web-dev-qa-db-ja.com

SPFレコードはすべてのサブドメインに適用されますか?

SPFレコードは、設定されているドメインにのみ適用されますか、それともすべてのサブドメインに適用されますか?

たとえば、ドメインexample.comに設定されたSPFレコードは、@example.comで終わるメールのポリシーを設定します。

それが唯一のSPFレコードである場合、@www.example.comで終わるメールアドレスから送信されるメールにも適用されますか?または、wwwサブドメインの2番目のSPFレコードを構成する必要がありますか(他のすべてのサブドメインの場合も同様)。

2
Bob Ortiz

SPF標準では、SPFレコードがすべてのサブドメインもカバーしていることを示すものは何もありません。サブドメインはさまざまな関係者(特に大学などの大規模な組織)によって管理されることがあるので、サブドメインを暗黙的にカバーすることもあまり意味がありません。そして標準は セクション4.4 で述べています:

4.4。レコード検索
レコードの公開方法(上記のセクション3を参照)に従って、<domain>名に対してDNSクエリを作成する必要があります、タイプTXTのみを照会します。

"<domain> name"は、ここではメールのドメインであり、上位のドメインではありません。

5
Steffen Ullrich

SPFは組織ドメインに「ロールアップ」しません(これはTLD/ public suffix のすぐ下にある、登録することに対するDMARCの用語です)。 SPFが「ドメイン」を指す場合、それは完全修飾ドメイン名(FQDN、「ホスト」)を意味します。

ワイルドカードDNSレコード でこれをロールアップできるため、_ [〜#〜] bind [〜#〜]example.comを制御する場合:

*         IN  TXT     v=spf1 a 192.0.2.0/24 -all
@         IN  TXT     v=spf1 a mx 192.0.2.0/24 ~all

私は@(トップレベル)がメール交換を許可し、他のホストがワイルドカードをトリガーしてメールを送信する(Aレコード。これはIPv6のAAAA)にも影響し、許可されたネットワークCIDRと、通過しなかったアイテムの最終的なFAILが増えます。これはDMARCなしでは信頼できません。DMARCは、必要に応じてワイルドカードを使用して設定することもできます。

2
Adam Katz