Uma maneira de o registro DNS dizer "este domínio não possui servidor de email"?

8

Qual é a maneira apropriada de configurar um registro DNS que diz "este domínio não possui servidor de email"?

Suponho que preciso de um registro MX especial para fazer isso, caso contrário, será assumido que o registro A é a resposta.

Eu faço essa pergunta porque parece que seria melhor interromper o correio na linha de frente, para que não seja responsabilidade do servidor da web rejeitar o correio para o domínio em questão.

Bryan Field
fonte
1
Fico tentado a dizer que algo como MX 0 localhost. isso retornaria ao remetente.
Zoredache
3
Não execute um servidor de email.
Michael Hampton
3
@Zoredache Bad mail admin! Violação de RFC.
HopelessN00b
1
O endereço abuse @ é opcional. Somente um endereço de email administrativo é necessário e não precisa estar no mesmo domínio.
319 John Gardeniers
1
O servidor web nunca é responsável pelo processamento de email. De fato, um servidor da Web receberia apenas tentativas de conexão SMTP se estivesse no endereço de registro A do domínio, não há registro MX e escuta na porta 25. Mesmo nessas circunstâncias, porque o servidor da Web não fala SMTP essas tentativas de conexão seria silenciosamente ignorado.
John Gardeniers 5/10/12

Respostas:

8

Devido ao fallback do contato direto de um host por meio de seus registros de endereço, um único registro "nulo MX" de "MX 0". é a maneira preferida aparente de indicar que o host não aceita email. Isso é semelhante a um registro "SRV nulo" ("SRV 0 0 0.") Que marca especificamente um serviço como não disponível (de acordo com a SRV-RR RFC 2782).

Isso foi padronizado pela RFC 7505 (em dezembro de 2017, é um padrão proposto ).

"MX 0 localhost." (ou etiqueta equivalente apontando para :: 1 e 127.0.0.1) também é aceitável, mas mais apropriado para um host que deve enviar email para si mesmo (por exemplo, saída da tarefa cron) que não aceita email externo. Esses hosts podem ter um servidor de correio operacional que é protegido por firewall da Internet, mas outros serviços são acessíveis.

Não ter registro MX e bloquear a porta SMTP não impede que as pessoas desperdiçam a largura de banda de entrada tentando entrar em contato com um servidor inexistente. Os métodos de registro MX único acima impedem esse tráfego porque os registros do tipo endereço nunca são tentados quando pelo menos um registro MX está presente. Provavelmente, isso não impedirá que alguns remetentes de spam tentem entrar em contato diretamente com um host por meio de seus registros de endereço. No entanto, como impede o tráfego legítimo de tentar, você poderá identificar fontes de spam com 100% de certeza.

O uso de endereços privados não deve ser usado, porque não se pode dizer onde eles acabarão. O uso de outros endereços reservados (por exemplo, o endereço de documentação 192.0.2.0/24) também é inadequado, exceto quando se tenta identificar e interceptar spammers na própria rede quando eles tentam se conectar.

Mr. X
fonte
3

Eu não sei qual é a maneira "padrão", mas eis uma que encontrei: defina um MX recordcomo um endereço de loopback .

Suponho que qualquer endereço IP privado (ou IP "inválido" 0.0.0.0) faria o truque. Pessoalmente, acho que é uma coisa ruim de se fazer, mas faria o que você quiser. Você pode associá-lo a um nome de host como thisdomaindoesntacceptemail.sostopsendingitum serviço para o administrador de email, que receberá o ticket por "e-mail desativado" porque seu domínio não aceita e-mail. :)

No entanto, por que não apenas remover MX recorde configurar suas regras de firewall A recordpara bloquear SMTP e TLS (e quaisquer outras portas de correio)?

Isso esclareceria tudo, e qualquer administrador que fizer uma pesquisa não verá MX record, e as conexões recusadas no fallback A recordremoverão qualquer dúvida sobre a intenção de sua configuração, caso alguém olhe mais de perto depois de ver não MX record.

HopelessN00b
fonte
4
Se você é mau, pode direcionar as portas SMTP. > :)
Zoredache
1
@ Zoredache Ou, para um mal ainda mais confuso, use o servidor SMTP de outra pessoa como seu MX record.
HopelessN00b
@Zoredache haha ​​eu vou fazer isso :))
golja
2
Para citar seu próprio comentário "Bad mail admin! RFC violação".
John Gardeniers 5/10/12
@JohnGardeniers Seja justo. Eu disse que achava uma coisa ruim de fazer e sugeri uma solução melhor, compatível com RFC. Mas não estamos aqui para impedir que as pessoas descanse, se é isso que elas decidem fazer, depois de terem a chance de tomar uma decisão totalmente informada.
precisa
3

Um registro TXT simples fará isso por você, configure os registros SPF para terem um valor nulo com uma falha grave:

@ IN TXT "v=spf1 -all"
* IN TXT "v=spf1 -all"

É assim que garanto que um domínio não pode ser phishing que eu uso em serviços internos ou que não são de email.

Matt Mc
fonte
1

Eu acho que especificar o nome DNS inexistente como hub de correio de domínio (MX) seria suficiente.

UPD. : E finalmente há http://tools.ietf.org/html/draft-delany-nullmx-00

UPD. 2 : Isso acabou evoluindo para um padrão proposto pela IETF agora: RFC 7505: um "Null MX" sem registro de recurso de serviço para domínios que não aceitam email

poige
fonte
Os RFCs permitem retornar ao registro A se não houver registro MX. pt.wikipedia.org/wiki/MX_record#History_of_fallback_to_A
Zoredache 4/12
1
Sim, vamos adicionar outra configuração de DNS quebrada à Internet.
9788 John Gardeniers #
@ Zoredache, diz na ausência de MX.
poige
@JohnGardeniers, quem se importa? Vocês? Por quê? Ou você tem uma ideia melhor ou tem visões realmente horripilantes de por que a minha seria muito ruim para se pensar. Então qual é a sua? Nem?
Poech #
@poige Bom pensamento com esse rascunho, mas, infelizmente, ele nunca foi a lugar algum, então não há uma maneira "oficial" de dizer this domain doesn't accept email.
HopelessN00b