Một cách để bản ghi DNS nói rằng tên miền này không có máy chủ thư nào?

Cách thích hợp để thiết lập bản ghi DNS có nội dung "tên miền này không có máy chủ thư" là gì?

Tôi giả sử tôi cần một bản ghi MX đặc biệt để làm điều này, nếu không sẽ giả sử rằng bản ghi A là câu trả lời.

Tôi đặt câu hỏi này bởi vì có vẻ như tốt hơn là dừng thư ở tuyến đầu, vì vậy nó không trở thành trách nhiệm của máy chủ web từ chối thư cho tên miền được đề cập.

Do dự phòng liên hệ trực tiếp với máy chủ thông qua các bản ghi địa chỉ của nó, một bản ghi "null MX" duy nhất là "MX 0". là cách ưa thích rõ ràng để chỉ ra rằng máy chủ không chấp nhận e-mail. Điều này tương tự như bản ghi "null SRV" ("SRV 0 0 0.") Đánh dấu cụ thể một dịch vụ là không khả dụng (theo SRV-RR RFC 2782).

Điều này đã được chuẩn hóa bởi RFC 7505 (tính đến tháng 12 năm 2017, đây là một tiêu chuẩn được đề xuất ).

"MX 0 localhost." (hoặc nhãn tương đương trỏ vào :: 1 và 127.0.0.1) cũng có thể được chấp nhận nhưng phù hợp hơn với máy chủ phải gửi thư đến chính nó (ví dụ: đầu ra công việc cron) không chấp nhận thư bên ngoài. Các máy chủ như vậy có thể có một máy chủ thư hoạt động được tường lửa từ Internet nhưng các dịch vụ khác có thể truy cập được.

Không có bản ghi MX và chặn cổng SMTP sẽ không ngăn mọi người lãng phí băng thông đến của một người đang cố gắng liên hệ với máy chủ không tồn tại. Các phương pháp bản ghi MX đơn ở trên ngăn chặn lưu lượng như vậy vì các bản ghi loại địa chỉ không bao giờ được thử khi có ít nhất một bản ghi MX. Điều này có thể sẽ không ngăn cản một số kẻ gửi thư rác cố gắng liên hệ trực tiếp với máy chủ thông qua hồ sơ địa chỉ của nó. Tuy nhiên, vì nó ngăn chặn lưu lượng truy cập hợp pháp khỏi việc thử, bạn sẽ có thể xác định các nguồn spam một cách chắc chắn 100%.

Không nên sử dụng địa chỉ riêng tư vì người ta không thể biết họ sẽ ở đâu. Sử dụng các địa chỉ dành riêng khác (ví dụ: địa chỉ tài liệu của 192.0.2.0/24) cũng không phù hợp trừ khi cố gắng xác định và bẫy những kẻ gửi thư rác trong mạng riêng của họ khi họ cố gắng kết nối.

Tôi không biết cách "tiêu chuẩn" là gì, nhưng đây là cách tôi đã chạy qua: đặt MX recordđịa chỉ vòng lặp .

Tôi cho rằng bất kỳ địa chỉ IP riêng nào (hoặc nếu không "IP" không hợp lệ - 0.0.0.0) sẽ thực hiện thủ thuật. Cá nhân tôi nghĩ rằng đó là một điều tệ hại để làm, nhưng nó sẽ làm những gì bạn muốn. Bạn có thể ghép nó với một tên máy chủ như thisdomaindoesntacceptemail.sostopsendingitmột dịch vụ cho quản trị viên thư, người sẽ kết thúc với vé "email bị sập" vì tên miền của bạn sẽ không chấp nhận email. :)

Tuy nhiên, tại sao không loại bỏ MX recordvà đặt quy tắc tường lửa của bạn A recordđể chặn SMTP và TLS (và bất kỳ cổng thư nào khác)?

Điều đó sẽ dẫn đến vấn đề, và bất kỳ quản trị viên nào khi tra cứu sẽ không thấy MX recordvà các kết nối bị từ chối trên dự phòng A recordsẽ xóa bỏ mọi nghi ngờ về ý định cấu hình của bạn, nếu có ai nhìn kỹ hơn sau khi không thấy MX record.

Một bản ghi TXT đơn giản sẽ làm điều này cho bạn, đặt các bản ghi SPF có giá trị null với một lỗi khó:

@ IN TXT "v=spf1 -all"
* IN TXT "v=spf1 -all"

Đó là cách tôi đảm bảo tên miền không thể bị lừa đảo mà tôi sử dụng cho các dịch vụ nội bộ hoặc không gửi thư.

Tôi nghĩ rằng việc chỉ định tên DNS không tồn tại là trung tâm thư miền (MX) sẽ đủ.

CẬP NHẬT. : Và cuối cùng là http://tools.ietf.org/html/draft-delany-nullmx-00

CẬP NHẬT. 2 : Điều này cuối cùng đã phát triển thành một tiêu chuẩn được đề xuất của IETF : RFC 7505: Bản ghi tài nguyên không có dịch vụ "Null MX" cho các miền chấp nhận không có thư