Início / server / Perguntas / 1043996
Accepted
clarkk
Asked: 2020-11-27 03:48:42 +0800 CST

Registro MX DNS e servidor SMTP

  • 772

Eu tenho um servidor SMTP. O DKIM está configurado e funcionando e também configurou o SPF.

O host SMTP ésmtp.domain.com

No DNS eu tenho um registro A smtpapontando para o IPv4 e um registro AAAA smtpapontando para o IPv6.

Em relação aos registros MX, tenho um registro MX para o servidor IMAP com destino mail. Eu também tinha um registro MX com alvosmtp

Tudo estava funcionando perfeitamente com SPF e DKIM

Então um dia eu pensei que o registro MX com destino smtpnão era necessário - então eu o deletei. Mas então minha autenticação SPF parou de funcionar

O MX é realmente necessário para SMTP ou estou fazendo algo errado?

smtp             IN A 192.0.2.2
smtp             IN AAAA 2001:DB8::2
@                IN TXT "v=spf1 a mx -all"
@                IN MX 10 mail
@                IN MX 11 smtp <--- If this record is deleted SPF auth fails
domain-name-system smtp spf

2 respostas

  1. Best Answer

    Seu registro SPF especifica dois mecanismos e o IP de origem para e-mail deve corresponder a pelo menos um deles:

    • Ou o Aregistro do domínio (neste caso o apex, já que você não especifica nada depois ade ), e/ou
    • Um dos MXregistros deve resolver para o IP de origem.

    Assumindo maile smtpresolvendo para endereços IP diferentes, remover o MXregistro para smtpsignifica que ele não satisfaz mais o mxmecanismo.

    • 2

  2. Não há herança com SPF, o que significa duas coisas diferentes para sua configuração.

    Primeiro, o registro SPF permite ou nega endereços IP e sub-redes CIDR, portanto, tudo que não seja ip4e ip6mecanismos (e all) são, na verdade, referências a outros registros DNS.

    • O amecanismo ( RFC 7208, 5.3 ) sem o :<domain>e/ou /<prefix-length>refere-se aos endereços IP do 's (ambos Ae AAAAregistros) do destino.

    • O mxmecanismo ( RFC 7208, 5.4 ) sem o :<domain>e/ou /<prefix-length>refere-se aos endereços IP dos MXregistros, por exemplo MX 11 smtp.example.com.=> A 192.0.2.2& AAAA 2001:DB8::2.

    Para ambos, example.comé example.com, não *.example.com. Esse tipo de herança também seria impossível, pois exigiria uma quantidade infinita de consultas DNS adicionais. O uso de qualquer outro mecanismo que não seja ip4/ ip6deve ser evitado quando possível para minimizar a carga no DNS e, por esse motivo, também há um limite de pesquisa de DNS rígido de 10 consultas após as quais as implementações de SPF DEVEM retornar permerror(RFC 7208, 4.6.4).

    TL;DR: Substitua todos os mecanismos ae mxdiretamente pelo correspondente ip4eip6 , por exemplo

    example.com. IN TXT "v=spf1 +ip4:192.0.2.2 +ip6:2001:DB8::2 -all"

    Além disso, não há herança de example.compara sub.example.com. Isso significa que um registro SPF para example.comnão protege subdomínios com Aregistros. Portanto, para cada Aregistro, você precisa de um registro SPF adicional, caso contrário, alguém pode usar [email protected]como remetente do envelope.

    • Se você quiser usar o próprio nome do host como remetente de envelope:

      smtp.example.com. IN TXT "v=spf1 +ip4:192.0.2.2 +ip6:2001:DB8::2 -all"

    • Ou se não precisar:

      smtp.example.com. IN TXT "v=spf1 -all"

    Vamos expandir sua configuração para um exemplo melhor e remover o MXregistro desnecessário, supondo que smtp.example.comseja dedicado para emails de saída. Aqui, o Aapex do domínio também aponta para o servidor web:

    mail    IN A      192.0.2.1
mail    IN AAAA   2001:DB8::1
smtp    IN A      192.0.2.2
smtp    IN AAAA   2001:DB8::2
www     IN A      192.0.2.3
www     IN AAAA   2001:DB8::3

@       IN A      192.0.2.3
@       IN AAAA   2001:DB8::3
@       IN MX 10  mail.example.com.

    Vamos adicionar registros SPF, onde cada host pode enviar e-mail como example.come por si mesmo:

    @       IN TXT    "v=spf1 +ip4:192.0.2.0/30 +ip6:2001:DB8::0/126 -all"
mail    IN TXT    "v=spf1 +ip4:192.0.2.1 +ip6:2001:DB8::1 -all"
smtp    IN TXT    "v=spf1 +ip4:192.0.2.2 +ip6:2001:DB8::2 -all"
www     IN TXT    "v=spf1 +ip4:192.0.2.3 +ip6:2001:DB8::3 -all"
    • 0

relate perguntas