主題: [問題]請教 DNS 設定?

[joe0120]

於12/16早上發現不能收到外部信件，但內部正常寄發，後來查一下日誌訊息如下

其紅色字體就是問題原因，但我DNS正反解析都正常，使用nslookup的查詢，不管是從內外部查詢都正常，實在不知該如何排除，謝謝

mail 記錄檔：
2011/12/16-09:33:41 295044 Connect from 209.85.210.175
2011/12/16-09:33:42 295044 command = EHLO mail-iy0-f175.google.com
2011/12/16-09:33:42 295044 max message size = 10485760
2011/12/16-09:33:42 295044 command = MAIL FROM:<test@gmail.com>
2011/12/16-09:33:42 295044 mail from = test@gmail.com
2011/12/16-09:33:42 295044 good mail from = test@gmail.com
2011/12/16-09:33:42 295044 command = RCPT TO:<test@test.com.tw>
2011/12/16-09:33:42 295044 rcpt to = test@test.com.tw
2011/12/16-09:33:42 295044 no mail relay for rcpt to = test@test.com.tw
2011/12/16-09:33:42 295044 command = QUIT
2011/12/16-09:33:42 295044 End connection

退信訊息：
Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the recipient domain. We recommend contacting the other email provider for further information about the cause of this error. The error that the other server returned was: 553 553 you don't authenticate or the domain is not allowed relay (state 14).

dns 設定：
options {
        directory "/var/named";
              version         "None of your business";
                allow-query { any; };
                allow-recursion { 127.0.0.1/32; 61.15.210.53/32; 212.61.215.1/32; };
                forwarders { 168.95.192.1; 168.95.1.1; 8.8.8.8; };
                allow-transfer  { none; };
   }
controls {
        inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};
zone "." IN {
        type hint;
        file "named.ca";
};

zone "localhost" IN {
        type master;
        file "localhost.zone";
        allow-update { none; };
};

zone "0.0.127.in-addr.arpa" IN {
        type master;
        file "named.local";
        allow-update { none; };
};

zone "test.com.tw" {
        type master;
        file "test.com.tw";
        allow-update { none; };
};


test.com.tw 設定：
$TTL            38400
@                               IN              SOA             test.com.tw.              mis.test.com.tw.(
                                                2006052501      ;serial
                                                10800           ;refresh
                                                3600            ;retry
                                                604800          ;expire
                                                38400)          ;TTL

@                               IN      NS                      ns1.test.com.tw.
@                               IN      NS                      ns2.test.com.tw.

test.com.tw.              IN      MX      10              mail.test.com.tw.
test.com.tw.              IN      MX      20              mail2.test.com.tw.

ns1.test.com.tw.          IN      A       212.61.215.2
ns2.test.com.tw.          IN      A       61.15.210.50
test.com.tw.              IN      A       212.61.215.3
www.test.com.tw.          IN      A       212.61.215.8
mail.test.com.tw.         IN      A       212.61.215.3
mail2.test.com.tw.        IN      A       212.61.215.3
service.test.com.tw.      IN      A       61.15.210.53
project.test.com.tw.      IN      A       61.15.210.53
mail6.test.com.tw.        IN      A       212.61.215.6
mail7.test.com.tw.        IN      A       212.61.215.7
mail8.test.com.tw.        IN      A       212.61.215.8
mail28.test.com.tw.       IN      A       212.61.215.28
mail29.test.com.tw.       IN      A       212.61.215.29
@                         IN      TXT     "v=spf1 a mx ptr ip4:212.61.215.3 mx:mail.test.com.tw mx:mail2.test.com.tw ~all"

請問各位：
1、以上 dns 設定是否正確?
2、以上會造成authenticate or the domain is not allowed relay 等問題

謝"

[twu2]

看起來與 dns 似乎沒什麼關係, 就只是你們的 mail server 不知道怎麼處理給 test.com.tw 的信. (就是它認為它不是 test.com.tw, 不接受 relay)

[joe0120]

看起來與 dns 似乎沒什麼關係, 就只是你們的 mail server 不知道怎麼處理給 test.com.tw 的信. (就是它認為它不是 test.com.tw, 不接受 relay)

感謝 twu2 的回應：
下列是之前才加入，後來過兩天就發現該狀況
                allow-query { any; };
                allow-recursion { 127.0.0.1/32; 61.15.210.53/32; 212.61.215.1/32; };
                forwarders { 168.95.192.1; 168.95.1.1; 8.8.8.8; };
                allow-transfer  { none; };

後來再重複查一下各參數意思如下，但不至於會如此，後來就啟動mail server 就恢復正常，真是奇了~
資料來源：鳥哥與自己
allow-transfer ( none; };
是否允許來自 slave DNS 對我的整個領域資料進行傳送？這個設定值與 master/slave DNS 伺服器之間的資料庫傳送有關。除非你有 slave DNS 伺服器，否則這裡不要開放喔！因此這裡我們先設定為 none。


allow-query { any; };
這個是針對用戶端的設定，到底誰可以對我的 DNS 服務提出查詢請求的意思。原本的檔案內容預設是針對 localhost 開放而已， 我們這裡改成對所有的用戶開放 (當然啦，防火牆也得放行才行)。不過，預設 DNS 就是對所有用戶放行，所以這個設定值也可以不用寫。


forward only ;
這個設定可以讓你的 DNS 伺服器僅進行 forward，即使有 . 這個 zone file 的設定，也不會使用 . 的資料， 只會將查詢權交給上層 DNS 伺服器而已，是 cache only DNS 最常見的設定了！

forwarders { 168.95.1.1; 139.175.10.20; } ;
既然有 forward only，那麼到底要對哪部上層 DNS 伺服器進行轉遞呢？那就是 forwarders (不要忘記那個 s) 設定值的重要性了！由於擔心上層 DNS 伺服器也可能會掛點，因此可以設定多部上層 DNS 伺服器喔！每一個 forwarder 伺服器的 IP 都需要有『 ; 』來做為結尾！

allow-recursion {any;};
允許別人可以使用該主機 DNS 進行非主機以外查詢

[joe0120]

後來又再試一下，結果真的很怪，使用下列就是不能收外部信件
                allow-query { any; };
                allow-recursion { 127.0.0.1/32; 61.15.210.53/32; 212.61.215.1/32; };
                forwarders { 168.95.192.1; 168.95.1.1; 8.8.8.8; };
                allow-transfer  { none; };

改成如下，一切正常，allow-transfer 不是針對 salve 做傳送嗎，但我兩台都是  master ，實在不懂
                allow-query { any; };
                allow-recursion { 127.0.0.1/32; 61.15.210.53/32; 212.61.215.1/32; };
                forwarders { 168.95.192.1; 168.95.1.1; 8.8.8.8; };
                allow-transfer  {  127.0.0.1/32; 61.15.210.53/32; 212.61.215.1/32;};

allow-transfer ( none; };
是否允許來自 slave DNS 對我的整個領域資料進行傳送？這個設定值與 master/slave DNS 伺服器之間的資料庫傳送有關。除非你有 slave DNS 伺服器，否則這裡不要開放喔！因此這裡我們先設定為 none。

[hikohan]

google要寄信給 test.com.tw

可是 MTA 說，他不認識

感覺應該是 localdomain 沒設定

[twu2]

其實我不太懂你為什麼會一直認為是 dns 有問題 (好吧, 也許它是真的有問題, 不過, 應該與你現在問的這個 email 問題沒什麼關係).

你的 email 問題就是 => 外頭的人認為 test.com.tw 要寄到你那台機器. 不過你那台機器不認為自己必須把 test.com.tw 收下來, 所以認為需要 relay 才可以, 而因為不允許 relay, 所以就不收了. (所以你收到的退信是不能 relay)
怎麼看都是 smtpd (你的 log 我看不出是那一個程式的) 的設定有問題才對.

[joe0120]

其實我不太懂你為什麼會一直認為是 dns 有問題 (好吧, 也許它是真的有問題, 不過, 應該與你現在問的這個 email 問題沒什麼關係).

你的 email 問題就是 => 外頭的人認為 test.com.tw 要寄到你那台機器. 不過你那台機器不認為自己必須把 test.com.tw 收下來, 所以認為需要 relay 才可以, 而因為不允許 relay, 所以就不收了. (所以你收到的退信是不能 relay)
怎麼看都是 smtpd (你的 log 我看不出是那一個程式的) 的設定有問題才對.

感謝您的解析
我會從 dns 著手，是之前的有做異動，如下
                allow-query { any; };
                allow-recursion { 127.0.0.1/32; 61.15.210.53/32; 212.61.215.1/32; };
                forwarders { 168.95.192.1; 168.95.1.1; 8.8.8.8; };
                allow-transfer  {  none;};
後來郵件主機沒幾天就發現狀況，所以才會這麼想，另外從 mail log 只知道發現的原因，但不知造成的來源是什麼，也是之一原因。

[netman]

allow-recursion 有包括 mail server 在內嗎？
最好是在 server 上 dig 測一下以確定是否 dns 的問題。

[rainday]

你的auth relay是設定參照domain還是ip?

[joe0120]

allow-recursion 有包括 mail server 在內嗎？
最好是在 server 上 dig 測一下以確定是否 dns 的問題。

之前設定為
allow-recursion { none;};
後後設定為 ，不包含 mail server
allow-recursion { 127.0.0.1/32; 61.15.210.53/32; 212.61.215.1/32; };

不管設定之前或之後，dns 都可以正常解析。

[joe0120]

你的auth relay是設定參照domain還是ip?

是 domain