Jak mogę mieć rekord SPF dłuższy niż 255 znaków?

16

Miałem więc wrażenie, że poszczególne wpisy SPF musiały zmieścić się w 255 znakach lub użyć includeoperatora, aby połączyć ze sobą wiele wpisów tworzących łańcuch. Jednak RFC 4408 3.1.3. w szczególności stwierdza, że ​​wiele łańcuchów musi zostać skonkatenowanych przed oceną - więc IN TXT "v=spf1" " 1.2.3.4 -all"należy je traktować tak samo jak IN TXT "v=spf1 1.2.3.4 -all". W szczególności pozwala to na dowolnie duże rekordy SPF i includestaje się narzędziem do włączania rekordu SPF, którym administruje ktoś inny.

Czy to poprawna interpretacja specyfikacji? Co ważniejsze, czy obecne serwery pocztowe szanują ten wielosekwencyjny typ rekordu TXT?

domain-name-system spf duane
źródło

Odpowiedzi:

20

Tak, interpretujesz to poprawnie. Ostatnio sobie z tym poradziłem.

Ten artykuł był dla mnie pomocny:

Czy mogę mieć rekord TXT lub SPF dłuższy niż 255 znaków?

Godnym uwagi przykładem tej koncepcji w praktyce byłby rekord SPF dla cisco.com z 25.02.2016:

> ;; QUESTION SECTION: ;cisco.com.                     IN      TXT
> 
> ;; ANSWER SECTION: cisco.com.              12775   IN      TXT    
> "926723159-3188410" cisco.com.              12775   IN      TXT    
> "v=spf1 ip4:173.37.147.224/27 ip4:173.37.142.64/26
> ip4:173.38.212.128/27 ip4:173.38.203.0/24 ip4:64.100.0.0/14
> ip4:72.163.7.160/27 ip4:72.163.197.0/24 ip4:144.254.0.0/16
> ip4:66.187.208.0/20 ip4:173.37.86.0/24" " ip4:64.104.206.0/24
> ip4:64.104.15.96/27 ip4:64.102.19.192/26 ip4:144.254.15.96/27
> ip4:173.36.137.128/26 ip4:173.36.130.0/24 mx:res.cisco.com
> mx:sco.cisco.com ~all" cisco.com.              12775   IN      TXT    
> "MS=ms65960035"

Upewnij się, że uwzględniłeś spacje w rekordach, jak już wskazałeś.

Pamiętaj również, że musisz ograniczyć liczbę wyszukiwań DNS do 10 w swoich rekordach zgodnie z RFC SPF :

Implementacje SPF MUSZĄ ograniczyć liczbę mechanizmów i modyfikatorów, które wykonują wyszukiwania DNS, maksymalnie do 10 na sprawdzenie SPF, w tym wszelkie wyszukiwania spowodowane użyciem mechanizmu „włącz” lub modyfikatora „przekierowania”. Jeśli liczba ta zostanie przekroczona podczas sprawdzania, MUSI zostać zwrócony błąd PermError.

pat o.
źródło
1
Przynajmniej od 27.02.2019 r. Cisco nie korzysta już z wielofazowych rekordów TXT dla SPF, ale używa łączenia rekordów SPF przy użyciu instrukcji include. Dla zainteresowanych wyjaśniono tutaj tworzenie łańcuchów rekordów: help.blacknight.com/hc/en-us/articles/… .
GHH