Se eu não quiser que subdomínios enviem email, eu preciso de registros SPF para eles?

1

Eu tenho um domínio principal com (agora) um registro SPF válido, mas também programaticamente criamos muitos e muitos subdomínios para clientes através da API PHPXML do cpanel. Esses subdomínios não são destinados a enviar qualquer email.

Quando os criamos, eles estão recebendo um registro A do meu ip e um registro TXT de "v = spf1 + a + mx + ip4: [meu IP]? todos". Esses são todos os registros DNS que eles têm

Recentemente, tivemos muitos spoofs de e-mail e percebemos que havia um SPF (duplicado) inválido para nosso domínio principal. Acabamos de corrigir isso, mas não temos certeza se:

1) Os spammers ainda podem falsificar e-mails de subdomínios sem registros MX, com o SPF listado acima?

2) É melhor não ter SPF para subdomínios do que o que listei?

3) Existe uma maneira de evitar que subdomínios enviem / falsifiquem e-mails através do SPF do meu domínio principal?

Aqui está o SPF do domínio principal que o nosso anfitrião sugeriu que mudássemos para: "v = spf1 a mx ptr a: dedrelay. [webhost] .com incluem: dedrelay. [webhost] .com ~ all"

    
por Phil 03.07.2014 / 14:56

2 respostas

4

Os subdomínios não são afetados pelo registro SPF do domínio principal. Se você tem um monte de subdomínios que você sabe que nunca enviará e-mails, o melhor a fazer é definir um registro SPF de -all para cada um deles. Dessa forma, a internet também pode saber que você pretende que eles nunca enviem e-mails.

Editar : se não houver nenhum registro SPF em vigor para um subdomínio, os destinatários que verifiquem o SPF não verão nenhum motivo relacionado ao SPF para bloqueá-lo.

Sim, o SPF não fará nada para impedir que alguém aceite mensagens de um subdomínio sem um registro MX. Eles podem optar por não fazê-lo, mas, desde que resolvam - e às vezes até mesmo se não o fizerem - eles podem escolher. Isso não é um problema do SPF.

Seu registro SPF atual não fará nada para impedir a falsificação em seus subdomínios, porque, como eu disse, os subdomínios não são afetados pelo registro SPF do domínio principal.

Lamento que isso seja muito trabalhoso para você, mas se você quiser usar o SPF para aconselhar os destinatários a rejeitar e-mails desses subdomínios, será necessário definir registros SPF para eles . É assim que o protocolo funciona.

    
por 03.07.2014 / 15:04
0

Embora seja desencorajado no RFC 7208 , você pode usar subdomínios curinga para definir registros SPF. Mas se qualquer um dos subdomínios que você deseja impedir o correio tiver registros de recursos existentes de qualquer tipo (que provavelmente é a única razão pela qual você gostaria de fazer isso), seria necessário definir explicitamente o registro SPF para esse sub-domínio. domínio de qualquer maneira.

O exemplo do RFC:

  EXAMPLE.COM.          MX      10      A.EXAMPLE.COM
  EXAMPLE.COM.          TXT     "v=spf1 a:A.EXAMPLE.COM -all"

  *.EXAMPLE.COM.        MX      10      A.EXAMPLE.COM
  *.EXAMPLE.COM.        TXT     "v=spf1 a:A.EXAMPLE.COM -all"

  A.EXAMPLE.COM.        A       203.0.113.1
  A.EXAMPLE.COM.        MX      10      A.EXAMPLE.COM
  A.EXAMPLE.COM.        TXT     "v=spf1 a:A.EXAMPLE.COM -all"

  *.A.EXAMPLE.COM.      MX      10      A.EXAMPLE.COM
  *.A.EXAMPLE.COM.      TXT     "v=spf1 a:A.EXAMPLE.COM -all"

Então, se posteriormente definido um registro para B.EXAMPLE.COM. você teria que definir explicitamente um registro SPF para ele também.

Isso definitivamente limita a utilidade de um registro curinga para essa finalidade, mas é difícil dizer a partir de sua pergunta.

    
por 24.08.2014 / 22:45

Tags