Panoramica del DNS inverso e supporto in Azure

Questo articolo offre una panoramica del funzionamento del DNS inverso e degli scenari in cui il DNS inverso è supportato in Azure.

Che cos'è il DNS inverso?

I record DNS convenzionali eseguono il mapping di un nome DNS a un indirizzo IP, ad esempio www.contoso.com viene risolto in 64.4.6.100. Un DNS inverso esegue l'operazione opposta convertendo un indirizzo IP in un nome. Ad esempio, una ricerca di 64.4.6.100 verrà risolta in www.contoso.com.

I record del DNS inverso vengono usati in varie situazioni. I record DNS inversi, ad esempio, sono molto usati per combattere l'invio di posta indesiderata verificando il mittente di un messaggio di posta elettronica. Il server di posta ricevente recupera il record DNS inverso dell'indirizzo IP del server di invio. Il server di posta ricevente verifica quindi se l'host è autorizzato a inviare messaggi di posta elettronica dal dominio di origine.

Come funziona il DNS inverso

I record DNS inversi sono ospitati in speciali zone DNS, chiamate zone "ARPA". Queste zone costituiscono una gerarchia DNS separata parallela alla normale gerarchia che ospita domini come contoso.com.

Il record DNS www.contoso.com, ad esempio, viene implementato usando un record DNS "A" con il nome "www" nella zona contoso.com. Questo record A fa riferimento all'indirizzo IP corrispondente, in questo caso 64.4.6.100. La ricerca inversa viene implementata separatamente, usando un record "PTR" denominato "100" nella zona "6.4.64.in-addr.arpa". Si noti che gli indirizzi IP nelle zone ARPA vengono invertiti. Questo record PTR, se configurato correttamente, punterà al nome www.contoso.com.

Quando a un'organizzazione viene assegnato un blocco di indirizzi IP, acquisisce anche il diritto di gestire la zona ARPA corrispondente. Le zone ARPA corrispondenti ai blocchi di indirizzi IP usati da Azure vengono ospitate e gestite da Microsoft. È possibile che il provider di servizi Internet ospiti la zona ARPA per gli indirizzi IP di cui si è proprietari. È anche possibile che consenta di ospitare la zona ARPA in un servizio DNS di propria scelta, ad esempio DNS di Azure.

Nota

Le ricerche DNS dirette e le ricerche DNS inverse vengono implementate in gerarchie DNS separate parallele. La ricerca inversa per "www.contoso.com" non è ospitata nella zona "contoso.com", ma nella zona ARPA per il blocco di indirizzi IP corrispondente. Per i blocchi di indirizzi IPv4 e IPv6 vengono usate zone separate.

IPv4

Il nome di una zona di ricerca inversa di tipo IPv4 deve avere il formato seguente: <IPv4 network prefix in reverse order>.in-addr.arpa.

Ad esempio, quando si crea una zona inversa per ospitare i record per gli host con indirizzi IP con prefisso 192.0.2.0/24, il nome della zona viene creato tramite l'isolamento del prefisso di rete dell'indirizzo (192.0.2), quindi l'inversione dell'ordine(2.0.192) e l'aggiunta del suffisso .in-addr.arpa.

Classe di subnet Prefisso di rete Prefisso di rete inverso Suffisso standard Nome della zona inversa
Classe A 203.0.0.0/8 203 .in-addr.arpa 203.in-addr.arpa
Classe B 198.51.0.0/16 51.198 .in-addr.arpa 51.198.in-addr.arpa
Classe C 192.0.2.0/24 2.0.192 .in-addr.arpa 2.0.192.in-addr.arpa

Delega IPv4 senza classi

In alcuni casi l'intervallo di indirizzi IP assegnato a un'organizzazione è inferiore a un intervallo di tipo Classe C (/24). In questo caso, l'intervallo IP non è compreso in un limite di zona entro la gerarchia di zone .in-addr.arpa e, di conseguenza, non può essere delegato come zona figlio.

Un metodo diverso viene usato per trasferire ogni record di ricerca inversa in una zona DNS dedicata. Questo metodo delega una zona figlio per ogni intervallo IP. Esegue quindi il mapping di ogni singolo indirizzo IP nell'intervallo alla zona figlio usando i record CNAME.

Si supponga ad esempio che all'organizzazione venga concesso dal provider di servizi Internet l'intervallo di indirizzi IP 192.0.2.128/26. Questo blocco di indirizzi rappresenta 64 indirizzi IP, da 192.0.2.128 a 192.0.2.191. Il DNS inverso per questo intervallo viene implementato come segue:

  • L'organizzazione crea una zona di ricerca inversa denominata 128-26.2.0.192.in-addr.arpa. Il prefisso "128-26" rappresenta il segmento di rete assegnato all'organizzazione nell'intervallo di tipo Classe C (/24).

  • Il provider di servizi Internet crea record NS per configurare la delega DNS per la zona precedente dalla zona padre di tipo Classe C. Il provider di servizi Internet crea anche record CNAME nella zona di ricerca inversa padre (classe C). Esegue quindi il mapping di ogni indirizzo IP nell'intervallo IP alla nuova zona creata dall'organizzazione:

    $ORIGIN 2.0.192.in-addr.arpa
    ; Delegate child zone
    128-26    NS       <name server 1 for 128-26.2.0.192.in-addr.arpa>
    128-26    NS       <name server 2 for 128-26.2.0.192.in-addr.arpa>
    ; CNAME records for each IP address
    129       CNAME    129.128-26.2.0.192.in-addr.arpa
    130       CNAME    130.128-26.2.0.192.in-addr.arpa
    131       CNAME    131.128-26.2.0.192.in-addr.arpa
    ; etc
    
  • L'organizzazione gestisce quindi i singoli record PTR all'interno della rispettiva zona figlio.

    $ORIGIN 128-26.2.0.192.in-addr.arpa
    ; PTR records for each UIP address. Names match CNAME targets in parent zone
    129      PTR    www.contoso.com
    130      PTR    mail.contoso.com
    131      PTR    partners.contoso.com
    ; etc
    

Una ricerca inversa per l'indirizzo IP "192.0.2.129" esegue una query per un record PTR denominato "129.2.0.192.in-addr.arpa". Questa query restituisce un valore con il record CNAME nella zona padre al record PTR nella zona figlio.

IPv6

Il nome di una zona di ricerca inversa di tipo IPv6 deve avere il formato seguente: <IPv6 network prefix in reverse order>.ip6.arpa.

Ad esempio, quando si crea una zona inversa per ospitare i record per gli host con indirizzi IP inclusi nel prefisso 2001:db8:1000:abdc::/64, il nome della zona viene creato isolando il prefisso di rete dell'indirizzo (2001:db8:abdc::). Viene quindi espanso il prefisso di rete IPv6 per rimuovere la compressione degli zeri, se è stata usata per accorciare il prefisso dell'indirizzo IPv6 (2001:0db8:abdc:0000::). Invertire l'ordine, usando un punto come delimitatore tra ogni numero esadecimale nel prefisso, per creare il prefisso di rete inverso (0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2) e quindi aggiungere il suffisso .ip6.arpa.

Prefisso di rete Prefisso di rete espanso e inverso Suffisso standard Nome della zona inversa
2001:db8:abdc::/64 0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2 .ip6.arpa 0.0.0.0.c.d.b.a.8.b.d.0.1.0.0.2.ip6.arpa
2001:db8:1000:9102::/64 2.0.1.9.0.0.0.1.8.b.d.0.1.0.0.2 .ip6.arpa 2.0.1.9.0.0.0.1.8.b.d.0.1.0.0.2.ip6.arpa

Supporto di Azure per DNS inverso

Azure supporta due scenari distinti correlati al DNS inverso:

Hosting della zona di ricerca inversa corrispondente al blocco di indirizzi IP: DNS di Azure può essere usato per ospitare le zone di ricerca inversa e gestire i record PTR sia per IPv4 sia per IPv6. Il processo di creazione della zona di ricerca inversa (ARPA), configurazione della delega e configurazione dei record PTR è uguale a quello delle normali zone DNS. Le differenze consistono nel fatto che la delega deve essere configurata con il provider di servizi Internet anziché con il registrar DNS e deve essere usato solo il tipo di record PTR.

Configurare il record DNS inverso per l'indirizzo IP assegnato al servizio di Azure: Azure consente di configurare la ricerca inversa per gli indirizzi IP assegnati al servizio di Azure. Questa ricerca inversa viene configurata da Azure come record PTR nella zona ARPA corrispondente. Queste zone ARPA, corrispondenti a tutti gli intervalli di IP usati da Azure, vengono ospitate da Microsoft.

Passaggi successivi