¿Una forma para que el registro DNS diga "este dominio no tiene servidor de correo"?


8

¿Cuál es la forma adecuada de configurar un registro DNS que dice "este dominio no tiene servidor de correo"?

Supongo que necesito un registro MX especial para hacer esto, de lo contrario se supondrá que el registro A es la respuesta.

Hago esta pregunta porque parece que sería mejor detener el correo en la línea del frente, por lo que no es responsabilidad del servidor web rechazar el correo del dominio en cuestión.


1
Estoy tentado a decir que establecer algo como MX 0 localhost. eso lo devolvería al remitente.
Zoredache

3
No ejecutes un servidor de correo.
Michael Hampton

3
@Zoredache Bad mail admin! Infracción de RFC.
HopelessN00b

1
La dirección de abuso @ es opcional. Solo se requiere una dirección de correo electrónico administrativa y no tiene que estar en el mismo dominio.
John Gardeniers

1
El servidor web nunca es responsable del procesamiento del correo electrónico. De hecho, un servidor web solo recibiría intentos de conexión SMTP si estuviera en la dirección de registro A del dominio, no hay registro MX y escucha en el puerto 25. Incluso en esas circunstancias, porque el servidor web no habla SMTP esos intentos de conexión sería ignorado en silencio.
John Gardeniers

Respuestas:


8

Debido a la desventaja de contactar directamente a un host a través de sus registros de dirección, un solo registro "nulo MX" de "MX 0". es la forma preferida aparente de indicar que el host no acepta correo electrónico. Esto es similar a un registro "nulo SRV" ("SRV 0 0 0.") Que marca específicamente un servicio como no disponible (según el SRV-RR RFC 2782).

Esto ha sido estandarizado por RFC 7505 (a partir de diciembre de 2017 es un estándar propuesto ).

"MX 0 localhost". (o una etiqueta equivalente apuntando a :: 1 y 127.0.0.1) también es aceptable pero más apropiado para un host que debe enviarse correo a sí mismo (por ejemplo, salida de trabajo cron) que no acepta correo externo. Dichos hosts pueden tener un servidor de correo operativo que está desconectado de Internet, pero otros servicios son accesibles.

No tener un registro MX y bloquear el puerto SMTP no impide que las personas desperdicien el ancho de banda entrante tratando de contactar a un servidor inexistente. Los métodos de registro MX individuales anteriores evitan dicho tráfico porque los registros de tipo de dirección nunca se prueban cuando al menos un registro MX está presente. Esto probablemente no evitará que algunos spammers intenten contactar a un host directamente a través de sus registros de direcciones. Sin embargo, como evita que el tráfico legítimo lo intente, podrá identificar fuentes de spam con 100% de certeza.

El uso de direcciones privadas no debe usarse porque uno no puede decir dónde terminarán. El uso de otras direcciones reservadas (por ejemplo, la dirección de documentación de 192.0.2.0/24) también es inapropiado, excepto cuando se trata de identificar y atrapar spammers dentro de la propia red cuando intentan conectarse.


3

No sé cuál es la forma "estándar", pero aquí hay una con la que me he encontrado: establecer una MX recorddirección de bucle invertido .

Supongo que cualquier dirección IP privada (o IP "inválida" 0.0.0.0) haría el truco. Personalmente, creo que es algo pésimo, pero haría lo que quieras. Puede asociarlo con un nombre de host thisdomaindoesntacceptemail.sostopsendingitcomo un servicio para el administrador de correo que terminará con el ticket por "correo electrónico inactivo" porque su dominio no aceptará correo electrónico. :)

Sin embargo, ¿por qué no simplemente eliminar MX recordy establecer las reglas de su firewall A recordpara bloquear SMTP y TLS (y cualquier otro puerto de correo)?

Eso aclararía el punto, y cualquier administrador que realice una búsqueda verá que no MX record, y las conexiones rechazadas en el respaldo A recordeliminarán cualquier duda sobre la intención de su configuración, en caso de que alguien incluso observe más de cerca después de ver que no MX record.


44
Si eres malvado, puedes TARPIT los puertos SMTP. > :)
Zoredache

1
@Zoredache O para un mal aún más confuso, use el servidor SMTP de otra persona como su MX record.
HopelessN00b

@Zoredache jaja lo haré :))
golja

2
Para citar su propio comentario "¡Mal administrador de correo! Violación de RFC".
John Gardeniers

@JohnGardeniers Sea justo. Dije que pensaba que era algo pésimo, y también sugerí una solución mejor y compatible con RFC. Pero no estamos aquí para evitar que las personas se vuelen, si eso es lo que deciden que quieren hacer, después de tener la oportunidad de tomar una decisión plenamente informada.
HopelessN00b

3

Un simple registro TXT lo hará por usted, configure los registros SPF para que tengan un valor nulo con un fallo duro:

@ IN TXT "v=spf1 -all"
* IN TXT "v=spf1 -all"

Así es como me aseguro de que no se pueda phishing un dominio que utilizo para servicios internos o que no son de correo.


1

Creo que sería suficiente especificar un nombre DNS inexistente como hub de correo de dominio (MX).

UPD : Y finalmente hay http://tools.ietf.org/html/draft-delany-nullmx-00

UPD 2 : Esto finalmente evolucionó a un estándar propuesto por IETF ahora: RFC 7505: un registro de recursos de servicio "nulo MX" para dominios que no aceptan correo


Los RFC permiten volver al registro A si no existe un registro MX. en.wikipedia.org/wiki/MX_record#History_of_fallback_to_A
Zoredache

1
Sí, agreguemos otra configuración de DNS rota a Internet.
John Gardeniers

@ Zoredache, dice en ausencia de MX.
Poige

@JohnGardeniers, ¿a quién le importa? ¿Usted? ¿Por qué? O tienes una mejor idea, o tienes visiones realmente horribles de por qué la mía sería tan mala como para pensarla. Entonces, ¿cuál es el tuyo? ¿Ninguno?
Poige

@poige Buen pensamiento con ese borrador, pero desafortunadamente, nunca fue a ninguna parte, por lo que no hay una forma "oficial" de decirlo this domain doesn't accept email.
HopelessN00b
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.