Un modo per il record DNS di dire "questo dominio non ha un server di posta"?

Qual è il modo appropriato per impostare un record DNS che dice "questo dominio non ha un server di posta"?

Presumo di aver bisogno di un record MX speciale per farlo, altrimenti si supporrà che il record A sia la risposta.

Faccio questa domanda perché sembra che sarebbe meglio fermare la posta in prima linea, quindi non diventa responsabilità del server web rifiutare la posta per il dominio in questione.

A causa del fallback di contattare direttamente un host tramite i suoi record di indirizzo, un singolo record "null MX" di "MX 0". è l'apparente modo preferito per indicare che l'host non accetta la posta elettronica. Questo è simile a un record "null SRV" ("SRV 0 0 0.") Che contrassegna specificamente un servizio come non disponibile (secondo SRV-RR RFC 2782).

Questo è stato standardizzato da RFC 7505 (a dicembre 2017 è uno standard proposto ).

"MX 0 localhost." (o un'etichetta equivalente che punta a :: 1 e 127.0.0.1) è anche accettabile, ma più appropriato per un host che deve inviare posta a se stesso (ad es. output di cron job) che non accetta posta esterna. Tali host possono avere un server di posta operativo che è protetto da firewall da Internet ma altri servizi sono accessibili.

Non avere record MX e bloccare la porta SMTP non impedisce alle persone di sprecare la propria larghezza di banda in entrata nel tentativo di contattare un server inesistente. I singoli metodi di record MX sopra riportati impediscono tale traffico perché i record di tipo indirizzo non vengono mai provati quando è presente almeno un record MX. Questo probabilmente non impedirà ad alcuni spammer di provare a contattare direttamente un host tramite i suoi record di indirizzo. Tuttavia, poiché impedisce al traffico legittimo di provare, sarai in grado di identificare le fonti di spam con certezza al 100%.

L'uso di indirizzi privati ​​non dovrebbe essere usato perché non si può dire dove finiranno. L'uso di altri indirizzi riservati (ad es. L'indirizzo di documentazione di 192.0.2.0/24) è anche inappropriato, tranne nei casi in cui si cerchi di identificare e intercettare gli spammer all'interno della propria rete quando si tenta di connettersi.

Non so quale sia il modo "standard", ma eccone uno che ho incontrato: impostare un MX recordindirizzo di loopback .

Suppongo che qualsiasi indirizzo IP privato (o altrimenti un IP "non valido" 0.0.0.0) farebbe il trucco. Personalmente penso che sia una cosa pessima da fare, ma farebbe quello che vuoi. Potresti abbinarlo a un nome host come thisdomaindoesntacceptemail.sostopsendingitun servizio per l'amministratore della posta che finirà con il ticket per "email inattiva" perché il tuo dominio non accetterà email. :)

Tuttavia, perché non rimuovere semplicemente MX recorde impostare le regole del firewall A recordper bloccare SMTP e TLS (e qualsiasi altra porta di posta)?

Ciò farebbe capire il punto e qualsiasi amministratore che eseguirà una ricerca vedrà no MX recorde rifiutando le connessioni sul fallback A recordrimuoverà ogni dubbio sull'intento della configurazione, se qualcuno dovesse anche guardare più da vicino dopo aver visto di no MX record.

Un semplice record TXT farà questo per te, imposta i record SPF in modo che abbiano un valore nullo con un errore grave:

@ IN TXT "v=spf1 -all"
* IN TXT "v=spf1 -all"

È così che mi assicuro che non è possibile phishing di un dominio che utilizzo per servizi interni o non di posta.

Penso che sarebbe sufficiente specificare un nome DNS inesistente come hub di posta di dominio (MX).

UPD. : E finalmente c'è http://tools.ietf.org/html/draft-delany-nullmx-00

UPD. 2 : Questo alla fine si è evoluto in uno standard proposto IETF ora: RFC 7505: un record di risorse senza servizio "Null MX" per domini che non accettano posta