I record SPF si applicano a tutti i sottodomini?

Naviga le tue risposte
1

Un record SPF si applica solo al dominio per cui è configurato o anche per tutti i suoi sottodomini?

Ad esempio, un record SPF configurato per il dominio example.com imposterà la politica per i messaggi che terminano con @example.com .

Quindi, se questo è il solo record SPF, si applica anche alle mail inviate da indirizzi email che terminano con @www.example.com ? Oppure dovrebbe essere configurato un secondo record SPF per il sottodominio www (e quindi per tutti gli altri sottodomini)?

    
posta Bob Ortiz 07.02.2018 - 00:17
fonte

2 risposte

3

Non riesco a vedere nulla nello standard SPF che implicherebbe che un record SPF copra anche tutti i sottodomini. Dato che i sottodomini sono talvolta gestiti da parti diverse (specialmente in organizzazioni più grandi come le università), non avrebbe molto senso includere implicitamente i sottodomini. E lo standard dice in sezione 4.4 :

4.4. Record Lookup
In accordance with how the records are published (see Section 3 above), a DNS query needs to be made for the <domain> name, querying for type TXT only.

"< dominio > nome" è qui il dominio della posta elettronica, non un dominio superiore.

    
risposta data 07.02.2018 - 04:57
fonte
1

SPF non si "arrotonda" al dominio organizzativo (questo è il termine di DMARC per ciò che si registra, immediatamente sotto il TLD / suffisso pubblico ). Quando SPF fa riferimento a un "dominio", significa il nome di dominio pienamente qualificato (FQDN, "host").

Puoi effettuare il rollover con un record DNS con caratteri jolly , quindi se controlli example.com con BIND : 

*         IN  TXT     v=spf1 a 192.0.2.0/24 -all
@         IN  TXT     v=spf1 a mx 192.0.2.0/24 ~all

Ho scelto di rendere @ (il livello più alto) consentire lo scambio di mail e di essere più indulgente nei confronti dei relé mancanti (saranno SOFTFAIL) mentre qualsiasi altro host attiverà il jolly e invierà la posta ( A record, che influenza anche AAAA di IPv6), più il CIDR di rete consentito, con un FAIL più finale per gli elementi che non passano. Questo non è autorevole senza DMARC, che potrebbe anche essere impostato con un carattere jolly, se desiderato.

    
risposta data 16.02.2018 - 18:14
fonte

Leggi altre domande sui tag

Numero di byte in un handshake TLS Esiste un elenco pubblico online di autorità di certificazione generalmente attendibili?