<div dir="ltr">Forgot to complete the verification sequence:<br><br><br><i>The verification starts with getting the PTR for the IP address.<br><br>Then, looking up A records for whatever name(s) are returned from the<br>PTR record.</i><div><i><br></i></div><div>The "A" record that comes back should match the IP address that you started with.</div><div><br></div><div>Eg, If you get a connection from 1.2.3.4, and the PTR record says that is "<a href="http://bighost.com">bighost.com</a>", but then you look up <a href="http://bighost.com">bighost.com</a> its at "6.7.8.9", it appears someone is trying to pretend to be <a href="http://bighost.com">bighost.com</a>. </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Apr 23, 2015 at 12:28 PM, Dave Chiodo <span dir="ltr"><<a href="mailto:megadave@gmail.com" target="_blank">megadave@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Its less about what the MX record, that it is about whatever server<br>
the SMTP connection is originating from. (Some email services use one<br>
set of servers as MX for receiving INbound mail, and a completely<br>
different set of servers for sending OUTbound mail)<br>
<br>
The verification starts with getting the PTR for the IP address.<br>
<br>
Then, looking up A records for whatever name(s) are returned from the<br>
PTR record.<br>
<br>
In this case, NEITHER of the names given for the PTR record have an A record.<br>
<br>
The one missing the ".com" is of course invalid, and there is NO A<br>
record for the other:<br>
<br>
$ dig <a href="http://67-221-227-25.xiolink.com" target="_blank">67-221-227-25.xiolink.com</a><br>
<br>
;; Got answer:<br>
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 10651<br>
<div class="HOEnZb"><div class="h5"><br>
On Thu, Apr 23, 2015 at 12:14 PM, L. V. Lammert <<a href="mailto:lvl@omnitec.net">lvl@omnitec.net</a>> wrote:<br>
> On Thu, 23 Apr 2015, Mark Farver wrote:<br>
><br>
>> Not sure what you are saying...did you get more than one result to a PTR<br>
>> lookup?  Can you paste dig output displaying the condition?<br>
>><br>
> MX<br>
> <a href="http://crownpack.com" target="_blank">crownpack.com</a>.          2841    IN      MX      10 <a href="http://cpbsvf01.crownpack.com" target="_blank">cpbsvf01.crownpack.com</a>.<br>
><br>
> ;; ADDITIONAL SECTION:<br>
> <a href="http://cpbsvf01.crownpack.com" target="_blank">cpbsvf01.crownpack.com</a>. 2841    IN      A       67.221.227.25<br>
><br>
> ;; ANSWER SECTION:<br>
> <a href="tel:25.227.221.67" value="+12522722167">25.227.221.67</a>.in-addr.arpa. 3600 IN  PTR     cpbsvf01.crownpack.<br>
> <a href="tel:25.227.221.67" value="+12522722167">25.227.221.67</a>.in-addr.arpa. 3600 IN  PTR     <a href="http://67-221-227-25.xiolink.com" target="_blank">67-221-227-25.xiolink.com</a>.<br>
><br>
>> Requiring anything beyond the existence of a PTR record on an incoming<br>
>> message is problematic.  You can certainly give positive score to a machine<br>
>> with valid and identical forward and reverse records but many legitimate<br>
>> senders will not have that.<br>
>><br>
> They may be a legitimate sender, .. but an invalid reverse DNS PTR does<br>
> indicate they may *not* be legitimate and our email servers are configured<br>
> to reject.<br>
><br>
> The problem is that MXToobox only checks for the existance of a PTR record<br>
> and does not match the hostname. I have since found a way to accurately<br>
> show the discrepancy: <a href="http://www.debouncer.com/reverse-dns-check" target="_blank">http://www.debouncer.com/reverse-dns-check</a><br>
><br>
>         TFTR!<br>
><br>
>         Lee<br>
</div></div><div class="HOEnZb"><div class="h5">> _______________________________________________<br>
> grlug mailing list<br>
> <a href="mailto:grlug@grlug.org">grlug@grlug.org</a><br>
> <a href="http://shinobu.grlug.org/cgi-bin/mailman/listinfo/grlug" target="_blank">http://shinobu.grlug.org/cgi-bin/mailman/listinfo/grlug</a><br>
> _______________________________________________<br>
> grlug mailing list<br>
> <a href="mailto:grlug@grlug.org">grlug@grlug.org</a><br>
> <a href="http://shinobu.grlug.org/cgi-bin/mailman/listinfo/grlug" target="_blank">http://shinobu.grlug.org/cgi-bin/mailman/listinfo/grlug</a><br>
</div></div></blockquote></div><br></div>