Fundo
Eu tenho um pequeno servidor virtual hospedado pelo meu provedor e lá configurei uma combinação relativamente simples de postfix, dovecot e roundcubemail (apoiado por nginx) que funciona bem. Eu queria adicionar suporte para SPF e DKIM. Para fazer isso, preciso adicionar alguns campos TXT à configuração do domínio (configurei-o com sucesso em outro servidor raiz hospedado em outro lugar, então sei como funciona).
Problema
O problema é que este provedor de hospedagem não possui um controle de domínio decente - tudo o que posso fazer é adicionar e remover subdomínios, não há possibilidade de adicionar registros DNS personalizados. Portanto, a solução é configurar minha própria instância de bind e adicionar esses registros localmente. Tenho alguma experiência com bind em uma LAN, mas nunca configurei um NS adicional para um domínio já descrito por outros servidores de nomes públicos e aí reside a minha dúvida:
Questões
- Devo definir apenas registros adicionais como zona escrava e usar os servidores NS do provedor como encaminhadores ou devo "repetir" todos os registros MX e A já definidos para subdomínios existentes no NS do provedor?
- Como isso funcionará em sincronização com o NS do provedor, há algo que eu deva observar, como atualização, expiração ou até mesmo configuração do iptables?
Responder1
Para poder usar seu próprio servidor BIND, você precisará configurar seu servidor de ligação e, em seguida, alterar o servidor de nomes no domínio para seu servidor de ligação. Desta forma todas as pesquisas para o seu domínio serão obtidas (por um cliente ou servidor DNS) do seu servidor BIND. Neste caso, sua melhor opção é redefinir todas as entradas de DNS na sua configuração de ligação.
Devo definir apenas registros adicionais como zona escrava e usar os servidores NS do provedor como encaminhadores ou devo "repetir" todos os registros MX e A já definidos para subdomínios existentes no NS do provedor?
Aservidor escravodeve solicitar as informações de um servidor mestre. A menos que você espere muito tráfego para o servidor de nomes ou queira redundância extra, não será necessário configurar um servidor escravo. É possível fazer uma cópia da zona atual do servidor atual, mas somente se o servidor permitir essa solicitação e é altamente improvável que seu provedor tenha isso habilitado para qualquer coisa que não seja seus próprios servidores DNS secundários.
Como isso funcionará em sincronização com o NS do provedor, há algo que eu deva observar, como atualização, expiração ou até mesmo configuração do iptables?
A ideia de um escravo é que ele contém as mesmas informações. Ele busca informações do servidor mestre e armazena em cache. Um escravo não deve adicionar registros adicionais, portanto você deve tornar seu servidor de ligação independente.