Finalmente:
TLSA - para certificados
SSHFP - para conexões ssh
No DNS, podemos configurar um IP para mx.example.com em um registro, depois que podemos configurar @ para domínio controlado por mx.example.com no registro MX.
Desde esse momento todos sabem, quando você deseja enviar e-mails para [email protected] , você deve conectar mx.example.com ao endereço IP do registro A.
Próxima situação: alguém instalou um novo servidor no mesmo IP (ou seja, novo VPS / DS no mesmo IP no datacenter) com o servidor de e-mails que aceitam conexões na porta 25.
Nesse caso, quando alguém enviar um e-mail para [email protected] , seu servidor de e-mail conectará 'mx.example.com', mas NÃO é mais o mesmo servidor. A mensagem será enviada para alguém.
É possível adicionar um tipo de resumo nos registros DNS para proteger contra a falsificação quando alguém alterou seu servidor?
DKIM - funciona para e-mails enviados. Mas como o remetente (= servidor) pode verificar qual destinatário está no servidor válido?