¿Se aplican los registros SPF a todos los subdominios?

Navega tus respuestas
1

¿Se aplica un registro SPF solo en el dominio para el que está configurado o también para todos sus subdominios?

Por ejemplo, un registro SPF que está configurado para el dominio example.com establecerá la política para los correos que terminan con @example.com .

Entonces, si ese es el único registro SPF, ¿se aplica también a los correos enviados desde direcciones de correo que terminan con @www.example.com ? ¿O debería configurarse un segundo registro SPF para el subdominio www (y así para todos los demás subdominios)?

    
pregunta Bob Ortiz 07.02.2018 - 00:17
fuente

2 respuestas

3

No puedo ver nada en el estándar SPF, lo que implicaría que un registro SPF cubre todos los subdominios también. Dado que los subdominios a veces son administrados por diferentes partes (especialmente en organizaciones más grandes como las universidades) tampoco tendría mucho sentido cubrir de manera implícita los subdominios. Y el estándar dice en la sección 4.4 :

  

4.4. Búsqueda de registros
De acuerdo con cómo se publican los registros (consulte la Sección 3      anterior), se debe realizar una consulta de DNS para el < dominio > nombre , consultando      solo para el tipo TXT.

"< dominio > nombre" es el dominio del correo electrónico, no un dominio superior.

    
respondido por el Steffen Ullrich 07.02.2018 - 04:57
fuente
1

SPF no se "enrolla" al dominio organizacional (este es el término de DMARC para lo que se registra, inmediatamente debajo del TLD / sufijo público ). Cuando SPF se refiere a un "dominio", significa el nombre de dominio completamente calificado (FQDN, "host").

Puede hacer este resumen con un registro de DNS comodín , así que si controla example.com con BIND : 

*         IN  TXT     v=spf1 a 192.0.2.0/24 -all
@         IN  TXT     v=spf1 a mx 192.0.2.0/24 ~all

Elegí hacer que @ (el nivel superior) permita el intercambio de correo y sea más indulgente con respecto a la falta de relés (que serán SOFTFAIL) mientras que cualquier otro host activará el comodín y enviará el correo por sí mismo (el A record, que también afecta a AAAA de IPv6, más el CIDR de red permitido, con un FAIL más final para los elementos que no pasan. Esto no es autoritario sin DMARC, que también podría configurarse con un comodín si se desea.

    
respondido por el Adam Katz 16.02.2018 - 18:14
fuente

Lea otras preguntas en las etiquetas

¿Se define crimeware por algo que no sea la intención? ¿Cómo enviar de forma segura una contraseña de una aplicación a otra?