I record SPF per il dominio primario si applicano ai sottodomini?

Ho una domanda veloce riguardo ai record SPF: devono essere presenti per tutti i sottodomini?

Diciamo che ho un record TXT con informazioni SPF per domain.com

Diciamo anche che ho un dominio e-mail separato per subdomain.domain.com

La politica / informazioni SPF per domain.com si applicherà anche al sottodominio? O devo aggiungere un record TXT separato anche per quello?

È necessario disporre di record SPF separati per ciascun sottodominio da cui si desidera inviare la posta. http://www.openspf.org/FAQ/The_demon_question

La domanda sui demoni: che dire dei sottodomini?

Se ricevo posta da pielovers.demon.co.uk e non ci sono dati SPF per pielovers, dovrei tornare di un livello e testare SPF per demon.co.uk? No. Ogni sottodominio di Demon è un cliente diverso e ogni cliente potrebbe avere una propria politica. Non avrebbe senso che la politica di Demon si applichi a tutti i suoi clienti di default; se Demon vuole farlo, può impostare record SPF per ogni sottodominio.

Quindi il consiglio ai publisher SPF è questo: dovresti aggiungere un record SPF per ogni sottodominio o nome host che ha un record A o MX.

Anche i siti con record jolly A o MX devono avere un record SPF jolly, nel formato: * IN TXT "v = spf1 -all"

Questo ha senso: un sottodominio potrebbe benissimo trovarsi in una diversa posizione geografica che avrà una definizione SPF molto diversa.

La direttiva "include:" per SPF può essere utilizzata per fornire a tutti i sottodomini le stesse voci. Ad esempio, nel record SPF per il sottodominio mailfrom.example.com, immettere "include: example.com". In questo modo ogni volta che aggiorni la definizione per example.com i tuoi sottodomini acquisiranno automaticamente i valori aggiornati.

Oltre alle altre risposte, se un sottodominio viene creato come record CNAME, il record SPF è quello per il dominio a cui punta , ad esempio sub.domain.comè un CNAME di otherdomain.com, l'SPF che riceverà un mailserver quando cerca mail@sub.domain.comè nel DNS registrare per otherdomain.com.

Questo è lo stesso in pratica se il record CNAME dice sub.domain.com => othersub.domain.com, quindi il tuo record TXT dovrebbe essere othersub, non sub. Ciò è in contrasto con DKIM, che necessita di un record TXT separato per la chiave pubblica, anche se il tuo sottodominio è un CNAME.

Tuttavia, come indicato nelle FAQ a cui fa riferimento la risposta accettata, è possibile disporre di SPF con caratteri jolly per un dominio per i record con caratteri jolly A o MX. Ho domini MX con caratteri jolly e questo funziona per me:

*.mydomain.org. 3600 IN  TXT  "v=spf1 ip4:IPADDR -all"

con IPADDR sostituito con il tuo indirizzo IP / intervallo.

No, ma puoi cortocircuitarli con la include:maindomain.invaliddirettiva.

*.mydomain.org. 3600 IN  TXT  "v=spf1 ip4:IPADDR -all" 

come scritto sopra non funziona se lo spammer utilizza un sottodominio che è già in dDNS. Ad esempio www.domain.com i record AA in questo caso precedono il carattere jolly.

Tieni presente che l'istruzione include include solo i record A del dominio specificato e non i sottodomini. Quindi non raccoglie i record A dai sottodomini e quindi funziona solo quando tutti i sottodomini si trovano sullo stesso server o inviano dallo stesso server.