Uma maneira de o registro DNS dizer "este domínio não tem servidor de e-mail"?

Navegue suas respostas
7

Qual é o modo apropriado de configurar um registro DNS que diz "este domínio não tem servidor de e-mail"?

Suponho que preciso de um registro MX especial para fazer isso, caso contrário, será assumido que o registro A é a resposta.

Faço esta pergunta porque parece que seria melhor parar o e-mail na linha de frente, portanto, não é responsabilidade do servidor rejeitar o e-mail do domínio em questão.

    
por George Bailey 05.10.2012 / 01:27

4 respostas

7

Devido ao fallback de entrar em contato diretamente com um host por meio de seus registros de endereço, um único registro "MX nulo" de "MX 0". é a aparente maneira preferida de indicar que o host não aceita e-mail. Isso é semelhante a um registro "SRV nulo" ("SRV 0 0 0.") Que marca especificamente um serviço como não disponível (por SRV-RR RFC 2782).

Isso foi padronizado pelo RFC 7505 (em dezembro de 2017, é um padrão proposto ).

"MX 0 localhost". (ou rótulo equivalente apontando para: 1 e 127.0.0.1) também é aceitável, mas mais apropriado para um host que deve enviar e-mail para si mesmo (por exemplo, saída da tarefa cron) que não aceita correio externo. Esses hosts podem ter um servidor de email operacional que é protegido por firewall da Internet, mas outros serviços são acessíveis.

Não ter registro MX e bloquear a porta SMTP não impede que as pessoas desperdiçam a largura de banda de entrada tentando entrar em contato com um servidor inexistente. Os métodos de registro MX únicos acima evitam esse tráfego porque os registros de tipo de endereço nunca são tentados quando pelo menos um registro MX está presente. Isso provavelmente não impedirá que alguns spammers tentem contatar um host diretamente por meio de seus registros de endereço. No entanto, como impede que o tráfego legítimo seja tentado, você poderá identificar fontes de spam com 100% de certeza.

O uso de endereços privados não deve ser usado porque não é possível saber onde eles serão finalizados. O uso de outros endereços reservados (por exemplo, endereço de documentação de 192.0.2.0/24) também é inadequado, exceto quando se tenta identificar e interceptar spammers dentro da própria rede quando eles tentam se conectar.

    
por 21.12.2012 / 03:17
2

Eu não sei qual é a maneira "padrão", mas aqui está uma que eu encontrei: defina um MX record para um endereço de loopback .

Suponho que qualquer endereço IP privado (ou de outra forma "inválido" IP - 0.0.0.0 ) faria o truque. Eu pessoalmente acho que é um péssimo de fazer, mas faria o que você quer. Você pode combiná-lo com um nome de host como thisdomaindoesntacceptemail.sostopsendingit como um serviço para o administrador de e-mail, que acabará com o tíquete "e-mail", porque seu domínio não aceitará e-mails. :)

No entanto, por que não apenas remover o registro MX e definir suas regras de firewall no Um registro para bloquear SMTP e TLS (e quaisquer outras portas de email)?

Isso mostraria o ponto, e qualquer administrador que fizer uma pesquisa não verá nenhum registro MX e recusou conexões no fallback Um registro removerá qualquer dúvida sobre a intenção da sua configuração, se alguém olhar mais de perto depois de ver nenhum registro MX .

    
por 05.10.2012 / 02:03
2

Um registro TXT simples fará isso para você, defina os registros SPF para que tenham um valor nulo com falha grave: 

@ IN TXT "v=spf1 -all"
* IN TXT "v=spf1 -all"

É assim que garanto que um domínio não pode ser executado em phishing e que eu uso para serviços internos ou não relacionados a e-mail.

    
por 02.05.2018 / 10:34
1

Acho que especificar nome DNS inexistente como hub de correio de domínio (MX) bastaria.

UPD. : E finalmente há link

UPD. 2 : Isso acabou evoluindo para um padrão IETF proposto agora: RFC 7505: um "MX nulo "Nenhum registro de recurso de serviço para domínios que aceitam nenhum email

    
por 05.10.2012 / 01:44

Tags

Iniciar sessão de tela desanexada Como detectar o ssl na configuração compartilhada do servidor nginx 80/443 ssl?