Как использовать Cloudflare CNAME для создания единой политики DMARC?
Согласно DMARC FAQ , можно иметь одну политику для нескольких доменов, и все инструменты ссылаются на эту основную политику:
Как я могу разместить записи DMARC во многих доменах сразу?
Некоторые организации могли зарегистрировать много доменных имен для бренда защита или по другим причинам. Управление всеми этими доменами часто бывает испытывающий. Вот один из возможных способов поставить запись DMARC на все их и легко контролировать изменения. Вы можете использовать CNAME для DMARC запись и подстановочный знак для отчета.
_dmarc.example.com. В TXT "v = DMARC1; p = none; rua = mailto: dmarc-rua@example.com " _dmarc.example.net. IN CNAME _dmarc.example.com. * ._ report._dmarc.example.com В TXT "v = DMARC1"Теперь нужно управлять только одной записью DMARC. Запись отчета необходимо, потому что вы запрашиваете сводный отчет для example.net для отправки в другой домен, example.com. Следовательно, этот домен должен указать, что желает получать такие отчеты. С подстановочным знаком это domain указывает, что он готов получать отчеты о любом домене. Правильно установите фильтрацию электронной почты для почтового ящика dmarc-rua@example.com на избегайте получения отчетов, которые вас не интересуют.
Для домена с псевдонимом, управляемого Cloudflare:
;; CNAME Records
_dmarc.lists.example.net. 300 IN CNAME _dmarc.example.org.
_dmarc.example.net. 300 IN CNAME _dmarc.example.org.
Для домена, который фактически отправляет почту и будет основной политикой:
;; TXT Records
_dmarc.example.org. 300 IN TXT "v=DMARC1\; p=quarantine\; pct=1\; rua=mailto:example@ag.dmarcian.com"
*._report._dmarc.example.org. 300 IN TXT "v=DMARC1"
Как видно, я использую dmarcian для обработки отчетов dmarc. Когда я тестировал, он не смог найти ни записи dmarc для домена example.net, ни другие инструменты, такие как Mbox Proofpoint. Я бы поверил, что FAQ не врет (поведение DNS говорит нам, что это должно быть возможно), но в спецификации явно не упоминается эта характеристика , так что же происходит?
В случае, если CNAME указывает на записи в других доменах, рекомендуется убедиться, что Cloudflare настроен только как DNS. Используя Cloudflare в качестве прокси-сервера, DNS возвращает Cloudflare SOA вместо записи TXT, как показано в выходных данных Dig:
;; AUTHORITY SECTION:
example.net. 3600 IN SOA jason.ns.cloudflare.com. dns.cloudflare.com. 2023909238 10000 2400 604800 3600
Если вы отключите прокси, он ответит правильными записями:
;; ANSWER SECTION:
_dmarc.example.net. 300 IN CNAME _dmarc.example.org.
_dmarc.example.org. 300 IN TXT "v=DMARC1; p=quarantine; pct=1; rua=mailto:example@ag.dmarcian.com"