Một cách để bản ghi DNS nói rằng tên miền này không có máy chủ thư nào?


8

Cách thích hợp để thiết lập bản ghi DNS có nội dung "tên miền này không có máy chủ thư" là gì?

Tôi giả sử tôi cần một bản ghi MX đặc biệt để làm điều này, nếu không sẽ giả sử rằng bản ghi A là câu trả lời.

Tôi đặt câu hỏi này bởi vì có vẻ như tốt hơn là dừng thư ở tuyến đầu, vì vậy nó không trở thành trách nhiệm của máy chủ web từ chối thư cho tên miền được đề cập.


1
Tôi muốn nói rằng hãy đặt một cái gì đó như thế MX 0 localhost. sẽ trả lại cho người gửi.
Zoredache

3
Đừng chạy một máy chủ mail.
Michael Hampton

3
@Zoredache Quản trị thư xấu! Vi phạm RFC.
HoplessN00b

1
Địa chỉ @ lạm dụng là tùy chọn. Chỉ cần một địa chỉ email quản trị và không nhất thiết phải nằm trên cùng một tên miền.
John Gardeniers

1
Máy chủ web không bao giờ chịu trách nhiệm xử lý email. Trên thực tế, một máy chủ web sẽ chỉ nhận các lần thử kết nối SMTP nếu ở địa chỉ bản ghi A của tên miền, không có bản ghi MX nó lắng nghe trên cổng 25. Ngay cả trong những trường hợp đó, vì máy chủ web không nói được các nỗ lực kết nối đó của SMTP sẽ âm thầm bỏ qua.
John Gardeniers

Câu trả lời:


8

Do dự phòng liên hệ trực tiếp với máy chủ thông qua các bản ghi địa chỉ của nó, một bản ghi "null MX" duy nhất là "MX 0". là cách ưa thích rõ ràng để chỉ ra rằng máy chủ không chấp nhận e-mail. Điều này tương tự như bản ghi "null SRV" ("SRV 0 0 0.") Đánh dấu cụ thể một dịch vụ là không khả dụng (theo SRV-RR RFC 2782).

Điều này đã được chuẩn hóa bởi RFC 7505 (tính đến tháng 12 năm 2017, đây là một tiêu chuẩn được đề xuất ).

"MX 0 localhost." (hoặc nhãn tương đương trỏ vào :: 1 và 127.0.0.1) cũng có thể được chấp nhận nhưng phù hợp hơn với máy chủ phải gửi thư đến chính nó (ví dụ: đầu ra công việc cron) không chấp nhận thư bên ngoài. Các máy chủ như vậy có thể có một máy chủ thư hoạt động được tường lửa từ Internet nhưng các dịch vụ khác có thể truy cập được.

Không có bản ghi MX và chặn cổng SMTP sẽ không ngăn mọi người lãng phí băng thông đến của một người đang cố gắng liên hệ với máy chủ không tồn tại. Các phương pháp bản ghi MX đơn ở trên ngăn chặn lưu lượng như vậy vì các bản ghi loại địa chỉ không bao giờ được thử khi có ít nhất một bản ghi MX. Điều này có thể sẽ không ngăn cản một số kẻ gửi thư rác cố gắng liên hệ trực tiếp với máy chủ thông qua hồ sơ địa chỉ của nó. Tuy nhiên, vì nó ngăn chặn lưu lượng truy cập hợp pháp khỏi việc thử, bạn sẽ có thể xác định các nguồn spam một cách chắc chắn 100%.

Không nên sử dụng địa chỉ riêng tư vì người ta không thể biết họ sẽ ở đâu. Sử dụng các địa chỉ dành riêng khác (ví dụ: địa chỉ tài liệu của 192.0.2.0/24) cũng không phù hợp trừ khi cố gắng xác định và bẫy những kẻ gửi thư rác trong mạng riêng của họ khi họ cố gắng kết nối.


3

Tôi không biết cách "tiêu chuẩn" là gì, nhưng đây là cách tôi đã chạy qua: đặt MX recordđịa chỉ vòng lặp .

Tôi cho rằng bất kỳ địa chỉ IP riêng nào (hoặc nếu không "IP" không hợp lệ - 0.0.0.0) sẽ thực hiện thủ thuật. Cá nhân tôi nghĩ rằng đó là một điều tệ hại để làm, nhưng nó sẽ làm những gì bạn muốn. Bạn có thể ghép nó với một tên máy chủ như thisdomaindoesntacceptemail.sostopsendingitmột dịch vụ cho quản trị viên thư, người sẽ kết thúc với vé "email bị sập" vì tên miền của bạn sẽ không chấp nhận email. :)

Tuy nhiên, tại sao không loại bỏ MX recordvà đặt quy tắc tường lửa của bạn A recordđể chặn SMTP và TLS (và bất kỳ cổng thư nào khác)?

Điều đó sẽ dẫn đến vấn đề, và bất kỳ quản trị viên nào khi tra cứu sẽ không thấy MX recordvà các kết nối bị từ chối trên dự phòng A recordsẽ xóa bỏ mọi nghi ngờ về ý định cấu hình của bạn, nếu có ai nhìn kỹ hơn sau khi không thấy MX record.


4
Nếu bạn xấu, bạn có thể TẬP TỨC các cổng SMTP. > :)
Zoredache

1
@Zoredache Hoặc để hiểu thêm về cái ác khó hiểu hơn, hãy sử dụng máy chủ SMTP của người khác làm máy chủ của bạn MX record.
HoplessN00b

@Zoredache haha ​​tôi sẽ làm điều đó :))
golja

2
Để trích dẫn nhận xét của riêng bạn "Quản trị thư xấu! Vi phạm RFC".
John Gardeniers

@JohnGardeniers Hãy công bằng. Tôi đã nói rằng tôi nghĩ rằng đó là một điều tệ hại phải làm, và đề xuất một giải pháp tốt hơn, tuân thủ RFC là tốt. Nhưng chúng tôi không ở đây để ngăn mọi người thổi bay chân mình, nếu đó là điều họ quyết định muốn làm, sau khi có cơ hội đưa ra quyết định đầy đủ thông tin.
HoplessN00b

3

Một bản ghi TXT đơn giản sẽ làm điều này cho bạn, đặt các bản ghi SPF có giá trị null với một lỗi khó:

@ IN TXT "v=spf1 -all"
* IN TXT "v=spf1 -all"

Đó là cách tôi đảm bảo tên miền không thể bị lừa đảo mà tôi sử dụng cho các dịch vụ nội bộ hoặc không gửi thư.


1

Tôi nghĩ rằng việc chỉ định tên DNS không tồn tại là trung tâm thư miền (MX) sẽ đủ.

CẬP NHẬT. : Và cuối cùng là http://tools.ietf.org/html/draft-delany-nullmx-00

CẬP NHẬT. 2 : Điều này cuối cùng đã phát triển thành một tiêu chuẩn được đề xuất của IETF : RFC 7505: Bản ghi tài nguyên không có dịch vụ "Null MX" cho các miền chấp nhận không có thư


Các RFC cho phép rơi trở lại bản ghi A nếu không có bản ghi MX nào tồn tại. vi.wikipedia.org/wiki/MX_record#History_of_fallback_to_A
Zoredache

1
Có, hãy thêm một thiết lập DNS bị hỏng khác vào Internet.
John Gardeniers

@Zoredache, nó nói không có MX.
poige

@JohnGardeniers, ai quan tâm? Bạn? Tại sao? Hoặc là bạn có ý tưởng tốt hơn, hoặc bạn có tầm nhìn thực sự khủng khiếp về lý do tại sao của tôi sẽ quá tệ để không bao giờ nghĩ đến. Vậy, bạn là gì? Cũng không?
poige

@poige Suy nghĩ tốt với dự thảo đó, nhưng thật không may, nó không bao giờ đi đâu cả, vì vậy không có cách nào để nói "chính thức" this domain doesn't accept email.
HoplessN00b
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.