Cara catatan DNS mengatakan "domain ini tidak memiliki server email"?


8

Apa cara yang tepat untuk mengatur catatan DNS yang mengatakan "domain ini tidak memiliki server email"?

Saya berasumsi bahwa saya memerlukan catatan MX khusus untuk melakukan ini, jika tidak maka akan dianggap bahwa catatan A adalah jawabannya.

Saya mengajukan pertanyaan ini karena sepertinya akan lebih baik untuk menghentikan email di garis depan, jadi tidak menjadi tanggung jawab server web untuk menolak email untuk domain yang dimaksud.


1
Saya tergoda untuk mengatakan atur sesuatu seperti MX 0 localhost. Itu akan memantulkannya kembali ke pengirim.
Zoredache

3
Jangan jalankan server email.
Michael Hampton

3
@Zoredache Admin surat buruk! Pelanggaran RFC.
HopelessN00b

1
Alamat penyalahgunaan adalah opsional. Hanya alamat email administratif yang diperlukan dan itu tidak harus berada di domain yang sama.
John Gardeniers

1
Server web tidak pernah bertanggung jawab untuk memproses email. Sebuah server web pada kenyataannya hanya akan menerima upaya koneksi SMTP jika itu ada di alamat record A domain, tidak ada catatan MX dan itu mendengarkan pada port 25. Bahkan dalam keadaan itu, karena server web tidak berbicara SMTP upaya-upaya koneksi akan diabaikan dalam hati.
John Gardeniers

Jawaban:


8

Karena kegagalan menghubungi langsung host melalui catatan alamatnya, satu catatan "null MX" dari "MX 0." adalah cara yang lebih disukai jelas untuk menunjukkan bahwa tuan rumah tidak menerima email. Ini mirip dengan catatan "null SRV" ("SRV 0 0 0.") Yang secara khusus menandai layanan yang tidak tersedia (per SRV-RR RFC 2782).

Ini telah distandarisasi oleh RFC 7505 (per Desember 2017 ini merupakan standar yang diusulkan ).

"MX 0 localhost." (atau label yang ekivalen dengan menunjuk pada :: 1 dan 127.0.0.1) juga dapat diterima tetapi lebih sesuai untuk host yang harus mengirim email ke dirinya sendiri (mis. output pekerjaan cron) yang tidak menerima email eksternal. Host seperti itu mungkin memiliki server surat operasional yang dipadamkan dari Internet tetapi layanan lain dapat diakses.

Tidak memiliki data MX dan memblokir port SMTP tidak menghentikan orang dari membuang bandwidth masuk seseorang mencoba untuk menghubungi server yang tidak ada. Metode catatan MX tunggal di atas memang mencegah lalu lintas seperti itu karena catatan tipe alamat tidak pernah dicoba ketika setidaknya ada satu catatan MX. Ini mungkin tidak akan menghentikan beberapa spammer mencoba menghubungi host secara langsung melalui catatan alamatnya. Namun, karena tidak menghentikan lalu lintas sah untuk mencoba, Anda akan dapat mengidentifikasi sumber spam dengan kepastian 100%.

Menggunakan alamat pribadi tidak boleh digunakan karena orang tidak tahu di mana mereka akan berakhir. Menggunakan alamat yang dipesan lainnya (mis. Alamat dokumentasi 192.0.2.0/24) juga tidak sesuai kecuali jika mencoba mengidentifikasi dan menjebak spammer dalam jaringan sendiri ketika mereka mencoba untuk terhubung.


3

Saya tidak tahu apa cara "standar" itu, tapi inilah yang saya pernah temui: atur MX recordalamat loopback .

Saya kira setiap alamat IP pribadi (atau IP "tidak sah" 0.0.0.0) akan melakukan trik. Saya pribadi berpikir itu semacam hal yang buruk untuk dilakukan, tetapi itu akan melakukan apa yang Anda inginkan. Anda dapat memasangkannya dengan nama host seperti thisdomaindoesntacceptemail.sostopsendingitsebagai layanan ke admin surat yang akan berakhir dengan tiket untuk "email yang turun" karena domain Anda tidak akan menerima email. :)

Namun, mengapa tidak menghapus saja MX record, dan mengatur aturan firewall Anda pada A recorduntuk memblokir SMTP dan TLS (dan port mail lainnya)?

Itu akan menjelaskan maksudnya, dan admin mana pun yang melakukan pencarian akan melihat tidak MX record, dan menolak koneksi pada mundur A recordakan menghilangkan keraguan tentang maksud konfigurasi Anda, haruskah ada orang yang melihat lebih dekat setelah melihat tidak MX record.


4
Jika Anda jahat, Anda bisa MENGUBAH port SMTP. > :)
Zoredache

1
@Zoredache Atau untuk kejahatan yang lebih membingungkan, gunakan server SMTP orang lain sebagai milik Anda MX record.
HopelessN00b

@Zoredache haha ​​saya akan melakukan itu :))
golja

2
Mengutip komentar Anda sendiri "Buruk admin! Pelanggaran RFC".
John Gardeniers

@JohnGardeniers Bersikap adil. Saya memang mengatakan saya pikir itu adalah hal yang buruk untuk dilakukan, dan menyarankan solusi yang lebih baik dan sesuai dengan RFC. Tapi kami di sini bukan untuk menghentikan orang-orang untuk meledakkan kaki mereka, jika itu yang mereka putuskan ingin lakukan, setelah mendapat kesempatan untuk membuat keputusan sepenuhnya berdasarkan informasi.
HopelessN00b

3

Catatan TXT sederhana akan melakukan ini untuk Anda, atur catatan SPF memiliki nilai nol dengan hard gagal:

@ IN TXT "v=spf1 -all"
* IN TXT "v=spf1 -all"

Begitulah cara saya memastikan domain tidak dapat di-phishing yang saya gunakan untuk layanan internal atau non-mail.


1

Saya pikir menentukan nama DNS yang tidak ada sebagai domain mail hub (MX) sudah cukup.

UPD. : Dan akhirnya ada http://tools.ietf.org/html/draft-delany-nullmx-00

UPD. 2 : Ini akhirnya berkembang menjadi standar yang diusulkan IETF sekarang: RFC 7505: A "Null MX" Tidak Ada Catatan Sumber Daya Layanan untuk Domain yang Tidak Menerima Surat


Izin RFC jatuh kembali ke catatan A jika tidak ada catatan MX. en.wikipedia.org/wiki/MX_record#History_of_fallback_to_A
Zoredache

1
Ya, mari kita tambahkan pengaturan DNS lain yang rusak ke Internet.
John Gardeniers

@Zoredache, katanya tanpa MX.
poige

@ JohnGardeniers, siapa yang peduli? Kamu? Mengapa? Entah Anda memiliki ide yang lebih baik, atau Anda memiliki visi yang sangat mengerikan tentang mengapa pandangan saya terlalu buruk untuk dipikirkan. Jadi, apa milikmu? Bukan?
poige

@poige Pikiran bagus dengan draft itu, tapi sayangnya, itu tidak pernah pergi ke mana pun, jadi tidak ada cara "resmi" untuk mengatakan this domain doesn't accept email.
HopelessN00b
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.