Aimless

IPv6の逆引きを設定してみた

DNS network

ZABBIXが発報するエラーメールの通知先にGmailを設定したところ、ZABBIXが利用するMTAのIPv6逆引きが存在しなかったため、以下のメッセージとともにメールを拒否されました。

The sender does not meet basic ipv6 550-5.7.1 sen

ding guidelines of authentication and rdns resolution of sending 550-5.7.1 ip. Please review 550 5.7.1 https://support.goog

le.com/mail/answer/81126for more information.

 利用しているIPv6アドレスはHEのTunnel Brokerで割り当ててもらっているものです。HEはIPv6の逆引きを権限委譲してくれるので、Gmailにメールを送信する為に逆引きを設定してみました。

 HEに逆引きゾーンを委譲してもらう

 Tunnel Broker管理画面の『rDNS Delegations』欄に、権限移譲してほしいDNSサーバのホスト名を入力します。BIND9のプライマリと、BIND10のセカンダリDNSを登録しました。

HE's rDNS

 プライマリ(BIND9)を設定する

 プライマリ側にゾーンファイルを作成します。HEの管理画面では移譲されるゾーン名が不明なので、dig +trace [逆引きしたいIPv6アドレス]などで委譲されるゾーン名を確認します。私の場合(/48でもらっているIPv6)は1.e.d.f.0.7.4.0.1.0.0.2.ip6.arpaでした。ゾーンファイル内に記載するPTRレコードはかなり長くなります。。。

x.x.0.0.0.0.0.0.0.0.0.0.0.0.0.0.3.5.0.0 IN PTR xxxx.aimless.jp.

 ゾーンファイル作成後、named.confに1.e.d.f.0.7.4.0.1.0.0.2.ip6.arpaをゾーンとして登録します。

 セカンダリDNS(BIND10)を設定する

 BIND10を1.e.d.f.0.7.4.0.1.0.0.2.ip6.arpaのセカンダリDNSとして設定します。Zonemgrにゾーンを登録し、Xfrinにゾーン転送を受け付けるドメインとして登録します。登録後にプライマリからゾーンを転送してもらいます。

> config add Zonemgr/secondary_zones
> config set Zonemgr/secondary_zones[1]/name 1.e.d.f.0.7.4.0.1.0.0.2.ip6.arpa
> config add Xfrin/zones
> config set Xfrin/zones[1]/name 1.e.d.f.0.7.4.0.1.0.0.2.ip6.arpa
> config set Xfrin/zones[1]/master_addr xxx.xxx.xxx.xxx
> config commit
> Xfrin retransfer zone_name = 1.e.d.f.0.7.4.0.1.0.0.2.ip6.arpa
2013-08-31 01:24:46.110 WARN  [b10-xfrin.xfrin/4658] XFRIN_ZONE_CREATED Zone 1.e.d.f.0.7.4.0.1.0.0.2.ip6.arpa/IN not found in the given data source, newly created
2013-08-31 01:24:46.111 INFO  [b10-xfrin.xfrin/4658] XFRIN_ZONE_NO_SOA Zone 1.e.d.f.0.7.4.0.1.0.0.2.ip6.arpa/IN does not have SOA
2013-08-31 01:24:46.146 INFO  [b10-xfrin.xfrin/4658] XFRIN_XFR_TRANSFER_STARTED AXFR transfer of zone 1.e.d.f.0.7.4.0.1.0.0.2.ip6.arpa/IN started
2013-08-31 01:24:46.853 INFO  [b10-xfrin.xfrin/4658] XFRIN_TRANSFER_SUCCESS full AXFR transfer of zone 1.e.d.f.0.7.4.0.1.0.0.2.ip6.arpa/IN succeeded (messages: 1, records: 4, bytes: 237, run time: 0.727 seconds, 326 bytes/second)

動作確認

 プライマリDNSに問い合わせてみる。ANSWER SECTIONで設定したPTRが返ってきています。

# dig @dns1.aimless.jp +norec -x 2001:470:fde1:53::xx

; <<>> DiG 9.9.3-P2 <<>> @dns1.aimless.jp +norec -x 2001:470:fde1:53::xx
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65045
;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;x.x.0.0.0.0.0.0.0.0.0.0.0.0.0.0.3.5.0.0.1.e.d.f.0.7.4.0.1.0.0.2.ip6.arpa. IN PTR

;; ANSWER SECTION:
x.x.0.0.0.0.0.0.0.0.0.0.0.0.0.0.3.5.0.0.1.e.d.f.0.7.4.0.1.0.0.2.ip6.arpa. 3600 IN PTR xxxx.aimless.jp.

;; AUTHORITY SECTION:
1.e.d.f.0.7.4.0.1.0.0.2.ip6.arpa. 3600 IN NS    dns1.aimless.jp.
1.e.d.f.0.7.4.0.1.0.0.2.ip6.arpa. 3600 IN NS    dns4.aimless.jp.

;; ADDITIONAL SECTION:
dns1.aimless.jp.        3600    IN      A       49.212.54.72
dns1.aimless.jp.        3600    IN      AAAA    2001:e41:31d4:3648::1
dns4.aimless.jp.        3600    IN      A       157.7.135.191
dns4.aimless.jp.        3600    IN      AAAA    2001:470:23:756::2

;; Query time: 0 msec
;; SERVER: 2001:e41:31d4:3648::1#53(2001:e41:31d4:3648::1)
;; WHEN: Sat Aug 31 11:50:45 JST 2013
;; MSG SIZE  rcvd: 257

 セカンダリDNSに問い合わせてみる。ANSWER SECTIONで設定したPTRが返ってきています。ただし、BIND9とは異なりADDITIONAL SECTIONが返ってこない。設定ミスか実装の違いかお勉強します。。。

# dig @dns4.aimless.jp +norec -x 2001:470:fde1:53::xx

; <<>> DiG 9.9.3-P2 <<>> @dns4.aimless.jp +norec -x 2001:470:fde1:53::xx
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55580
;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;x.x.0.0.0.0.0.0.0.0.0.0.0.0.0.0.3.5.0.0.1.e.d.f.0.7.4.0.1.0.0.2.ip6.arpa. IN PTR

;; ANSWER SECTION:
x.x.0.0.0.0.0.0.0.0.0.0.0.0.0.0.3.5.0.0.1.e.d.f.0.7.4.0.1.0.0.2.ip6.arpa. 3600 IN PTR xxxx.aimless.jp.

;; AUTHORITY SECTION:
1.e.d.f.0.7.4.0.1.0.0.2.ip6.arpa. 3600 IN NS    dns1.aimless.jp.
1.e.d.f.0.7.4.0.1.0.0.2.ip6.arpa. 3600 IN NS    dns4.aimless.jp.

31 Aug 2013