Как DNS-запись может сказать «у этого домена нет почтового сервера»?

Как правильно настроить запись DNS, в которой говорится, что «в этом домене нет почтового сервера»?

Я предполагаю, что мне нужна специальная запись MX, чтобы сделать это, иначе будет предполагаться, что запись A является ответом.

Я задаю этот вопрос, потому что кажется, что было бы лучше остановить почту на переднем крае, поэтому веб-сервер не несет ответственности за отклонение почты для рассматриваемого домена.

Из-за отказа прямого контакта с хостом через его адресные записи, единственная запись «null MX» - «MX 0». является очевидным предпочтительным способом указать, что хост не принимает электронную почту. Это похоже на «нулевую запись SRV» («SRV 0 0 0.»), Которая специально помечает службу как недоступную (согласно SRV-RR RFC 2782).

Это было стандартизировано RFC 7505 (по состоянию на декабрь 2017 года это предлагаемый стандарт ).

"MX 0 localhost." (или эквивалентная метка, указывающая на :: 1 и 127.0.0.1) также приемлема, но больше подходит для хоста, который должен отправлять почту самому себе (например, вывод задания cron), который не принимает внешнюю почту. Такие хосты могут иметь работающий почтовый сервер, который отключен от Интернета, но другие службы доступны.

Отсутствие записи MX и блокировка порта SMTP не мешают людям тратить входящую пропускную способность, пытаясь связаться с несуществующим сервером. Описанные выше методы с одной записью MX действительно предотвращают такой трафик, поскольку записи типа адреса никогда не пробуются, когда присутствует хотя бы одна запись MX. Это, вероятно, не помешает некоторым спамерам пытаться связаться с хостом напрямую через его адресные записи. Тем не менее, поскольку он останавливает попытки законного трафика, вы сможете идентифицировать источники спама со 100% уверенностью.

Использование личных адресов не должно использоваться, потому что нельзя сказать, где они окажутся. Использование других зарезервированных адресов (например, адрес документации 192.0.2.0/24) также неуместно, за исключением случаев, когда пытаются идентифицировать и перехватить спамеров в собственной сети, когда они пытаются подключиться.

Я не знаю, что такое «стандартный» способ, но вот один, с которым я столкнулся: установить MX recordадрес обратной связи .

Я предполагаю, что любой частный IP-адрес (или иначе "недопустимый" IP-адрес 0.0.0.0) добился бы цели. Лично я считаю, что делать это паршиво, но делать то, что ты хочешь. Вы можете связать его с именем хоста, например, thisdomaindoesntacceptemail.sostopsendingitкак услуга, с почтовым администратором, который в итоге получит билет за «отказ электронной почты», потому что ваш домен не будет принимать электронную почту. :)

Однако почему бы просто не удалить MX recordи установить правила брандмауэра A recordдля блокировки SMTP и TLS (и любых других почтовых портов)?

Это поможет понять ситуацию, и любой администратор, который выполнит поиск, не увидит «нет» MX record, а отказавшиеся соединения в случае сбоя A recordустранят любые сомнения в отношении намерений вашей конфигурации, если кто-нибудь даже присмотрится более внимательно после того, как не увидит «нет» MX record.

Простая запись TXT сделает это за вас, установите для записей SPF нулевое значение с серьезным сбоем:

@ IN TXT "v=spf1 -all"
* IN TXT "v=spf1 -all"

Таким образом я гарантирую, что домен не может быть фишинг, который я использую для внутренних или не почтовых сервисов.

Я думаю, что указание несуществующего DNS-имени в качестве почтового хаба домена (MX) будет достаточно.

UPD. И, наконец, есть http://tools.ietf.org/html/draft-delany-nullmx-00

UPD. 2 : Это в конечном итоге превратилось в предложенный IETF стандарт : RFC 7505: «Null MX» - запись ресурса службы не для доменов, не принимающих почту