Gelten SPF-Datensätze für Primärdomänen für Subdomänen?

52

Ich habe eine kurze Frage zu SPF-Datensätzen: Müssen sie für alle Subdomains vorhanden sein?

Nehmen wir an, ich habe einen TXT-Eintrag mit SPF-Informationen für domain.com

Angenommen, ich habe eine separate E-Mail-Domain für subdomain.domain.com

Gilt die SPF-Richtlinie / Info für domain.com auch für die Subdomain? Oder muss ich auch dafür einen separaten TXT-Eintrag hinzufügen?

Mike B
quelle
2
Beachten Sie, dass Sie Platzhalter-SPFs für Unterdomänen verwenden können: Suchen Sie unten nach Platzhaltern.
EML,

Antworten:

59

Sie benötigen separate SPF-Datensätze für jede Unterdomäne, von der Sie E-Mails senden möchten. http://www.openspf.org/FAQ/The_demon_question

Die Dämonenfrage: Was ist mit Subdomains?

Wenn ich E-Mails von pielovers.demon.co.uk erhalte und keine SPF-Daten für pielovers vorliegen, sollte ich dann eine Ebene zurückgehen und SPF für demon.co.uk testen? Nein. Jede Subdomain bei Demon ist ein anderer Kunde, und jeder Kunde hat möglicherweise seine eigenen Richtlinien. Es wäre nicht sinnvoll, wenn die Richtlinie von Demon standardmäßig auf alle Kunden angewendet würde. Wenn Demon dies möchte, kann es SPF-Einträge für jede Subdomain einrichten.

Der Rat für SPF-Publisher lautet also: Sie sollten einen SPF-Eintrag für jede Unterdomäne oder jeden Hostnamen mit einem A- oder MX-Eintrag hinzufügen.

Websites mit Wildcard-A- oder MX-Einträgen sollten auch einen Wildcard-SPF-Eintrag der folgenden Form haben: * IN TXT "v = spf1 -all"

Dies ist sinnvoll - eine Subdomain befindet sich möglicherweise an einem anderen geografischen Ort, der eine andere SPF-Definition aufweist.

Die 'include:' - Direktive für SPF kann verwendet werden, um alle Subdomains mit denselben Einträgen zu versehen. Geben Sie beispielsweise im SPF-Datensatz für die Unterdomäne mailfrom.example.com "include: example.com" ein. Auf diese Weise übernehmen Ihre Subdomains bei jeder Aktualisierung der Definition für example.com automatisch die aktualisierten Werte.

Tim Brigham
quelle
Link zu openspf funktioniert bei mir nicht atm, aber zum Glück hat uns das Internetarchiv abgedeckt: web.archive.org/web/20190129091342/http://www.openspf.org/FAQ/…
Legolas
18

Zusätzlich zu den anderen Antworten ist, wenn eine Unterdomäne als CNAME-Eintrag erstellt wird, der SPF-Eintrag derjenige für die Domäne, auf die sie verweist , z. B. sub.domain.comein CNAME des otherdomain.comSPF, den ein Mailserver erhält, wenn er [email protected]im DNS nachschlägt Rekord für otherdomain.com.

Dies ist in der Praxis auch der Fall, wenn der CNAME-Eintrag "sub.domain.com => othersub.domain.com" lautet, sodass Ihr TXT-Eintrag "othersub" und nicht "sub" sein muss. Dies steht im Gegensatz zu DKIM, das einen separaten TXT-Datensatz für den öffentlichen Schlüssel benötigt, auch wenn Ihre Subdomain ein CNAME ist.

Sam_Butler
quelle
4

Beachten Sie jedoch, wie in den häufig gestellten Fragen (FAQs) in der akzeptierten Antwort angegeben, dass Sie Platzhalter-SPFs für eine Domain für Platzhalter-A- oder MX-Einträge haben können. Ich habe Wildcard-MX-Domains und das funktioniert bei mir:

*.mydomain.org. 3600 IN  TXT  "v=spf1 ip4:IPADDR -all"

mit IPADDR durch Ihre IP-Adresse / Ihren IP-Bereich ersetzt.

EML
quelle
3

Nein, aber Sie können sie mit der include:maindomain.invalidDirektive kurzschließen .

mailq
quelle
Können Sie das näher erläutern? Ich bin gespannt ... Wie würde diese Richtlinie funktionieren?
Mike B
2
*.mydomain.org. 3600 IN  TXT  "v=spf1 ip4:IPADDR -all" 

Wie oben beschrieben, funktioniert dies nicht, wenn der Spammer eine Subdomain verwendet, die sich bereits in dDNS befindet. Beispiel: www.domain.com AA zeichnet in diesem Fall den Platzhalter vor.

user1659733
quelle
0

Beachten Sie, dass die include-Anweisung nur A-Datensätze aus der angegebenen Domäne und auch keine Unterdomänen enthält. Es werden also keine A-Einträge von Subdomains abgerufen und daher funktioniert es nur, wenn sich alle Subdomains auf demselben Server befinden oder vom selben Server gesendet werden.

Jeff
quelle
Ich denke, diese Antwort bezieht sich überhaupt nicht auf die Frage (die SPF-Datensätze betrifft TXT).
Felix Frank
Ich denke, die Warnung in dieser Antwort betraf den Fall, in dem 1) die Top-Level-Domain einen SPF-Datensatz einschließlich 'a' spezifizierte, 2) die Sub-Domain den Top-Level-Domain-SPF enthielt und erwartete, genau den gleichen Satz aufzunehmen IP-Adressen, sondern nahm tatsächlich die Subdomain A-Datensatz.
AdamS