Les enregistrements SPF pour le domaine principal s'appliquent-ils aux sous-domaines?

J'ai une petite question concernant les enregistrements SPF: doivent-ils être présents dans tous les sous-domaines?

Disons que j'ai un enregistrement TXT avec des informations SPF pour domain.com

Disons également que j'ai un domaine de messagerie séparé pour subdomain.domain.com

La politique / les informations SPF pour domain.com s'appliqueront-elles également au sous-domaine? Ou dois-je également ajouter un enregistrement TXT distinct pour cela?

Vous devez disposer d'enregistrements SPF distincts pour chaque sous-domaine à partir duquel vous souhaitez envoyer du courrier. http://www.openspf.org/FAQ/The_demon_question

La question du démon: Qu'en est-il des sous-domaines?

Si je reçois du courrier de pielovers.demon.co.uk et qu'il n'y a pas de données SPF pour pielovers, devrais-je revenir en arrière et tester SPF pour demon.co.uk? Non. Chaque sous-domaine de Demon est un client différent et chaque client peut avoir sa propre politique. Il ne serait pas logique que la politique de Demon s’applique par défaut à tous ses clients; si Demon veut le faire, il peut configurer des enregistrements SPF pour chaque sous-domaine.

Les conseils aux éditeurs SPF sont donc les suivants: vous devez ajouter un enregistrement SPF pour chaque sous-domaine ou nom d’hôte associé à un enregistrement A ou MX.

Les sites avec des enregistrements génériques A ou MX doivent également avoir un enregistrement SPF générique, de la forme: * IN TXT "v = spf1 -all"

Cela a du sens - un sous-domaine peut très bien se trouver dans un lieu géographique différent, qui aura une définition très différente du SPF.

La directive "include:" pour SPF peut être utilisée pour fournir tous les sous-domaines avec les mêmes entrées. Par exemple, dans l'enregistrement SPF du sous-domaine mailfrom.example.com, entrez "include: example.com". Ainsi, chaque fois que vous mettez à jour la définition pour example.com, vos sous-domaines prendront automatiquement les valeurs mises à jour.

En plus des autres réponses, si un sous-domaine est créé en tant qu'enregistrement CNAME, l'enregistrement SPF est celui du domaine vers lequel il pointe , par exemple, sub.domain.comun CNAME otherdomain.com, le SPF qu'un serveur de messagerie obtiendra lorsqu'il le recherchera [email protected]dans le DNS. enregistrer pour otherdomain.com.

C'est la même chose en pratique si l'enregistrement CNAME indique sub.domain.com => othersub.domain.com, votre enregistrement TXT doit donc être othersub, et non sub. Cela contraste avec DKIM, qui nécessite un enregistrement TXT distinct pour la clé publique, même si votre sous-domaine est un CNAME.

Mais notez, comme il est dit dans la FAQ référencée dans la réponse acceptée, que vous pouvez avoir des SPF génériques pour un domaine pour des enregistrements génériques A ou MX. J'ai des domaines MX génériques, et cela fonctionne pour moi:

*.mydomain.org. 3600 IN  TXT  "v=spf1 ip4:IPADDR -all"

avec IPADDR remplacé par votre adresse IP / plage.

Non, mais vous pouvez les court-circuiter avec la include:maindomain.invaliddirective.

*.mydomain.org. 3600 IN  TXT  "v=spf1 ip4:IPADDR -all" 

comme indiqué ci-dessus ne fonctionne pas si le polluposteur utilise un sous-domaine qui est déjà dans dDNS. Par exemple, www.domain.com AA enregistre avant le caractère générique.

Sachez que l'instruction include inclut uniquement les enregistrements A du domaine spécifié et non les sous-domaines. Donc, il ne récupère pas les enregistrements A des sous-domaines et ne fonctionne donc que lorsque tous les sous-domaines sont sur le même serveur ou sont envoyés depuis le même serveur.