SPFレコードはすべてのサブドメインに適用されますか?
SPFレコードは、設定されているドメインにのみ適用されますか、それともすべてのサブドメインに適用されますか?
たとえば、ドメインexample.comに設定されたSPFレコードは、@example.comで終わるメールのポリシーを設定します。
それが唯一のSPFレコードである場合、@www.example.comで終わるメールアドレスから送信されるメールにも適用されますか?または、wwwサブドメインの2番目のSPFレコードを構成する必要がありますか(他のすべてのサブドメインの場合も同様)。
SPF標準では、SPFレコードがすべてのサブドメインもカバーしていることを示すものは何もありません。サブドメインはさまざまな関係者(特に大学などの大規模な組織)によって管理されることがあるので、サブドメインを暗黙的にカバーすることもあまり意味がありません。そして標準は セクション4.4 で述べています:
4.4。レコード検索
レコードの公開方法(上記のセクション3を参照)に従って、<domain>名に対してDNSクエリを作成する必要があります、タイプTXTのみを照会します。
"<domain> name"は、ここではメールのドメインであり、上位のドメインではありません。
SPFは組織ドメインに「ロールアップ」しません(これはTLD/ public suffix のすぐ下にある、登録することに対するDMARCの用語です)。 SPFが「ドメイン」を指す場合、それは完全修飾ドメイン名(FQDN、「ホスト」)を意味します。
ワイルドカードDNSレコード でこれをロールアップできるため、_ [〜#〜] bind [〜#〜] でexample.comを制御する場合:
* IN TXT v=spf1 a 192.0.2.0/24 -all
@ IN TXT v=spf1 a mx 192.0.2.0/24 ~all
私は@(トップレベル)がメール交換を許可し、他のホストがワイルドカードをトリガーしてメールを送信する(Aレコード。これはIPv6のAAAA)にも影響し、許可されたネットワークCIDRと、通過しなかったアイテムの最終的なFAILが増えます。これはDMARCなしでは信頼できません。DMARCは、必要に応じてワイルドカードを使用して設定することもできます。