ti-enxame.com

Os registros SPF para domínio primário se aplicam a subdomínios?

Tenho uma pergunta rápida sobre os registros SPF: eles precisam estar presentes para todos os subdomínios?

Digamos que eu tenho um registro TXT com informações do SPF para domain.com

Digamos também que eu tenho um domínio de email separado para subdomínio.domínio.com

A política/informações do SPF para domain.com também se aplica ao subdomínio? Ou preciso adicionar um registro separado TXT para isso também?

58
Mike B

Você precisa ter registros SPF separados para cada subdomínio do qual deseja enviar email.

O seguinte foi publicado originalmente no openspf.org, que costumava ser um ótimo recurso para esse tipo de coisa.

A questão do demônio: E os subdomínios?

Se eu receber mensagens de pielovers.demon.co.uk e não houver dados de SPF para pielovers, devo voltar um nível e testar o SPF para demon.co.uk? Não. Cada subdomínio da Demon é um cliente diferente e cada cliente pode ter sua própria política. Não faria sentido que a política da Demon se aplicasse a todos os seus clientes por padrão; se o Demon quiser fazer isso, poderá configurar registros SPF para cada subdomínio.

Portanto, o conselho para os editores do SPF é este: você deve adicionar um registro SPF para cada subdomínio ou nome de host que possua um registro A ou MX.

Os sites com registros curinga A ou MX também devem ter um registro SPF curinga, no formato: * IN TXT "v = spf1 -all"

Isso faz sentido - um subdomínio pode muito bem estar em uma localização geográfica diferente e ter uma definição de SPF muito diferente.

A diretiva 'include:' para SPF pode ser usada para fornecer todos os subdomínios com as mesmas entradas. Por exemplo, no registro SPF para o subdomínio mailfrom.example.com, digite 'include: example.com'. Dessa forma, sempre que você atualizar a definição para example.com, seus subdomínios automaticamente capturam os valores atualizados.

64
Tim Brigham

Além das outras respostas, se um subdomínio for criado como um registro CNAME, o registro SPF será aquele do domínio para o qual ele aponta, por exemplo sub.domain.com é um CNAME de otherdomain.com, o SPF que um servidor de e-mail receberá quando procurar [email protected] está no registro DNS de otherdomain.com.

Na prática, é o mesmo se o registro CNAME indicar sub.domínio.com => outrosub.domínio.com, portanto, o seu TXT registro precisaria ser outrosub, não sub. Isso está em contraste para DKIM, que precisa de um registro separado TXT para a chave pública, mesmo que seu subdomínio seja um CNAME.

20
Sam_Butler

Mas observe, como diz na FAQ referenciada na resposta aceita, que você pode ter SPFs curinga para um domínio para registros curinga A ou MX. Eu tenho domínios MX curinga e isso funciona para mim:

*.mydomain.org. 3600 IN  TXT  "v=spf1 ip4:IPADDR -all"

com o IPADDR substituído pelo seu endereço IP/intervalo.

4
EML

Não, mas você pode causar um curto-circuito com os include:maindomain.invalid diretiva.

3
mailq
*.mydomain.org. 3600 IN  TXT  "v=spf1 ip4:IPADDR -all" 

conforme escrito acima, não funcionará se o remetente de spam usar um subdomínio que já esteja no dDNS. Por exemplo, www.domain.com A A registra prevê o curinga nesse caso.

2
user1659733

Esteja ciente de que a instrução include inclui apenas registros A do domínio especificado e também não os subdomínios. Portanto, ele não obtém registros A dos subdomínios e, portanto, só funciona quando todos os subdomínios estão no mesmo servidor ou são enviados do mesmo servidor.

0
Jeff