I record SPF per il dominio primario si applicano ai sottodomini?


53

Ho una domanda veloce riguardo ai record SPF: devono essere presenti per tutti i sottodomini?

Diciamo che ho un record TXT con informazioni SPF per domain.com

Diciamo anche che ho un dominio e-mail separato per subdomain.domain.com

La politica / informazioni SPF per domain.com si applicherà anche al sottodominio? O devo aggiungere un record TXT separato anche per quello?


2
Nota che puoi avere SPF con caratteri jolly per sottodomini: cerca i caratteri jolly di seguito.
EML

Risposte:


60

È necessario disporre di record SPF separati per ciascun sottodominio da cui si desidera inviare la posta. http://www.openspf.org/FAQ/The_demon_question

La domanda sui demoni: che dire dei sottodomini?

Se ricevo posta da pielovers.demon.co.uk e non ci sono dati SPF per pielovers, dovrei tornare di un livello e testare SPF per demon.co.uk? No. Ogni sottodominio di Demon è un cliente diverso e ogni cliente potrebbe avere una propria politica. Non avrebbe senso che la politica di Demon si applichi a tutti i suoi clienti di default; se Demon vuole farlo, può impostare record SPF per ogni sottodominio.

Quindi il consiglio ai publisher SPF è questo: dovresti aggiungere un record SPF per ogni sottodominio o nome host che ha un record A o MX.

Anche i siti con record jolly A o MX devono avere un record SPF jolly, nel formato: * IN TXT "v = spf1 -all"

Questo ha senso: un sottodominio potrebbe benissimo trovarsi in una diversa posizione geografica che avrà una definizione SPF molto diversa.

La direttiva "include:" per SPF può essere utilizzata per fornire a tutti i sottodomini le stesse voci. Ad esempio, nel record SPF per il sottodominio mailfrom.example.com, immettere "include: example.com". In questo modo ogni volta che aggiorni la definizione per example.com i tuoi sottodomini acquisiranno automaticamente i valori aggiornati.


il link a openspf non funziona per me atm, ma per fortuna l'archivio internet ci ha coperto: web.archive.org/web/20190129091342/http://www.openspf.org/FAQ/…
Legolas

19

Oltre alle altre risposte, se un sottodominio viene creato come record CNAME, il record SPF è quello per il dominio a cui punta , ad esempio sub.domain.comè un CNAME di otherdomain.com, l'SPF che riceverà un mailserver quando cerca mail@sub.domain.comè nel DNS registrare per otherdomain.com.

Questo è lo stesso in pratica se il record CNAME dice sub.domain.com => othersub.domain.com, quindi il tuo record TXT dovrebbe essere othersub, non sub. Ciò è in contrasto con DKIM, che necessita di un record TXT separato per la chiave pubblica, anche se il tuo sottodominio è un CNAME.


4

Tuttavia, come indicato nelle FAQ a cui fa riferimento la risposta accettata, è possibile disporre di SPF con caratteri jolly per un dominio per i record con caratteri jolly A o MX. Ho domini MX con caratteri jolly e questo funziona per me:

*.mydomain.org. 3600 IN  TXT  "v=spf1 ip4:IPADDR -all"

con IPADDR sostituito con il tuo indirizzo IP / intervallo.


3

No, ma puoi cortocircuitarli con la include:maindomain.invaliddirettiva.


Puoi approfondire questo? Sono curioso ... Come funzionerebbe quella direttiva?
Mike B,

2
*.mydomain.org. 3600 IN  TXT  "v=spf1 ip4:IPADDR -all" 

come scritto sopra non funziona se lo spammer utilizza un sottodominio che è già in dDNS. Ad esempio www.domain.com i record AA in questo caso precedono il carattere jolly.


0

Tieni presente che l'istruzione include include solo i record A del dominio specificato e non i sottodomini. Quindi non raccoglie i record A dai sottodomini e quindi funziona solo quando tutti i sottodomini si trovano sullo stesso server o inviano dallo stesso server.


Non penso che questa risposta riguardi la domanda (che riguarda i record SPF, cioè TXT)?
Felix Frank,

Penso che l'avvertimento in questa risposta riguardasse il caso in cui 1) il dominio di primo livello specificasse un record SPF che includesse 'a' 2) il sottodominio includesse il dominio di primo livello SPF, aspettandosi di raccogliere lo stesso identico set di Indirizzi IP, ma in realtà ha raccolto il record del sottodominio A.
AdamS
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.