请勿在DNS MX记录中直接使用IP地址
我想强调邮件服务器DNS记录中一个常见的错误配置。
当域名配置接收邮件时,通常需要设置指向邮件服务器主机名的MX类型DNS记录。值得注意的是,根据RFC 1035规范,MX记录必须包含域名而不能直接指向IP地址。但某些邮件服务器仍会错误配置IP地址。多数邮件服务器对此类配置错误较为宽容仍能投递邮件,导致问题难以被发现。
我使用的邮件服务器(Courier)对此限制较严格,因此时常因此无法发送邮件。虽然发生频率不高,但确实存在。若您的邮件服务器存在此类配置,可能会错过部分合法邮件。
希望通过本文提高认知并推动修复。具体建议如下:
- 邮件/DNS服务器管理员:请严格使用域名配置MX记录
- IT服务提供商:应将此检查纳入定期审计清单(附Python检测脚本)
- 检测工具开发者:建议增加MX记录IP地址检测功能。目前仅Hardenize和IntoDNS等少数服务会警告此类问题。
我对Alexa Top 100万网站进行了快速扫描,约0.06%存在此问题(如果您认识相关责任人,请分享本文)。后续可能通过postmaster别名联系这些域名管理者。
(图片来源:nohat.cc / CC0协议)
技术讨论精选
评论#1 - Erwin Hoffmann
- 配置错误实际源于DNS负责人而非邮件服务器
- 仅IPv4地址可能被误用(语法与域名相似)
- DNS软件应增加输入验证机制
- 完整MX配置需包含:
- 域名
- 权重值
- 对应A/AAAA记录
- 现代互联网还需配置:
- 反向DNS
- SPF记录
- TLSA记录
评论#2 - Spongebob
使用IP地址将导致无法配置DKIM/DMARC(MX名称需匹配SSL证书)
作者回复:此问题实际与MTA-STS相关(需验证主机名证书)