Чи застосовуються записи SPF для основного домену до субдоменів?

У мене є швидке запитання щодо записів SPF: чи потрібно їх мати для всіх субдоменів?

Скажімо, у мене є запис TXT з інформацією про SPF для domain.com

Скажімо також, що у мене є окремий домен електронної пошти для subdomain.domain.com

Чи застосовуватиметься політика / інформація щодо SPF для domain.com також до субдомену? Або мені також потрібно додати окремий запис TXT для цього?

Потрібно мати окремі SPF-записи для кожного піддомену, з якого ви хочете надіслати пошту. http://www.openspf.org/FAQ/The_demon_question

Питання Демона: Що з субдоменами?

Якщо я отримую пошту від pielovers.demon.co.uk, і немає даних SPF для п'єловерсів, чи варто повернутися на один рівень і перевірити SPF на demon.co.uk? Ні. Кожен субдомен в Demon - це інший клієнт, і кожен клієнт може мати свою політику. Не було б сенсу політику Демона застосовувати до всіх своїх клієнтів за замовчуванням; якщо Демон хоче це зробити, він може встановити записи SPF для кожного піддомену.

Тож порада видавцям SPF така: слід додати запис SPF для кожного піддомену або імені хоста, який має запис A або MX.

Сайти із записами підстановки A або MX також повинні мати запис SPF-підстановки у формі: * IN TXT "v = spf1 -all"

Це має сенс - субдомен цілком може знаходитися в іншому географічному розташуванні, яке буде мати дуже різне визначення SPF.

Директива "включати:" для SPF може використовуватися для надання всім субдоменам однакових записів. Наприклад, у записі SPF для піддомену mailfrom.example.com введіть "include: example.com". Таким чином, коли ви оновлюєте визначення для example.com, ваші субдомени автоматично підбирають оновлені значення.

На додаток до інших відповідей, якщо субдомен створений у вигляді запису CNAME, запис SPF є таким для домену, на який він вказує , наприклад sub.domain.com, це CNAME otherdomain.com, SPF, який отримає поштовий сервер, коли він знайдеться mail@sub.domain.comв DNS запис для otherdomain.com.

На практиці це те саме, якщо запис CNAME говорить sub.domain.com => othersub.domain.com, тож ваш запис TXT повинен бути othersub, а не sub. Це на відміну від DKIM, якому потрібен окремий запис TXT для відкритого ключа, навіть якщо ваш піддомен є CNAME.

Але зауважте, як говориться у FAQ, на який посилається у прийнятій відповіді, що у вас може бути SPF-файли для домену для записів Wildcard A або MX. У мене є wildcard MX-домени, і це працює для мене:

*.mydomain.org. 3600 IN  TXT  "v=spf1 ip4:IPADDR -all"

з IPADDR замінено на вашу IP-адресу / діапазон.

Ні, але ви можете коротко замикати їх за допомогою include:maindomain.invalidдирективи.

*.mydomain.org. 3600 IN  TXT  "v=spf1 ip4:IPADDR -all" 

як написано вище, не працює, якщо спамер використовує піддомен, який вже є в dDNS. Наприклад, www.domain.com AA записи в цьому випадку випереджає підстановку.

Майте на увазі, що оператор include включає лише A-записи з вказаного домену, а також не піддомени. Таким чином, він не збирає A-записи з субдоменів, і тому він працює лише тоді, коли всі піддомени знаходяться на одному сервері або надсилаються з одного сервера.