Чи застосовуються записи SPF для основного домену до субдоменів?


52

У мене є швидке запитання щодо записів SPF: чи потрібно їх мати для всіх субдоменів?

Скажімо, у мене є запис TXT з інформацією про SPF для domain.com

Скажімо також, що у мене є окремий домен електронної пошти для subdomain.domain.com

Чи застосовуватиметься політика / інформація щодо SPF для domain.com також до субдомену? Або мені також потрібно додати окремий запис TXT для цього?


2
Зауважте, що у вас можуть бути символи SPF для субдоменів.
EML

Відповіді:


59

Потрібно мати окремі SPF-записи для кожного піддомену, з якого ви хочете надіслати пошту. http://www.openspf.org/FAQ/The_demon_question

Питання Демона: Що з субдоменами?

Якщо я отримую пошту від pielovers.demon.co.uk, і немає даних SPF для п'єловерсів, чи варто повернутися на один рівень і перевірити SPF на demon.co.uk? Ні. Кожен субдомен в Demon - це інший клієнт, і кожен клієнт може мати свою політику. Не було б сенсу політику Демона застосовувати до всіх своїх клієнтів за замовчуванням; якщо Демон хоче це зробити, він може встановити записи SPF для кожного піддомену.

Тож порада видавцям SPF така: слід додати запис SPF для кожного піддомену або імені хоста, який має запис A або MX.

Сайти із записами підстановки A або MX також повинні мати запис SPF-підстановки у формі: * IN TXT "v = spf1 -all"

Це має сенс - субдомен цілком може знаходитися в іншому географічному розташуванні, яке буде мати дуже різне визначення SPF.

Директива "включати:" для SPF може використовуватися для надання всім субдоменам однакових записів. Наприклад, у записі SPF для піддомену mailfrom.example.com введіть "include: example.com". Таким чином, коли ви оновлюєте визначення для example.com, ваші субдомени автоматично підбирають оновлені значення.


посилання на openspf не працює для мене atm, але, на щастя, інтернет-архів охопив нас: web.archive.org/web/20190129091342/http://www.openspf.org/FAQ/…
Legolas

18

На додаток до інших відповідей, якщо субдомен створений у вигляді запису CNAME, запис SPF є таким для домену, на який він вказує , наприклад sub.domain.com, це CNAME otherdomain.com, SPF, який отримає поштовий сервер, коли він знайдеться mail@sub.domain.comв DNS запис для otherdomain.com.

На практиці це те саме, якщо запис CNAME говорить sub.domain.com => othersub.domain.com, тож ваш запис TXT повинен бути othersub, а не sub. Це на відміну від DKIM, якому потрібен окремий запис TXT для відкритого ключа, навіть якщо ваш піддомен є CNAME.


4

Але зауважте, як говориться у FAQ, на який посилається у прийнятій відповіді, що у вас може бути SPF-файли для домену для записів Wildcard A або MX. У мене є wildcard MX-домени, і це працює для мене:

*.mydomain.org. 3600 IN  TXT  "v=spf1 ip4:IPADDR -all"

з IPADDR замінено на вашу IP-адресу / діапазон.


3

Ні, але ви можете коротко замикати їх за допомогою include:maindomain.invalidдирективи.


Чи можете ви детальніше розглянути це? Мені цікаво ... Як би діяла ця директива?
Майк Б

2
*.mydomain.org. 3600 IN  TXT  "v=spf1 ip4:IPADDR -all" 

як написано вище, не працює, якщо спамер використовує піддомен, який вже є в dDNS. Наприклад, www.domain.com AA записи в цьому випадку випереджає підстановку.


0

Майте на увазі, що оператор include включає лише A-записи з вказаного домену, а також не піддомени. Таким чином, він не збирає A-записи з субдоменів, і тому він працює лише тоді, коли всі піддомени знаходяться на одному сервері або надсилаються з одного сервера.


Я не думаю, що ця відповідь взагалі стосується питання (що стосується записів SPF, тобто TXT)?
Фелікс Френк

Я думаю, що попередження у цій відповіді стосувалося випадку, коли 1) домен верхнього рівня вказав запис SPF, включаючи 'a' 2), піддомен включав домен верхнього рівня SPF, очікуючи, що він підбере такий самий набір IP-адреси, але насправді підняли запис піддомену A.
AdamS
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.