Czy można mieć wiele rekordów TXT dla jednej domeny zawierającej różne wpisy SPF?

17

Zdalna domena adresata odrzuca pocztę z powodu SPF i myślę, że dzieje się tak, ponieważ nadawca nieprawidłowo skonfigurował SPF.

Kiedy uruchamiam kopanie, widzę:

[fooadm@box ~]# dig @8.8.8.8 -t TXT foosender.com

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.6 <<>> @8.8.8.8 -t TXT foosender.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30608
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;foosender.com.              IN      TXT

;; ANSWER SECTION:
foosender.com.       14039   IN      TXT     "v=spf1 include:spf.foo1.com -all"
foosender.com.       14039   IN      TXT     "v=spf1 include:_spf.bob.foo2.com -all"

;; Query time: 26 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Jan  7 09:45:38 2014
;; MSG SIZE  rcvd: 146

Czy to jest poprawna konfiguracja? Wydaje mi się dziwne, że istnieją dwie osobne płyty (każda z trudnymi niepowodzeniami). Czy nie powinno być wszystko w jednym rekordzie?

Oczekiwałbym, że właściwym rekordem TXT będzie:

v=spf1 include:spf.foo1.com include:_spf.bob.foo2.com -all

Mike B.
źródło

Odpowiedzi:

20

Nie. Masz rację. Patrz RFC 4408, sekcja 4.5 .

  1. Rekordy, które nie zaczynają się od sekcji wersji dokładnie „v = spf1”, są odrzucane. Należy zauważyć, że sekcja wersji jest zakończona znakiem SP lub końcem rekordu. Rekord z sekcją wersji „v = spf10” nie pasuje i musi zostać odrzucony.

  2. Jeśli w zestawie znajdują się jakieś rekordy typu SPF, wszystkie rekordy typu TXT są odrzucane.

    Po wykonaniu powyższych kroków powinien pozostać dokładnie jeden rekord i można kontynuować ocenę. Jeśli pozostały dwa lub więcej rekordów, check_host () natychmiast kończy działanie z wynikiem „PermError”.

    Jeśli nie zostaną zwrócone żadne pasujące rekordy, klient SPF MUSI założyć, że domena nie składa deklaracji SPF. Przetwarzanie SPF MUSI zatrzymać i
    zwrócić „Brak”.

dmourati
źródło
2
Według stanu na kwiecień 2014 r. Istnieje RFC 7208, który przestaje obowiązywać RFC 4408. Zapisy typu SPF zostały wycofane na korzyść rekordów typu TXT SPF records MUST be published as a DNS TXT (type 16) Resource Record (RR) [RFC1035] only.(patrz RFC 7208, sekcja 3.1 ). Spróbuję na tej podstawie odpowiedzieć na nową odpowiedź.
JHoffmann
4

Ta konfiguracja SPF jest nieprawidłowa. W przypadku znalezienia wielu rekordów wybór rekordu powinien spowodować błąd. Patrz RFC 7208, sekcja 4.5 na temat wybierania rekordów:

Jeśli wynikowy zestaw rekordów zawiera więcej niż jeden rekord, check_host () generuje wynik „permerror”.

JHoffmann
źródło