Eine Möglichkeit für den DNS-Eintrag, "Diese Domain hat keinen Mailserver" zu sagen?

8

Wie kann ein DNS-Eintrag mit der Meldung "Diese Domain hat keinen Mailserver" eingerichtet werden?

Ich gehe davon aus, dass ich dazu einen speziellen MX-Datensatz benötige, andernfalls wird davon ausgegangen, dass der A-Datensatz die Antwort ist.

Ich stelle diese Frage, weil es anscheinend besser wäre, die E-Mails an vorderster Front anzuhalten, sodass es nicht in der Verantwortung des Webservers liegt, E-Mails für die betreffende Domain abzulehnen.

Bryan Field
quelle
1
Ich bin versucht zu sagen, dass ich so etwas wie MX 0 localhost. das dem Absender zurückgeben würde.
Zoredache
3
Führen Sie keinen Mailserver aus.
Michael Hampton
3
@Zoredache Bad Mail Admin! RFC-Verletzung.
HopelessN00b
1
Die Missbrauchsadresse ist optional. Es ist nur eine administrative E-Mail-Adresse erforderlich, die sich nicht in derselben Domain befinden muss.
John Gardeniers
1
Der Webserver ist niemals für die Verarbeitung von E-Mails verantwortlich. Ein Webserver würde tatsächlich nur SMTP-Verbindungsversuche empfangen, wenn er sich in der A-Datensatzadresse der Domäne befindet, kein MX-Datensatz vorhanden ist und Port 25 überwacht. Auch unter diesen Umständen, da der Webserver diese Verbindungsversuche nicht über SMTP spricht würde stillschweigend ignoriert werden.
John Gardeniers

Antworten:

8

Aufgrund des Rückfalls, einen Host direkt über seine Adressdatensätze zu kontaktieren, wird ein einzelner "Null-MX" -Datensatz von "MX 0" erstellt. ist die offensichtlich bevorzugte Methode, um anzuzeigen, dass der Host keine E-Mails akzeptiert. Dies ähnelt einem "Null-SRV" -Datensatz ("SRV 0 0 0."), Der einen Dienst speziell als nicht verfügbar markiert (gemäß SRV-RR RFC 2782).

Dies wurde durch RFC 7505 standardisiert (ab Dezember 2017 ist es ein vorgeschlagener Standard ).

"MX 0 localhost." (oder ein gleichwertiges Etikett, das auf :: 1 und 127.0.0.1 zeigt) ist ebenfalls akzeptabel, aber besser geeignet für einen Host, der E-Mails an sich selbst senden muss (z. B. Cron-Job-Ausgabe), der keine externen E-Mails akzeptiert. Solche Hosts verfügen möglicherweise über einen funktionsfähigen Mailserver, der vom Internet abgeschirmt ist, auf den jedoch andere Dienste zugreifen können.

Das Fehlen eines MX-Eintrags und das Blockieren des SMTP-Ports hindert die Benutzer nicht daran, die eingehende Bandbreite zu verschwenden, wenn sie versuchen, einen nicht vorhandenen Server zu kontaktieren. Die oben beschriebenen Methoden für einzelne MX-Datensätze verhindern solchen Datenverkehr, da Adressentyp-Datensätze niemals versucht werden, wenn mindestens ein MX-Datensatz vorhanden ist. Dies wird wahrscheinlich einige Spammer nicht davon abhalten, einen Host direkt über seine Adressdatensätze zu kontaktieren. Da dies jedoch verhindert, dass legitimer Datenverkehr versucht wird, können Sie Spam-Quellen mit 100% iger Sicherheit identifizieren.

Die Verwendung privater Adressen sollte nicht verwendet werden, da man nicht sagen kann, wo sie landen werden. Die Verwendung anderer reservierter Adressen (z. B. Dokumentationsadresse 192.0.2.0/24) ist ebenfalls unangemessen, es sei denn, Sie versuchen, Spammer im eigenen Netzwerk zu identifizieren und abzufangen, wenn Sie versuchen, eine Verbindung herzustellen.

Herr X
quelle
3

Ich weiß nicht, was der "Standard" Weg ist, aber hier ist einer, auf den ich gestoßen bin: Setzen Sie eine MX recordauf eine Loopback-Adresse .

Ich nehme an, dass jede private IP-Adresse (oder anderweitig "ungültige" IP - 0.0.0.0) den Trick machen würde. Ich persönlich denke, es ist eine miese Sache, aber es würde tun, was Sie wollen. Sie können es mit einem Hostnamen wie thisdomaindoesntacceptemail.sostopsendingitals Service für den E-Mail-Administrator koppeln, der am Ende das Ticket für "E-Mail ist nicht verfügbar" erhält, da Ihre Domain keine E-Mails akzeptiert. :) :)

Warum jedoch nicht einfach die entfernen MX recordund Ihre Firewall-Regeln festlegen A record, um SMTP und TLS (und alle anderen Mail-Ports) zu blockieren?

Das würde den Punkt klar machen, und jeder Administrator, der eine Suche durchführt, wird Nein sehen MX record, und abgelehnte Verbindungen im Fallback A recordwerden jeden Zweifel an der Absicht Ihrer Konfiguration beseitigen, sollte jemand noch genauer hinschauen, nachdem er Nein gesehen hat MX record.

HopelessN00b
quelle
4
Wenn Sie böse sind, können Sie die SMTP-Ports TARPITEN . > :)
Zoredache
1
@Zoredache Oder verwenden Sie für noch verwirrenderes Übel den SMTP-Server eines anderen als Ihren MX record.
HopelessN00b
@ Zoredache haha ​​ich werde das tun :))
Golja
2
Um Ihren eigenen Kommentar zu zitieren "Bad Mail Admin! RFC-Verletzung".
John Gardeniers
@ JohnGardeniers Sei fair. Ich sagte, ich dachte, es sei eine schlechte Sache, und schlug auch eine bessere, RFC-konforme Lösung vor. Aber wir sind nicht hier, um die Leute davon abzuhalten, sich die Füße abzublasen, wenn sie sich dazu entschließen, nachdem sie die Möglichkeit haben, eine fundierte Entscheidung zu treffen.
HopelessN00b
3

Ein einfacher TXT-Datensatz erledigt dies für Sie. Stellen Sie die SPF-Datensätze so ein, dass sie einen Nullwert mit einem harten Fehler haben:

@ IN TXT "v=spf1 -all"
* IN TXT "v=spf1 -all"

Auf diese Weise stelle ich sicher, dass eine Domain, die ich für interne oder Nicht-Mail-Dienste verwende, nicht gefälscht werden kann.

Matt Mc
quelle
1

Ich denke, die Angabe eines nicht vorhandenen DNS-Namens als Domain Mail Hub (MX) würde ausreichen.

UPD. : Und schließlich gibt es http://tools.ietf.org/html/draft-delany-nullmx-00

UPD. 2 : Dies entwickelte sich schließlich zu einem von der IETF vorgeschlagenen Standard : RFC 7505: Ein "Null MX" -Nicht-Service-Ressourcendatensatz für Domänen, die keine E-Mails akzeptieren

poige
quelle
Die RFCs ermöglichen das Zurückgreifen auf den A-Datensatz, wenn kein MX-Datensatz vorhanden ist. en.wikipedia.org/wiki/MX_record#History_of_fallback_to_A
Zoredache
1
Ja, fügen wir dem Internet ein weiteres defektes DNS-Setup hinzu.
John Gardeniers
@ Zoredache, heißt es in Abwesenheit von MX.
Poige
@ JohnGardeniers, wen interessiert das? Du? Warum? Entweder hast du eine bessere Idee oder du hast wirklich schreckliche Visionen, warum meine zu schlecht wäre, um jemals daran zu denken. Also, was ist deins? Weder?
Poige
@poige Gute Gedanken mit diesem Entwurf, aber leider ging es nirgendwo hin, also gibt es keine "offizielle" Möglichkeit zu sagen this domain doesn't accept email.
HopelessN00b