Как DNS-запись может сказать "у этого домена нет почтового сервера"?
Как правильно настроить запись DNS, в которой говорится, что "в этом домене нет почтового сервера"?
Я предполагаю, что мне нужна специальная запись MX, чтобы сделать это, иначе будет предполагаться, что запись A является ответом.
Я задаю этот вопрос, потому что кажется, что было бы лучше остановить почту на переднем крае, поэтому веб-сервер не несет ответственности за отклонение почты для рассматриваемого домена.
4 ответа
Из-за отказа прямого контакта с хостом через его адресные записи, единственная запись "null MX" - "MX 0". является очевидным предпочтительным способом указать, что хост не принимает электронную почту. Это похоже на "нулевую запись SRV" ("SRV 0 0 0"), которая специально помечает службу как недоступную (согласно SRV-RR RFC 2782).
Это было стандартизировано RFC 7505 (по состоянию на декабрь 2017 года это предлагаемый стандарт).
"MX 0 localhost." (или эквивалентная метка, указывающая на::1 и 127.0.0.1) также приемлема, но больше подходит для хоста, который должен отправлять почту самому себе (например, вывод задания cron), который не принимает внешнюю почту. Такие хосты могут иметь работающий почтовый сервер, который отключен от Интернета, но другие службы доступны.
Отсутствие записи MX и блокировка порта SMTP не мешают людям тратить входящую пропускную способность, пытаясь связаться с несуществующим сервером. Описанные выше методы с одной записью MX действительно предотвращают такой трафик, поскольку записи типа адреса никогда не пробуются, когда присутствует хотя бы одна запись MX. Это, вероятно, не помешает некоторым спамерам пытаться связаться с хостом напрямую через его адресные записи. Тем не менее, поскольку он останавливает попытки законного трафика, вы сможете идентифицировать источники спама со 100% уверенностью.
Использование личных адресов не должно использоваться, потому что нельзя сказать, где они окажутся. Использование других зарезервированных адресов (например, адрес документации 192.0.2.0/24) также неуместно, за исключением случаев, когда пытаются идентифицировать и перехватить спамеров в собственной сети, когда они пытаются подключиться.
Простая запись TXT сделает это за вас, установите для записей SPF нулевое значение с серьезным сбоем:
@ IN TXT "v=spf1 -all"
* IN TXT "v=spf1 -all"
Таким образом я гарантирую, что домен не может быть фишинг, который я использую для внутренних или не почтовых сервисов.
Я не знаю, что такое "стандартный" способ, но вот один, с которым я столкнулся: установить MX record на адрес обратной связи.
Я предполагаю, что любой частный IP-адрес (или иначе "недействительный" IP - 0.0.0.0) сделает свое дело. Лично я считаю, что делать это паршиво, но делать то, что ты хочешь. Вы можете связать это с именем хоста, как thisdomaindoesntacceptemail.sostopsendingit в качестве услуги почтовому администратору, который в конечном итоге получит билет за "отключение электронной почты", поскольку ваш домен не будет принимать электронную почту.:)
Однако почему бы просто не удалить запись MX и установить правила брандмауэра для записи A, чтобы блокировать SMTP и TLS (и любые другие почтовые порты)?
Это поможет понять, и любой администратор, который выполняет поиск, не увидит MX-записи и откажется от подключений в качестве запасного варианта . Запись устранит любые сомнения в отношении намерений вашей конфигурации, если кто-то еще присмотрится более внимательно после просмотра MX-записи.,
Я думаю, что указание несуществующего DNS-имени в качестве почтового хаба домена (MX) будет достаточно.
UPD. И, наконец, есть http://tools.ietf.org/html/draft-delany-nullmx-00
UPD. 2: Это в конечном итоге превратилось в предложенный IETF стандарт: RFC 7505: "Null MX" - запись ресурса службы не для доменов, не принимающих почту