem bohuzel,
na komercnich unixech, i predpotopni verze DNS software.)
"CNAME ukazujici na MX", pokud spravne interpretuji RFC, chyba
neni. Dojde totiz k tomu, ze pro RCPT
TO:<nekdo na meno.domena.sk> udela MTA CNAME lookup (ve
praxi spis * lookup) na meno.domena.sk, zjisti, ze to CNAME
opravdu _je_, a nahradi vse za RCPT TO:<nekdo na domena.sk>.
Takovyto mail se routuje podle MX zaznamu pro domena.sk.
Ovsem pripominam, ze cely ten priklad "meno.domena.sk IN
CNAME domena.sk" byl uvaden jako nespravny, z jinych duvodu.
> meno.domena.sk IN MX 0 stroj.domena.sk
Ano, to je nejjednodussi. Ale je tu jisty rozdil.
Pokud udelam "meno.domena.sk IN MX stroj.domena.sk", pak
musim MTA na stroji.domena.sk rict, ze ma prijimat postu i pro
"meno.domena.sk" - treba pres Cw nebo relay+mailertable nebo
tak nejak. Pokud udelam "meno.domena.sk IN CNAME
stroj.domena.sk", pak MTA na stroji.domena.sk uvidi *jen* maily
pro stroj.domena.sk, protoze CNAME odvine uz odesilatel.
To ma vedlejsi efekt, ze pres CNAME neudelate virtualni e-mailovou
domenu. To muze a nemusi byt zamer.
Rikam to dost jasne?
> > To se tu resilo uz nekolikrat. Mate dve moznosti:
> > 1. Udelat *jenom* CNAME.
> > 2. Udelat A a MX.
>
> Ano s moznosti 1. nelze nez souhlasit i kdyz pred ni leckdo varuje.
> Protoze to je vlastne zakukleny MX ukazujici na CNAME.
Nikoliv - CNAME ukazujici na MX. Viz vyse. (Ale nejde ta virtualni
e-mailova domena.)
> 2. To je ten
> pripad, kdy mate dost IP adres. Takze si pan alokuje jednu adresu
> udela prislusny A a MX zaznam na ni a je zameteno.
To uz to bylo nedavno. Ac je to mnohym proti srsti ("prasarna"), je
naprosto legalni mit nekolik A zaznamu ukazujicich na stejnou IP
adresu.
Jinak by virtual e-mail hosting znamenal, ze IPv6 bylo potreba uz
predloni, protoze IPv4 by se davno vycerpalo.
> > > Problem prijde v okamziku, kdy mu SMTP klekne (tedy
> > > stroj s MX) a odesilajici MTA bude muset jit po CNAME zaznamu (coz
> > > mate pravdu).
Tuhle poznamku stale nechapu.
> Vychazim z postupu jak je receno v literature a odzkouseno v praxi.
> MTA nejdriv hleda stroje na nez ukazuje MX zaznam (podle priority
> urcene v MX zaznamu) a pokousi se je kontaktovat a postu predat.
Ne; nejdriv zjisti, zda adresa neni CNAME, a kdyztak odvine cely
CNAME retezec az narazi na neco, co CNAME neni. V souladu s
tim prepise RCPT TO a casto i hlavicky.
> Pokud
> se to nepodari pokusi se najit primo stroj s nazvem (tedy zde
> meno.domena.sk).
Ne, to jste pochopil fakt spatne. Algoritmus je zhruba takovyto:
1. CNAME query (prakticky spis * query)
2. Je-li to CNAME, prepis to na to, na co CNAME ukazuje, a jdi
zpet do bodu 1.
3. Jinak MX query
4a. Je-li vraceny RR set neprazdny, zvol MX nejvyssi priority a
pokus se dorucit. (Plus dalsi politika jako treba "cache mrtvych
stroju" atd.)
4b. Je-li vraceny RR set prazdny, A query
4ba. Je-li vraceny RR set neprazdny, zvol nahodne jedno A a doruc
to na nej.
4bb. Je-li vraceny RR set prazdny, bouncni mail.
Poznamka: Mezi kroky 2 a 3 typicky jeste bude kontrola, zda
CNAME (ci *) query vratilo NOERROR (jmeno existuje, jen nema
CNAME) nebo NXDOMAIN (jmeno urcite neexistuje).
Ponechavam stranou SERVFAIL - tedy docasny DNS error.
Je to jasnejsi?
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8 -- QDPGP 2.61b
Comment: http://community.wow.net/grt/qdpgp.html
iQA/AwUBObfP91MwP8g7qbw/EQKFGACeP8WbFmESSooc5ZXYnS5jwxpIL4MAoKJV
t1WminyfDbxTAI1DnQkTpSpt
=S6LW
-----END PGP SIGNATURE-----
Další informace o konferenci Linux