Uma maneira de o registro DNS dizer "este domínio não possui servidor de email"?

Qual é a maneira apropriada de configurar um registro DNS que diz "este domínio não possui servidor de email"?

Suponho que preciso de um registro MX especial para fazer isso, caso contrário, será assumido que o registro A é a resposta.

Eu faço essa pergunta porque parece que seria melhor interromper o correio na linha de frente, para que não seja responsabilidade do servidor da web rejeitar o correio para o domínio em questão.

Devido ao fallback do contato direto de um host por meio de seus registros de endereço, um único registro "nulo MX" de "MX 0". é a maneira preferida aparente de indicar que o host não aceita email. Isso é semelhante a um registro "SRV nulo" ("SRV 0 0 0.") Que marca especificamente um serviço como não disponível (de acordo com a SRV-RR RFC 2782).

Isso foi padronizado pela RFC 7505 (em dezembro de 2017, é um padrão proposto ).

"MX 0 localhost." (ou etiqueta equivalente apontando para :: 1 e 127.0.0.1) também é aceitável, mas mais apropriado para um host que deve enviar email para si mesmo (por exemplo, saída da tarefa cron) que não aceita email externo. Esses hosts podem ter um servidor de correio operacional que é protegido por firewall da Internet, mas outros serviços são acessíveis.

Não ter registro MX e bloquear a porta SMTP não impede que as pessoas desperdiçam a largura de banda de entrada tentando entrar em contato com um servidor inexistente. Os métodos de registro MX único acima impedem esse tráfego porque os registros do tipo endereço nunca são tentados quando pelo menos um registro MX está presente. Provavelmente, isso não impedirá que alguns remetentes de spam tentem entrar em contato diretamente com um host por meio de seus registros de endereço. No entanto, como impede o tráfego legítimo de tentar, você poderá identificar fontes de spam com 100% de certeza.

O uso de endereços privados não deve ser usado, porque não se pode dizer onde eles acabarão. O uso de outros endereços reservados (por exemplo, o endereço de documentação 192.0.2.0/24) também é inadequado, exceto quando se tenta identificar e interceptar spammers na própria rede quando eles tentam se conectar.

Eu não sei qual é a maneira "padrão", mas eis uma que encontrei: defina um MX recordcomo um endereço de loopback .

Suponho que qualquer endereço IP privado (ou IP "inválido" 0.0.0.0) faria o truque. Pessoalmente, acho que é uma coisa ruim de se fazer, mas faria o que você quiser. Você pode associá-lo a um nome de host como thisdomaindoesntacceptemail.sostopsendingitum serviço para o administrador de email, que receberá o ticket por "e-mail desativado" porque seu domínio não aceita e-mail. :)

No entanto, por que não apenas remover MX recorde configurar suas regras de firewall A recordpara bloquear SMTP e TLS (e quaisquer outras portas de correio)?

Isso esclareceria tudo, e qualquer administrador que fizer uma pesquisa não verá MX record, e as conexões recusadas no fallback A recordremoverão qualquer dúvida sobre a intenção de sua configuração, caso alguém olhe mais de perto depois de ver não MX record.

Um registro TXT simples fará isso por você, configure os registros SPF para terem um valor nulo com uma falha grave:

@ IN TXT "v=spf1 -all"
* IN TXT "v=spf1 -all"

É assim que garanto que um domínio não pode ser phishing que eu uso em serviços internos ou que não são de email.

Eu acho que especificar o nome DNS inexistente como hub de correio de domínio (MX) seria suficiente.

UPD. : E finalmente há http://tools.ietf.org/html/draft-delany-nullmx-00

UPD. 2 : Isso acabou evoluindo para um padrão proposto pela IETF agora: RFC 7505: um "Null MX" sem registro de recurso de serviço para domínios que não aceitam email