パスワードを忘れた? アカウント作成
11092 story

APNICのDNSサーバ障害で一部のDNS逆引きが使えなくなる 71

ストーリー by yoosee
私は困りましたよ、えぇ 部門より

S0R5曰く、"まだ掲載されていないのでタレコまれてないのでしょうか。昨日10月23日に、JPNICが割り振りをおこない、APNICが逆引きDNSを提供しているIPアドレスで、DNS逆引きができないという障害がありました(JPNICによる報告)。
結構長時間で色々なシステムに不具合が出てそうな気がするのですが、その割に障害中にニュースサイトで取り上げられていなかったように見えるのは、NICの発表がなかったからですかね。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2005年10月24日 23時26分 (#819803)
    うわぁ、これだったか。

    僕の所では、午後三時前後辺りから、普段開いているasahi.com、/.J、NHK(の番組表)等につながらなくなりました。ping打ってみると、ぽちぽち行くのですが、実際のWebページを転送するところまでは安定しませんでした。news.bbc.co.ukなんかはちゃんとつながりました。ヨーロッパ系は様々でした。akamaiとかの負荷分散サービスを利用しているところは軒並みやられてましたね。

    上記の状態だったんで、DNS絡みだとは思ったのですが、ちょうどプロバイダを変えたところで、合わせてモデムもそこのものに変えたところだったので、モデムの電源切断、冷却、再起動、NISの不安定化等々疑って試行錯誤してました。

    それにしても、たれこみにも触れられている通り、こういうのは一般のニュースサイト(asahi.comとかNHKのテレビでのニュースとか)でもニュースになっても良いと思うのですが。現在では、DNS障害は、電車の遅延、停止、停電、断水などと同じくらい重要だと思います。皆さんどう思いますか。

    • > ping打ってみると、ぽちぽち行くのですが、実際のWebページを転送するところまでは安定しませんでした。

      この結果からDNSの異常を疑うのはおかしいです.単にネットワークの通信障害では?

      ping が一度でも成功した時点で,DNSによる正引きは出来ています.また,今回のタレコミの発表はDNSの逆引きにおける障害です.
      DNSを疑うのであれば,digとかnslookupを使って調べましょう.
      親コメント
    • by tyuu (9154) on 2005年10月25日 0時28分 (#819841) ホームページ 日記
      後輩が、逆引きが出きないって
      BBQ やっている会場から連れ戻されてました。
      # 肉ぅ!と叫んでいたかどうかは不明。

      深刻だったのは mail サービスかな。
      親コメント
    • by ddts (10995) on 2005年10月24日 23時51分 (#819817) 日記
      逆引きって、できないこともあるっていう性質のものなので、
      障害がおきててもなかなかわからないですよねえ。

      アクセス数の多いWEBサーバなんかだと、ログ取りが遅くなって
      負荷が上がって「逆引き?」って感じで気がつく時があるんですが、
      普通にネットを使っている場合はなかなかわかりません。
      親コメント
      • > アクセス数の多いWEBサーバなんかだと、ログ取りが遅くなって

        逆引きが嘘つきなホストからのアクセスがあっても検証できなくなりますので、
        私はアクセスログには逆引きさせず、素のIPアドレスを記録してます。

        で、後で確認するときも、whois で調べて裏を取ったり。
        最近、逆引きを過信しないようにしてます。
        親コメント
    • by Anonymous Coward on 2005年10月25日 0時08分 (#819828)
      >普段開いているasahi.com、/.J、NHK(の番組表)等につながらなくなりました。

      ん? これらのサービスって逆引きできないホストからのアクセスを制限してるの?
      どっかでルーティングの障害が発生してそういう現象が起きたのならわかるが、
      DNS の、しかも逆引きの障害ではそういうことは起きないと思うんだけど。
      まったく別の現象と勘違いしてない?
      親コメント
  • by Bauhaus (2731) on 2005年10月24日 23時22分 (#819799)
    特に使ってないからなぁ...
    • by Anonymous Coward
      逆引き止まると困るのはIRCぐらいかなぁ
      負荷分散のために逆引きで.jpからでないと繋げられない
      まぁ、国内の逆引きできないIPの為の手段も提供されているようですが。

      #IRCは私にとっては生活の一部
  • by Anonymous Coward on 2005年10月25日 3時36分 (#819889)
    最近逆引きできないサーバからはメールを受け付けないって設定のspam対策が多いのに…

    正常なメールもspam扱いにされてはじかれたサーバが多いんじゃないんかなぁ。うちは導入直前だった…
    こんな長時間障害が続くってことは逆引き対策やるのも結構怖いもんなんかなぁ。 効果的なんだけど。

    • by Anonymous Coward on 2005年10月25日 10時35分 (#819984)
      DNSに依存しているインターネット上のサービスの一部が、DNSの障害で不調になっているだけなのに、DNSに依存した設定をすると恐いなぁ、という感覚が良く分かりません。

      これが、.jpゾーンの提供障害が発生、だったときに、DNSが引けなくなってメールが配送できなかったから、DNSのMXやAレコードに依存せずに全てスタティックに配送するように設定しないと恐いねぇ、ということになるでしょうか。
      親コメント
    • by Anonymous Coward on 2005年10月25日 11時20分 (#820002)
      今回の障害範囲のひとつである 202.72.48.0 - 202.72.63.255 の中に
      楽天のメールサーバ群 [senderbase.org]がごっそりと含まれてます。
      受注確認のメールがいっぱい spam 扱いされたことでしょう。
      親コメント
    • 逆引きでフィルタしている場合はよくわかりませんが,正引きでの DNS 関連の
      障害などの場合は,4xx(Temporary Error) でエラーを返すと思います.これ
      なら,まともなメールサーバなら再送を繰り返します.postfix のデフォルト
      では,たしか 5 日間は再送をくりかえすので,逆引きのフィルタも似たような
      感じであれば,今回の程度の障害では,Sender にエラーメールが返るケースは
      ほとんどないでしょうね.

      まぁ,自分のところでは「ssh でログインできなくなったんだけど…」という
      報告がきたくらいです.その報告を見たときにはすでに問題は解消されていた
      わけですが.ちょうど,hosts.allow の設定を見直した後だったので,こちらの
      原因かと疑ってしまいました.
      親コメント
      • by Anonymous Coward on 2005年10月25日 12時22分 (#820036)
        DNS 問い合わせがエラーになったとき、RFC974 ではたとえば NXDOMAIN ならバウンスし、
        SERVFAIL なら再試行のように、エラーの種類によって適切に取り扱うべし、とあります。
        must じゃないし、for example だし、配送先を調べるときの話であって
        逆引きじゃないし、RFC974 は 2821 により obsolete になってるけど、
        まあ参考までに。
        # RFC2821 には問い合わせに失敗したときの扱いが書かれてないようだ。

        >postfix のデフォルトでは

        450 ですが、unknown_client_reject_code = 550 で応答を変えられます。

        親コメント
  • spam対策で (スコア:1, 参考になる)

    by Anonymous Coward on 2005年10月25日 7時39分 (#819912)
    逆引きできない送信元は拒否、という極端な設定をしてるんですが、 spamの一大産地である韓国・中国あたりは元々逆引きが設定されてないことほとんどなので 影響ありませんでした。:-P
  • 続報 (スコア:1, 参考になる)

    by Anonymous Coward on 2005年10月26日 14時50分 (#820566)
  • by Anonymous Coward on 2005年10月25日 0時09分 (#819829)
    Firefox1.0.7を使ってますが、タレコミにあるJPNICの報告 [nic.ad.jp]ページが表示されません。

    JPNICがスタイルシートを準備してますが、それでもブラウザ標準のスタイルシートでも該当ページは見えません。
    Wikipediaでもたまに見かけるんだけど、スタイルシートを切らないと読めないページってのは泣けてきます。
  • by Anonymous Coward on 2005年10月25日 1時22分 (#819868)
    SPAM対策で結構手荒い手法として逆引きできないサーバからのメールは弾くようなサーバにメールが届かなくなった
    例えば名古屋大とかだけど、
    あの設定は問題あると思うんで止めて欲しいものだ。
    • >あの設定は問題あると思うんで止めて欲しいものだ。

      今回のような障害時にメールが届かなくなるという理由以外では、まともなホストでも逆引きを設定してない場合があるからですか?

      個人的には、まともなメールサーバーなら逆引きを設定すべし、と思います。UUCP 接続以外で逆引きができない状況ってあるんでしょうか?

      # 動的 IP 割り当ての自宅サーバーでメールサーバー動かしているから、というのは理由になりませんね:-)
      親コメント
      • by Anonymous Coward on 2005年10月25日 10時43分 (#819988)
        個人メールアドレス単位なら問題ないと思いますけど
        IP1アドレスに複数ドメイン割り当てたりって事を許さない(逆引きで複数引ける時とか)とか
        インターネットやメールのやり取りに関する仕様にはない
        独自の解釈でサーバ全体をフィルタするのは問題あるのでは?

        私は管理者としてこのようなフィルタはしてはならないと
        常に感じています、ユーザ個々が設定できるSPAMフィルタを導入すべきです、
        理由はサーバ管理者や運営者が迷惑と感じるメールであっても
        必ずしも全てのユーザにとって迷惑メールであるとは限らない
        それを一括切り捨てるのは如何にも管理者のマスターベーション的エゴであると

        ># 動的 IP 割り当ての自宅サーバーでメールサーバー動かしているから、というのは理由に…

        これは意味が違うとは思いますが、上記理由からすれば
        当然メールを受け入れるべきだと私は思いますよ
        よく考えてみてください誰の為のサーバなのですか?
        管理者の為ですか?
        利用者のサーバではないのですか?
        利用者が判断する以前にサーバで弾いてよいのですか?
        親コメント
        • > よく考えてみて ~~~ サーバで弾いてよいのですか?

          元コメントを勝手に受け取り手の管理者の話にしているのはあなたです。推敲する時は相手の言い分もよく吟味しましょう。

          --

          ついでに他の頓珍漢なコメントにもツッコミ

          (#819954)> 逆引きを設定してあるからまとも、あるいは逆引きがないからまともでない

          targzさんは(#819922)ではそんな事は言ってません。

          (#819984)> DNSに依存しているインターネット上のサービスの一部が、DNSの障害で不調になっているだけなのに、DNSに依存した設定をすると恐いなぁ、という感覚が良く分かりません。

          DNSの逆引き機能に依存する
      • by Anonymous Coward
        >個人的には、まともなメールサーバーなら逆引きを設定すべし、と思います。

        逆引きを設定してあるからまとも、あるいは逆引きがないからまともでない、
        といえる正当な根拠があれば「べし」と言ってしまっていいと思います。
        しかし、逆引きがないホストを自分なりの主観でまともでないと
        みなしている例(ここ [hart.co.jp]とか)はよく見ますが、
        客観的に納得できる「正当な根拠」は残念ながら見かけたことがありません。
        「おれはまともでないと見なす」というは勝手ですが、
        「おまえも従え」というのは少々乱暴な飛躍ではないかと。

        ちなみにメールサーバの例ではないですが、www.google.com を
        正引きして得られる IP アドレスには逆引きがありません。
    • えっと、逆引きができるということと逆引きした結果が HELO で与えられた SMTP クライアントの FQDN と一致するという事はちがいますよね?

      ひょっとして皆さんは後者の様なきつい制限をしてらっしゃるんでしょうか?自宅鯖や学生時代にいた研究室ではきわめてゆるい受信制限をしているわりには特に SPAM にも悩まされていないので、あんまり気にとめてませんでした。ちなみに自宅鯖のポリシーは

      1)誰からでも受け取る
      2)localhost 発ならどこへでも発信する
      3)中継はしない
      --
      屍体メモ [windy.cx]
      親コメント
      • 今回の障害は
        「ゾーンの SOA が 確認できなかった (委譲されていなかった)」
        という問題でしょう。

        「IPv4 アドレスの逆引きに 対応する FQDN がある/ない」 という話に短絡させるべきではないと思います。

        ましてや SMTP HELO のような オプショナルな話にまで発展させるのは オフ・トピックではないでしょうか。

    • by Anonymous Coward
      >あの設定は問題あると思うんで止めて欲しいものだ。

      どこが問題なのか、詳しく教えて!!

      逆引きできないホストでメールを出すのってSPAMじゃなくても、まともな管理してないサーバーだけじゃないの?
      もしかして、個人で立ててるから困るってこと?
      だったら素直にプロバイダーに中継させたら。
      • Re:困るなぁ (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2005年10月25日 19時16分 (#820202)
        逆引きできるからといっての、まともな管理をしているとは限らない。
        まともな管理をしているからといっても、必ず逆引きできるわけでもない。

        逆引きが出来るようにするということは絶対にやらなくちゃいけないという決まりもない。
        ついでにいえば正引きができなくちゃいけないというわけでもない。

        逆引きできないホストからは拒否などという設定の根拠は、単純にspam業者の使用するホストのほとんどが逆引きできないからというだけの理由である。
        しかし、spam業者にも逆引きできるホストを使うやつもいるし、まっとうな会社でも逆引きできないホストを使っているところもある。

        spam業者のホストが逆引きできないものが多いというのは、将来的にわたって同じなのかはわからない。
        spam業者だって逆引きが出来れば受信されると気づけば、逆引き設定するのは確実。

        自分の管理下のメールサーバで、逆引きできないホストからのメールを拒否する設定にするのは勝手だろう。
        しかし、それがまともで当然であるなどという嘘を広めるのはやめよう。
        親コメント
typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...