J'ai une question rapide concernant les enregistrements SPF: doivent-ils être présents pour tous les sous-domaines?
Disons que j'ai un enregistrement TXT avec des informations SPF pour domain.com
Disons également que j'ai un domaine de messagerie séparé pour subdomain.domain.com
La politique/les informations SPF pour domain.com s'appliqueront-elles également au sous-domaine? Ou dois-je ajouter un enregistrement distinct TXT pour cela aussi?
Vous devez avoir des enregistrements SPF distincts pour chaque sous-domaine à partir duquel vous souhaitez envoyer du courrier.
Ce qui suit a été initialement publié sur openspf.org, qui était une excellente ressource pour ce genre de chose.
La question du démon: qu'en est-il des sous-domaines?
Si je reçois du courrier de pielovers.demon.co.uk et qu'il n'y a pas de données SPF pour pielovers, dois-je revenir en arrière d'un niveau et tester SPF pour demon.co.uk? Non. Chaque sous-domaine chez Demon est un client différent, et chaque client peut avoir sa propre politique. Il ne serait pas logique que la politique de Demon s'applique à tous ses clients par défaut; si Demon veut le faire, il peut configurer des enregistrements SPF pour chaque sous-domaine.
Le conseil aux éditeurs SPF est donc le suivant: vous devez ajouter un enregistrement SPF pour chaque sous-domaine ou nom d'hôte possédant un enregistrement A ou MX.
Les sites avec des enregistrements génériques A ou MX doivent également avoir un enregistrement SPF générique, de la forme: * IN TXT "v = spf1 -all"
Cela a du sens - un sous-domaine peut très bien se trouver dans une situation géographique différente et avoir une définition SPF très différente.
La directive "include:" pour SPF peut être utilisée pour fournir à tous les sous-domaines les mêmes entrées. Par exemple, dans l'enregistrement SPF pour le sous-domaine mailfrom.example.com, entrez "include: example.com". De cette façon, chaque fois que vous mettez à jour la définition de example.com, vos sous-domaines récupèrent automatiquement les valeurs mises à jour.
En plus des autres réponses, si un sous-domaine est créé en tant qu'enregistrement CNAME, l'enregistrement SPF est celui du domaine vers lequel il pointe, par ex. sub.domain.com
est un CNAME de otherdomain.com
, le SPF qu'un serveur de messagerie obtiendra lorsqu'il recherchera [email protected]
est dans l'enregistrement DNS pour otherdomain.com
.
C'est la même chose dans la pratique si l'enregistrement CNAME indique sub.domain.com => othersub.domain.com, donc votre enregistrement TXT devra être othersub, pas sub. Ceci est en contraste à DKIM, qui a besoin d'un enregistrement TXT distinct pour la clé publique, même si votre sous-domaine est un CNAME.
Mais notez, comme il est indiqué dans le FAQ référencé dans la réponse acceptée, que vous pouvez avoir des SPF génériques pour un domaine pour les enregistrements A ou MX génériques. J'ai des domaines MX génériques, et cela fonctionne pour moi:
*.mydomain.org. 3600 IN TXT "v=spf1 ip4:IPADDR -all"
avec IPADDR remplacé par votre adresse/plage IP.
Non, mais vous pouvez les court-circuiter avec le include:maindomain.invalid
directive.
*.mydomain.org. 3600 IN TXT "v=spf1 ip4:IPADDR -all"
comme écrit ci-dessus ne fonctionne pas si le spammeur utilise un sous-domaine qui est déjà dans dDNS. Par exemple, www.domain.com A A enregistre le caractère générique dans ce cas.
N'oubliez pas que l'instruction include inclut uniquement les enregistrements A du domaine spécifié et non les sous-domaines. Il ne récupère donc pas les enregistrements A des sous-domaines et ne fonctionne donc que lorsque tous les sous-domaines se trouvent sur le même serveur ou sont envoyés depuis le même serveur.