State lontani dal DNS


Per un caso del destino (o no?) a un mio cliente e ad un cliente di un collega questa settimana è successa la medesima cosa.

Entrambi questa settimana hanno subito un temporaneo blackout della posta elettronica perché chi gestisce il loro sito web ha fatto modifiche distruttive alla zona del nome a dominio dell’azienda.

Il DNS viene visto come il sistema che traduce nomi in indirizzi IP numerici, qualcuno lo chiama l’elenco telefonico di Internet perché chiamarlo DNS forse non è bello.

Il DNS non è solamente questo, è anche questo, ma c’è dell’altro.

Il DNS (inteso come sistema dei nomi a dominio, non come demone/servizio che gira su un host) è un database gerarchico distribuito. Come in ogni database, esistono dei record, i quali hanno diversi tipi di dati.

Il tipo di record più comunemente noto (quello citato sopra) è il record A (o AAAA in caso di IPv6) che fornisce un indirizzo IP come risposta ad un’interrogazione che contiene un nome (ma non viceversa!). Se avete un host con IP 10.20.30.40 e volete che sia riconosciuto come pippo.acme.it dovete creare un record A nella zona autoritativa (sì è un calco, ma è un tecnicismo) di ACME.IT che associ pippo a 10.20.30.40

Per gran parte delle persone che lavorano con Internet questo è quello che fanno i DNS. Dire che è limitativo è un understatement di dimensioni britanniche.

Ci si dimentica spesso che il DNS è utilizzato per recapitare la posta e per gestire le regole di recapito.

Il record più importante in questo caso è MX, Mail eXchanger.

Semplificando molto, quando il mail server mittente vuole recapitare un messaggio al destinatario una delle prime cose che fa è una query al DNS per farsi dare i record MX del destinatario.

Voi capite che se qualcuno cancella o manomette i record MX la mail o non viene recapitata o, peggio, viene recapitata al mail server sbagliato.

Oltre al record MX il recapito della posta potrebbe essere influenzato dalla presenza e dal contenuto di un record TXT con i dati SPF.

A questo punto sorge spontanea la domanda: ma se uno deve cambiare solamente il record A del www perché va a toccare anche altri record che non conosce?

Eh… APPUNTO!

Bisogna rilevare che molte interfacce web di amministrazione dei DNS sono scritte male; recentemente, poi, per facilitare la vita agli incompetenti molti fornitori di servizi hanno introdotto i template o degli automatismi che, rispondendo ad alcune domande, rimpiazzano la zona attuale con quella precedente. Questa è la famosa bella idea di chi vuole diminuire il numero di ticket tramite l’implementazione di interfacce a prova di stupido (ma non a prova di dannato stupido).

Quindi un suggerimento a chi realizza siti e ad un certo punto li deve mettere online sul nuovo server: documentatevi!

Imparate bene cosa sia il Domain Name System, come funziona e quali informazioni contiene, familiarizzate con il DNS quanto più possibile perché vi torna sicuramente utile.

Chiedete al vostro cliente se sul nome a dominio su cui state operando ci sono servizi mail o altri servizi. Se parlate con un responsabile marketing è facile e legittimo che non riesca a darvi una risposta puntuale, chiedetegli di inoltrare la richiesta a chi di dovere. Agite presto per non avere risposte incomplete, non ha senso fare queste domande il giorno prima del go live.

Se siete stati delegati dal cliente a fare modifiche sulla sua zona, state bene attenti, catturate schermate della situazione pregressa, controllate quattro volte quello che fate e poi controllatelo una volta ancora e mai di fretta. Se sono le prime volte che fate queste modifiche, meglio essere in due ed andare piano.


5 risposte a “State lontani dal DNS”

  1. Tutto giustissimo.
    Calcherei un po’ la mano sull’importanza del record TXT che contiene l’SPF … Da un po’ di tempo se non è scritto più che bene i vari outlook.com, Yahoo, Gmail, etc ti rimandano indietro le mail e ti mettono il server in blacklist, se insisti a provare ad inviare da quell’SMTP !

  2. Nozioni utili. imparate sulla mia pelle. Fate come consiglia l’autore prima che succeda il peggio.

  3. E alla peggio mettete i ttl a valori bassi, così la “stupidaggine” che avete scritto non resta in cache un giorno intero nei vari resolver.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *