如何创建和更新现有 SPF 记录以允许超过 10 个条目?
Sen*_*eer 7 domain-name-system email email-server spam spf
如果我的现有域的 TXT 记录中已有 10 行 SPF 记录,如何添加另一个 SPF 记录?
我想添加这两个:
include:mailgun.org
include:sendgrid.net
这是我现有的 SPF 记录:
v=spf1 a mx ptr ip4:69.64.152.23/32 ip4:69.64.152.123/32 ip4:52.13.23.26/32 ip4:54.68.180.96/32 ip4:52.116.0.27/32 include:_spf.psm.knowbe4.com include:_spf.google.com include:servers.mcsv.net include:mail.zendesk.com -all
这大约是 10 次最大 DNS 查找:
这会破坏现有的邮件流吗?
这是添加上面两条附加记录后https://dmarcian.com/spf-survey/测试的结果:
任何帮助将不胜感激。
谢谢
这将破坏 SPF 的检查,因为会发生错误。
具体来说,会出现该错误;SPF PermError:DNS 查找次数过多
mailflox 将受到影响,因为几乎所有服务器/反垃圾邮件都会检查 SPF,这将导致这些服务器拒绝电子邮件,因为它无法验证电子邮件身份。
添加 IPv4 条目不会对另一端造成这种限制。如果可以的话,我会检查您是否可以添加这两个新的主机 IP 范围,这是使其工作的唯一方法。
- 不,因为它不是查找,10 个限制是为了防止 DoS 或滥用。也就是当电子邮件从滥用主机/spf 到达时,反垃圾邮件不会卡在 DNS 查找上。(只要注意自己,有时添加一个 dns 条目,它会在其下添加其他条目。这样很容易达到十分之一的限制) (2认同)
- 如果它破坏了接收邮件的服务器,检查 SPF,中止检查 SPF,所以它仍然是失败的,因为您的邮件将被拒绝。 (2认同)
我在我的雇主那里遇到了几乎完全相同的问题。我们有 11 个 DNS 条目,其中一些是通过递归引入的(感谢 gmail!)ip4和ip6条目没有贡献,只有导致 DNS 查找计数的内容。
最好的解决方法是重新配置 sendgrid 或 mandrill 或 qualtrics 以使用子域进行所有发送。比如 @customersuccess.mycompany.com避免品牌特定。这将为您提供一批单独的 10 个 DNS 条目,并有助于将邮件发件人彼此分开。
然而,在企业界重新配置工作服务几乎是不可能的。
您可以规定任何新的邮件发送服务都必须使用合适的子域,但这不太可能。
从技术上讲 - 我们的 SPF 记录都不符合https://datatracker.ietf.org/doc/html/rfc7208中记录的RFC 4408 ,其中第 4.6.4 节说
除了该限制之外,对每个“MX”记录的评估不得导致查询超过 10 个地址记录——“A”或“AAAA”资源记录。如果超过此限制,“mx”机制必须产生“permerror”结果。
从技术上讲,任何 MTA 都可以随时开始拒绝带有 PERMERROR 的我们公司的电子邮件。
根据我的经验,这种情况还没有发生,虽然这并非不可能,但可能性非常低。如果有人确实实现了这一点,那将是一个/一些邮件接收 MTA,而不是同时完成。
相关的是,我发现https://www.proofpoint.com/us/cybersecurity-tools/dmarc-spf-creation-wizard#spf-check 非常适合对 SPF 进行良好的检查。
microsoft.com正好有 10 个 DNS 查找,
toyota.com有18 个(并且在错误的地方使用了拼写错误mx,并且有些片段对于 UDP 数据包来说太大了。)
结果 - 是的,这是错误的,但目前尚未真正执行。
几周后更新 - 我发现有一些邮件服务器接受然后默默地丢弃电子邮件,因为这个。因此,我尝试更新我的 SPF 记录以进行扁平化 - 请参阅https://security.stackexchange.com/questions/264167/flattening-an-spf-record-drawbacks-and-downsides
- “这是错误的,但目前还没有真正执行”——有趣的说法。根据我在本网站和其他地方读到的内容,超出 DNS 查找限制时收到 *permerror* 拒绝是很常见的。 (2认同)
- @glts 同意 - 我有兴趣找到任何真正的域或邮件接收 MTA,因为这个原因拒绝或失败的电子邮件。 (2认同)