Czy rekordy SPF dla domeny podstawowej mają zastosowanie do poddomen?

Mam szybkie pytanie dotyczące rekordów SPF: czy muszą być obecne we wszystkich poddomenach?

Powiedzmy, że mam rekord TXT z informacjami SPF dla domeny.com

Powiedzmy też, że mam oddzielną domenę e-mail dla subdomain.domain.com

Czy zasady / informacje SPF dla domain.com będą miały zastosowanie również do subdomeny? Czy też muszę do tego dodać osobny rekord TXT?

Musisz mieć osobne rekordy SPF dla każdej subdomeny, z której chcesz wysłać pocztę. http://www.openspf.org/FAQ/The_demon_question

Pytanie Demona: A co z poddomenami?

Jeśli otrzymam pocztę od pielovers.demon.co.uk i nie ma danych SPF dla pielover, czy powinienem wrócić o jeden poziom i przetestować SPF dla demon.co.uk? Nie. Każda subdomena w Demon jest innym klientem i każdy klient może mieć własne zasady. Domyślnie polityka Demona nie miałaby zastosowania do wszystkich swoich klientów; jeśli Demon chce to zrobić, może skonfigurować rekordy SPF dla każdej subdomeny.

Tak więc rada dla wydawców SPF jest następująca: należy dodać rekord SPF dla każdej subdomeny lub nazwy hosta, która ma rekord A lub MX.

Witryny z symbolami wieloznacznymi A lub MX powinny również mieć symbol wieloznaczny SPF w postaci: * IN TXT „v = spf1 -all”

Ma to sens - subdomena może znajdować się w innym miejscu geograficznym, które będzie miało zupełnie inną definicję SPF.

Dyrektywę „include:” dla SPF można zastosować, aby zapewnić wszystkim subdomenom te same wpisy. Na przykład w rekordzie SPF dla subdomeny mailfr.example.com wpisz „include: example.com”. W ten sposób za każdym razem, gdy aktualizujesz definicję na przykład example.com, subdomeny automatycznie będą pobierać zaktualizowane wartości.

Oprócz innych odpowiedzi, jeśli subdomena jest tworzona jako rekord CNAME, rekord SPF jest tym dla domeny, na którą wskazuje , np. sub.domain.comJest CNAME otherdomain.com, SPF, który otrzyma serwer poczty, gdy wyszukuje, mail@sub.domain.comznajduje się w DNS rekord dla otherdomain.com.

Tak samo jest w praktyce, jeśli rekord CNAME mówi sub.domain.com => othersub.domain.com, więc twój rekord TXT musiałby być inny sub, a nie sub. Jest to w przeciwieństwie do DKIM, który potrzebuje osobnego rekordu TXT dla klucza publicznego, nawet jeśli twoja subdomena to CNAME.

Należy jednak pamiętać, jak napisano w często zadawanych pytaniach, do których odnosi się zaakceptowana odpowiedź, że można mieć SPF z symbolami wieloznacznymi dla domeny dla rekordów A lub MX z symbolami wieloznacznymi. Mam wieloznaczne domeny MX i to działa dla mnie:

*.mydomain.org. 3600 IN  TXT  "v=spf1 ip4:IPADDR -all"

z IPADDR zastąpiony twoim adresem / zakresem IP.

Nie, ale można je zwierać za pomocą include:maindomain.invaliddyrektywy.

*.mydomain.org. 3600 IN  TXT  "v=spf1 ip4:IPADDR -all" 

jak napisano powyżej, nie działa, jeśli spamer używa subdomeny, która jest już w dDNS. Na przykład www.domain.com rekordy AA poprzedzają znak wieloznaczny w tym przypadku.

Należy pamiętać, że instrukcja include zawiera tylko rekordy A z określonej domeny, a nie subdomeny. Nie pobiera więc rekordów A z poddomen i dlatego działa tylko wtedy, gdy wszystkie poddomeny znajdują się na tym samym serwerze lub wysyłają z tego samego serwera.