Come disabilitare la posta elettronica per un sottodominio senza utilizzare SPF

Naviga le tue risposte
1

Sto lavorando a uno strumento che controlla i record SPF e vorrei un modo per disabilitare la posta elettronica da un sottodominio di test e dai suoi figli, in modo che i miei domini di test non siano facili da raggiungere per gli spammer.

Stavo pianificando la configurazione dei domini in questo modo:

  • example.com - Il mio dominio personale
  • badspf.example.com - Un sottodominio che non dovrebbe mai inviare email
  • *.badspf.example.com - Diversi record SPF spezzati / pericolosi

Stavo pensando di usare DMARC per bloccare qualsiasi email non firmata a badspf.example.com , e quindi non aggiungere chiavi DKIM, ma non so quanto bene funzionerebbe nel mondo reale.

C'è un modo migliore per farlo e ci sono problemi con il modo suggerito sopra?

    
posta jrtapsell 20.01.2018 - 16:44
fonte

1 risposta

1

Ho una soluzione possibile per te. Come RFC 7208, Sezione 4.6.4 afferma:

Some mechanisms and modifiers (collectively, "terms") cause DNS
queries at the time of evaluation, and some do not. The following
terms cause DNS queries: the "include", "a", "mx", "ptr", and
"exists" mechanisms, and the "redirect" modifier. SPF
implementations MUST limit the total number of those terms to 10
during SPF evaluation, to avoid unreasonable load on the DNS. If
this limit is exceeded, the implementation MUST return "permerror".
The other terms -- the "all", "ip4", and "ip6" mechanisms, and the
"exp" modifier -- do not cause DNS queries at the time of SPF
evaluation (the "exp" modifier only causes a lookup at a later time), and their use is not subject to this limit.

When evaluating the "mx" mechanism, the number of "MX" resource
records queried is included in the overall limit of 10 mechanisms/
modifiers that cause DNS lookups as described above. In addition to
that limit, the evaluation of each "MX" record MUST NOT result in...

Potresti assicurarti di inserire abbastanza costi aggiuntivi e altri overhead DNS nel tuo pericoloso record SPF per assicurarti che non superi lo standard di ricerca DNS 10. aggiungi la direttiva MX e inserisci gli include per i servizi (Google, Salesforce) fino a quando il tuo record SPF fallisce SPF Survey per il superamento 10 ricerche DNS. Il tuo record SPF pericoloso sarà quindi valido ma fallirà per un motivo che la maggior parte delle persone non conosce, quindi SPF e DKIM falliranno.

Se ho capito bene la tua domanda, questo dovrebbe dare il risultato che desideri. È questo il tipo di soluzione che stavi cercando o ho frainteso qualcosa?

    
risposta data 22.01.2018 - 05:14
fonte

Leggi altre domande sui tag

Come posso creare un file di criteri principale per Windows usando Python? BitLocker: CBC vs XTS e FIPS 140-2