Применяются ли записи SPF для основного домена к поддоменам?

53

У меня есть быстрый вопрос относительно записей SPF: должны ли они присутствовать для всех поддоменов?

Допустим, у меня есть запись TXT с информацией SPF для domain.com

Давайте также скажем, что у меня есть отдельный почтовый домен для subdomain.domain.com

Будет ли политика / информация SPF для domain.com также применяться к поддомену? Или мне нужно добавить отдельную запись TXT для этого тоже?

Майк Б
источник
2
Обратите внимание, что вы можете иметь подстановочные знаки SPF для поддоменов: ищите подстановочные знаки ниже.
EML

Ответы:

60

Вам необходимо иметь отдельные записи SPF для каждого субдомена, с которого вы хотите отправлять почту. http://www.openspf.org/FAQ/The_demon_question

Вопрос демона: как насчет поддоменов?

Если я получаю почту с pielovers.demon.co.uk, и нет никаких данных SPF для пьедесталов, должен ли я вернуться на один уровень и проверить SPF для demon.co.uk? Нет. Каждый поддомен в Demon - это отдельный клиент, и у каждого клиента может быть своя собственная политика. По умолчанию политика Демона не имеет смысла распространяться на всех своих клиентов; если Demon хочет это сделать, он может настроить записи SPF для каждого субдомена.

Поэтому совет для издателей SPF заключается в следующем: вы должны добавить запись SPF для каждого субдомена или имени хоста, имеющего запись A или MX.

Сайты с записями подстановочных знаков A или MX также должны иметь запись SPF с подстановочными знаками в форме: * IN TXT "v = spf1 -all"

Это имеет смысл - субдомен вполне может находиться в другом географическом местоположении, которое будет иметь совсем другое определение SPF.

Директива include: для SPF может использоваться для предоставления всем поддоменам одинаковых записей. Например, в записи SPF для субдомена mailfrom.example.com введите «include: example.com». Таким образом, всякий раз, когда вы обновляете определение для example.com, ваши субдомены автоматически выбирают обновленные значения.

Тим Бригам
источник
Ссылка на openspf не работает для меня, но, к счастью, интернет-архив покрыл нас: web.archive.org/web/20190129091342/http://www.openspf.org/FAQ/…
Леголас
19

В дополнение к другим ответам, если поддомен создается как запись CNAME, запись SPF - это та запись домена, на которую он указывает , например, sub.domain.comCNAME otherdomain.com, SPF, который получит почтовый сервер при поиске, mail@sub.domain.comнаходится в DNS. запись для otherdomain.com.

На практике это то же самое, если в записи CNAME указано sub.domain.com => othersub.domain.com, поэтому ваша запись TXT должна быть otherub, а не sub. Это в отличие от DKIM, который нуждается в отдельной записи TXT для открытого ключа, даже если ваш поддомен - CNAME.

Sam_Butler
источник
4

Но обратите внимание, как сказано в FAQ, на который ссылается принятый ответ, вы можете иметь подстановочные SPF для домена для подстановочных записей A или MX. У меня есть домены MX с подстановочными знаками, и это работает для меня:

*.mydomain.org. 3600 IN  TXT  "v=spf1 ip4:IPADDR -all"

с IPADDR, замененным вашим IP-адресом / диапазоном.

EML
источник
3

Нет, но вы можете замкнуть их с помощью include:maindomain.invalidдирективы.

mailq
источник
Можете ли вы уточнить это? Мне любопытно ... Как эта директива сработает?
Майк Б,
2
*.mydomain.org. 3600 IN  TXT  "v=spf1 ip4:IPADDR -all" 

как написано выше, не работает, если спамер использует поддомен, который уже находится в dDNS. Например, www.domain.com AA-записи предусматривают подстановочный знак в этом случае.

user1659733
источник
0

Имейте в виду, что оператор include включает только A-записи из указанного домена, но не субдомены. Таким образом, он не получает A-записи с поддоменов и поэтому работает только тогда, когда все поддомены находятся на одном сервере или отправляются с одного сервера.

Джефф
источник
Я не думаю, что этот ответ вообще относится к вопросу (который касается записей SPF TXT)?
Феликс Франк
Я думаю, что предупреждение в этом ответе касалось случая, когда 1) домен верхнего уровня определил запись SPF, включающую 'a' 2) субдомен включал SPF домена верхнего уровня, ожидая получить точно такой же набор IP-адреса, но на самом деле поднял запись субдомена А.
AdamS