SPF включает в себя: слишком много IP-адресов

Question

SPF включает в себя: слишком много IP-адресов

Я столкнулся с SPF. Запись SPF для моего домена будет содержать четыре или пять записей, плюс она будет содержать: include:sgizmo.com

Запись SPF для sgizmo.com содержит одиннадцать записей! Это, плюс мое, намного больше десяти, разрешенных RFC (и, вероятно, большинством серверов). Я понимаю, что должен быть предел, чтобы предотвратить DoS-атаки. Однако в реальном мире для крупных компаний, вероятно, нередко иметь много адресов серверов.

Кроме того, должен ли я следить за изменениями и дополнениями моих партнеров "include:"? Должен ли я проверять еженедельно, ежедневно, чтобы убедиться, что какая-то комбинация изменений не перевернет меня? Мне не кажется, что SPF подходит для прайм-тайма.

Есть ли другой способ сделать это?

1

spf

Источник

sprezzatura 03 апр '10 в 23:17

5 ответов

Другие вопросы по тегам spf

tylerl 04 апр '10 в 01:41 2010-04-04 01:41 · Answer 1 · 2010-04-04 01:41

Если вы достигаете предела для записей SPF, то вы, вероятно, делаете что-то не так. Рассмотрите возможность использования:

ярлык "а"
ярлык "мх"
Subnets

Очень распространенная тактика - перечислять все ваши потенциальные почтовые обменники как записи MX для этого домена, но с очень высоким приоритетом. Поскольку MX для домена выбираются в порядке от низшего к высшему, это означает, что сервер никогда не будет выбран для получения трафика, но будет указан как разрешенный для отправки трафика. Это улучшает возможности доставки даже для пунктов назначения, которые не поддерживают SPF. Просто не забудьте включить "mx" в свой список SPF.

John Pace 19 апр '18 в 21:10 2018-04-19 21:10 · Answer 2 · 2018-04-19 21:10

В RFC 7208 говорится, что запросы DNS ограничены 10. Поэтому, если ваша запись SPF содержит 5 IP-адресов, а sgizmo включает 11, вы можете получить эту информацию только с 2 DNS-запросами. Один запрос к вашему DNS для записи SPF и один запрос к sgizmo для их записи SPF. Имейте в виду, что первоначальный запрос SPF не учитывается в сумме 10.

Вы можете быть озадачены RFC 7208 § 4.6.4, где говорится: "Следующие термины вызывают DNS-запросы: механизмы"include", "a", "mx", "ptr"и"exist "и"redirect" "Модификатор. Реализации SPF ДОЛЖНЫ ограничивать общее количество этих терминов до 10 во время оценки SPF, чтобы избежать необоснованной нагрузки на DNS".

Это не означает, что ваша запись SPF может содержать только 10 элементов. Это означает, что обработка SPF должна вызывать не более 10 DNS-запросов. Например, следующая запись SPF имеет только 2 условия, но включает 254 IP-адреса и включает в себя в общей сложности 265 адресов:

v = spf1 ip4: 123.123.123.2/24 включают:sgizmo.com -all

Это только 2 DNS-поиска, и первый не считается. Если у вас также есть веб-сервер и 5 MX (почтовые серверы), вы можете сделать следующее:

v = spf1 mx a ip4: 123.123.123.2/24 включают в себя:sgizmo.com -all

Поскольку для терминов MX и A требуются DNS-запросы, они считаются двумя дополнительными DNS-запросами. Поскольку вы можете получить полный список записей MX в одном DNS-запросе, вышеприведенный SPF увеличит количество DNS-запросов до 3 из 10 и будет включать 271 адрес.

Чтобы взглянуть на вашу проблему, давайте посмотрим на следующую запись SPF:

v = spf1 ip4: 123.123.123.2 ip4: 123.123.123.4 ip4: 123.123.123.6 ip4: 123.123.123.8 ip4: 123.123.123.10 включают в себя:sgizmo.com -all

Это включает в себя 7 терминов, но только для включения требуется DNS-запрос. Это означает, что это добавит 16 серверов к вашей действительной проверке SPF и будет считаться как 1 поиск DNS из 10, так как условия ip4 не требуют никаких запросов DNS для их разрешения.

Надеюсь это поможет.

TomTom 03 апр '10 в 23:24 2010-04-03 23:24 · Answer 3 · 2010-04-03 23:24

Почему вы вообще используете IP-адреса?

Вы можете включать сети, доменные имена, записи mx - нет необходимости указывать один отдельный IP-адрес.

4

Источник

TomTom 03 апр '10 в 23:24

Rein 23 май '18 в 07:42 2018-05-23 07:42 · Answer 4 · 2018-05-23 07:42

Вы абсолютно правы, это раздражающий предел в SPF, и вы не делаете ничего плохого.

На самом деле, у sgizmo.com ужасная запись SPF. Само по себе оно насчитывает 10 поисков DNS, поэтому добавление его в вашу собственную запись приведет к тому, что SPF будет равен 11, и, следовательно, поврежден SPF. Принимающие почтовые серверы отклонят вашу запись SPF в целом, и, если вы настроили политику DMARC (отклонить), ваши электронные письма вполне могут быть отброшены.

Вы можете проверить состояние записи SPF по адресу https://dmarcian.com/spf-survey/ или по адресу https://mxtoolbox.com/ или многими другими инструментами.

Тем не менее, на веб-сайте SurveyGizmo говорится, что если вы пользуетесь их услугами и вам необходимо добавить их в SPF, вы должны использовать app.sgizmo.com, который включает только IP-адреса. Таким образом, это в конечном итоге является лишь одним дополнительным поиском в вашей собственной записи SPF. Представьте, если у вас есть 20 таких поставщиков, отправляющих от вашего имени!

На ваш вопрос о мониторинге вашей записи SPF вам, безусловно, нужно отслеживать свою запись и количество обращений к DNS, включая все включения. Вы можете написать простой скрипт или посетить вышеупомянутые инструменты время от времени.

Более постоянное решение - отправлять электронные письма от сторонних поставщиков с поддоменов (surveyys.yourdomain.com). Некоторое программное обеспечение также позволяет вам установить альтернативный обратный путь / адрес возврата в ваших электронных письмах. SPF всегда проверяется в домене электронной почты Return-Path, если таковой имеется.

Надеюсь, это поможет.

Waivej 28 мар '12 в 23:40 2012-03-28 23:40 · Answer 5 · 2012-03-28 23:40

Поправьте меня, если я ошибаюсь, но я подумал, что это всего лишь 10 DNS-запросов. Я не думаю, что IP-адреса имеют значение для этого.

sgizmo.com, похоже, имеет только 5: sgizmo.com, a, mx, emailsrvr.com и support.zendesk.com.

0

Источник

Waivej 28 мар '12 в 23:40