Если я не хочу, чтобы субдомены послали электронное письмо, мне нужны записи SPF для них?
У меня есть основной домен с (теперь) допустимой записью SPF, но мы также программно создаем партии и много субдоменов для клиентов через cpanel PHPXML API. Эти субдомены не предназначаются для отправки любой почты.
Когда мы создаем их, они получают запись моего IP и запись TXT "v=spf1 +a +mx +ip4: [МОЙ IP]? все". Это - все записи DNS, которые они имеют
Недавно мы имели большой почтовый спуфинг и поняли, что было недопустимое (копируйте SPF) для нашего основного домена. Мы просто зафиксировали это, но не уверены если:
1) Спаммеры могут все еще имитировать электронную почту от субдоменов без записей MX с вышеупомянутым текущим перечисленным SPF?
2) Лучше не иметь никакого SPF для субдоменов, чем тот, который я перечислил?
3) Существует ли способ препятствовать тому, чтобы субдомены отправляли/имитировали электронную почту через SPF моего основного домена?
Вот основной домен SPF, что наш хост предложил, чтобы мы переключились на: "v=spf1 mx ptr a:dedrelay. [webhost] .com include:dedrelay. [webhost] .com ~all"
Субдомены не подвержены влиянию записи SPF основного домена. Если у вас есть несколько поддоменов, которые, как вы знаете, никогда не будут отправлять почту, лучше всего определить SPF-запись -all для каждого из них. Таким образом, интернет также может знать, что вы хотите, чтобы они никогда не отправляли почту.
Edit: если для поддомена нет SPF-записи, то получатели, которые проверяют SPF, не увидят причин для его блокировки.
-да, SPF ничего не сделает, чтобы помешать кому-то принимать почту с субдомена без записи MX. Они могут решить не делать этого, но до тех пор, пока это разрешится - а иногда даже если это не разрешится - они могут решить это. Это не является проблемой SPF.
Ваша текущая запись SPF ничего не сделает для предотвращения подмены ваших субдоменов, потому что, как я уже говорил, субдомены не подвержены влиянию записи SPF основного домена.
Мне жаль, что это будет большая работа для вас, но если вы хотите использовать SPF для того, чтобы посоветовать получателям отклонять почту с этих субдоменов, вам нужно будет определить записи SPF для них. Вот как работает протокол.
Хотя и не рекомендуется в RFC 7208 , для определения записей SPF можно использовать поддомены wildcard. Но если любой из субдоменов, для которого вы хотите предотвратить почту, имеет существующие ресурсные записи любого типа (что, вероятно, является единственной причиной, по которой вы захотите сделать это), вам всё равно нужно будет явно определить запись SPF для этого субдомена.
Пример из RFC:
EXAMPLE.COM. MX 10 A.EXAMPLE.COM
EXAMPLE.COM. TXT "v=spf1 a:A.EXAMPLE.COM -all"
*.EXAMPLE.COM. MX 10 A.EXAMPLE.COM
*.EXAMPLE.COM. TXT "v=spf1 a:A.EXAMPLE.COM -all"
A.EXAMPLE.COM. A 203.0.113.1
A.EXAMPLE.COM. MX 10 A.EXAMPLE.COM
A.EXAMPLE.COM. TXT "v=spf1 a:A.EXAMPLE.COM -all"
*.A.EXAMPLE.COM. MX 10 A.EXAMPLE.COM
*.A.EXAMPLE.COM. TXT "v=spf1 a:A.EXAMPLE.COM -all"
Так что, если бы позже вы определили запись для B.EXAMPLE.COM., вам пришлось бы также явно определить SPF-запись для нее.
Это определенно ограничивает полезность подстановочной записи для этой цели, но трудно сказать по вашему вопросу.
.Используйте DMARC, так как он автоматически просматривает «Организационный» домен, если в поддомене не существует записи DMARC. https://www.valimail.com/blog/how-dmarc-handles-domains-and-subdomains-in-email-addresses-part-1/