PermError SPF Błąd trwały: Przekroczono limit wyszukiwania pustek wynoszący 2

13

Próbuję skonfigurować SPF na serwerze - poczta działa poprawnie i sprawdza poprawność zgodnie z mxtoolbox i innymi czekami online, ale kiedy sprawdzam to za pomocą http://www.kitterman.com/spf/validate.html pojawia się błąd:

PermError SPF Permanent Error: Void lookup limit of 2 exceeded

Zdaję sobie sprawę z limitu 10 wyszukiwań, ale nie widziałem wcześniej tego błędu.

Rekord SPF to:

v=spf1 a mx ip4:IP1 ip4:IP2 ip6:IP3 include:spf-a.outlook.com 
include:spf-b.outlook.com include:spf-c.outlook.com 
include:spf.messaging.microsoft.com include:_spf.zdsys.com 
include:spf.mail.intercom.io -all

Do czego odnosi się limit wyszukiwania nieważnych?

domain-name-system spf bhttoan
źródło

Odpowiedzi:

13

Limit nieważności wyszukiwania został wprowadzony w RFC 7208 i dotyczy wyszukiwania DNS, które zwracają pustą odpowiedź (NOERROR bez odpowiedzi) lub odpowiedź NXDOMAIN. Jest to osobna liczba od ogólnej liczby 10 wyszukiwania DNS.

Jak opisano na końcu sekcji 11.1 , mogą zaistnieć przypadki, w których użyteczne jest ograniczenie liczby „warunków”, dla których zapytania DNS zwracają odpowiedź pozytywną (RCODE 0) z liczbą odpowiedzi 0 lub „Błąd nazwy” „Odpowiedź (RCODE 3). Są one czasami nazywane zbiorczo „przeglądami pustki”. Implementacje SPF POWINNY OGRANICZYĆ „nieważne wyszukiwania” do dwóch. Implementacja MOŻE zdecydować się na skonfigurowanie takiego limitu. W takim przypadku domyślną wartością jest ZALECANA. Przekroczenie limitu daje wynik „permerror”.

Ma to na celu zapobieganie przyczynieniu się błędnych lub złośliwych rekordów SPF do udziału w ataku typu „odmowa usługi” opartym na DNS.

W twoim przypadku problematyczną częścią wydaje się być:

include:spf.messaging.microsoft.com

Jego rekord SPF to:

v=spf1 ptr:protection.outlook.com ptr:messaging.microsoft.com ptr:o365filtering.com -all

Wszystkie trzy rekordy, jeśli zostaną sprawdzone, zwrócą albo NOERROR bez żadnych rekordów, albo NXDOMAIN.

Ponieważ trzy rekordy niczego nie zwróciły, przekroczono limit wyszukiwania nieważności wynoszący 2, a rekord SPF kończy się niepowodzeniem.

Michael Hampton
źródło
Idealne dzięki, sprawdziłem i dostałem zaktualizowany rekord SPF dla Office 365 i po użyciu tego błędu już nie ma
bhttoan
Świetna informacja. Jaki jest dobry sposób na sprawdzenie rekordów, aby zobaczyć, co zwracają? Muszę dowiedzieć się, który z moich jest problemem.
mlissner
@mlissner Istnieje wiele stron internetowych z walidatorem SPF, które możesz wypróbować.
Michael Hampton
Odkryłem, że przynajmniej w przypadku python-spfimplementacji wykonywane wyszukiwania zależą od sprawdzanego adresu IP, a zatem liczba zapytań zwracających brak rekordu jest różna. Ponieważ właściciel domeny nie ma kontroli nad tym, które adresy IP będą musiały zostać zweryfikowane, konsekwencją tego jest to, że dowolna alub mxspecyfikacja w rekordzie SPF musi wskazywać tylko nazwy podwójnego stosu, aby zapobiec fałszywym błędom.
kasperd