¿Una forma para que el registro DNS diga "este dominio no tiene servidor de correo"?

¿Cuál es la forma adecuada de configurar un registro DNS que dice "este dominio no tiene servidor de correo"?

Supongo que necesito un registro MX especial para hacer esto, de lo contrario se supondrá que el registro A es la respuesta.

Hago esta pregunta porque parece que sería mejor detener el correo en la línea del frente, por lo que no es responsabilidad del servidor web rechazar el correo del dominio en cuestión.

Debido a la desventaja de contactar directamente a un host a través de sus registros de dirección, un solo registro "nulo MX" de "MX 0". es la forma preferida aparente de indicar que el host no acepta correo electrónico. Esto es similar a un registro "nulo SRV" ("SRV 0 0 0.") Que marca específicamente un servicio como no disponible (según el SRV-RR RFC 2782).

Esto ha sido estandarizado por RFC 7505 (a partir de diciembre de 2017 es un estándar propuesto ).

"MX 0 localhost". (o una etiqueta equivalente apuntando a :: 1 y 127.0.0.1) también es aceptable pero más apropiado para un host que debe enviarse correo a sí mismo (por ejemplo, salida de trabajo cron) que no acepta correo externo. Dichos hosts pueden tener un servidor de correo operativo que está desconectado de Internet, pero otros servicios son accesibles.

No tener un registro MX y bloquear el puerto SMTP no impide que las personas desperdicien el ancho de banda entrante tratando de contactar a un servidor inexistente. Los métodos de registro MX individuales anteriores evitan dicho tráfico porque los registros de tipo de dirección nunca se prueban cuando al menos un registro MX está presente. Esto probablemente no evitará que algunos spammers intenten contactar a un host directamente a través de sus registros de direcciones. Sin embargo, como evita que el tráfico legítimo lo intente, podrá identificar fuentes de spam con 100% de certeza.

El uso de direcciones privadas no debe usarse porque uno no puede decir dónde terminarán. El uso de otras direcciones reservadas (por ejemplo, la dirección de documentación de 192.0.2.0/24) también es inapropiado, excepto cuando se trata de identificar y atrapar spammers dentro de la propia red cuando intentan conectarse.

No sé cuál es la forma "estándar", pero aquí hay una con la que me he encontrado: establecer una MX recorddirección de bucle invertido .

Supongo que cualquier dirección IP privada (o IP "inválida" 0.0.0.0) haría el truco. Personalmente, creo que es algo pésimo, pero haría lo que quieras. Puede asociarlo con un nombre de host thisdomaindoesntacceptemail.sostopsendingitcomo un servicio para el administrador de correo que terminará con el ticket por "correo electrónico inactivo" porque su dominio no aceptará correo electrónico. :)

Sin embargo, ¿por qué no simplemente eliminar MX recordy establecer las reglas de su firewall A recordpara bloquear SMTP y TLS (y cualquier otro puerto de correo)?

Eso aclararía el punto, y cualquier administrador que realice una búsqueda verá que no MX record, y las conexiones rechazadas en el respaldo A recordeliminarán cualquier duda sobre la intención de su configuración, en caso de que alguien incluso observe más de cerca después de ver que no MX record.

Un simple registro TXT lo hará por usted, configure los registros SPF para que tengan un valor nulo con un fallo duro:

@ IN TXT "v=spf1 -all"
* IN TXT "v=spf1 -all"

Así es como me aseguro de que no se pueda phishing un dominio que utilizo para servicios internos o que no son de correo.

Creo que sería suficiente especificar un nombre DNS inexistente como hub de correo de dominio (MX).

UPD : Y finalmente hay http://tools.ietf.org/html/draft-delany-nullmx-00

UPD 2 : Esto finalmente evolucionó a un estándar propuesto por IETF ahora: RFC 7505: un registro de recursos de servicio "nulo MX" para dominios que no aceptan correo