Aus einigen äußerst lächerlichen administrativen Gründen haben wir eine geteilte Domain mit einem Postfach in Office365, die es erforderlich macht, dass wir include:outlook.com
unseren SPF-Datensatz ergänzen . Das Problem dabei ist, dass allein diese Regel neun DNS-Lookups von maximal 10 erfordert .
Im Ernst, es ist schrecklich. Schau es dir an:
v=spf1
include:spf-a.outlook.com
include:spf-b.outlook.com
ip4:157.55.9.128/25
include:spfa.bigfish.com
include:spfb.bigfish.com
include:spfc.bigfish.com
include:spf-a.hotmail.com
include:_spf-ssg-b.microsoft.com
include:_spf-ssg-c.microsoft.com
~all
Da wir unser eigenes großes ish - Mail - System haben wir brauchen für Regeln haben a
, mx
, include:_spf1.mydomain.com
, und include:_spf2.mydomain.com
die uns Puts auf 13 DNS - Lookups der Ursachen PERMERROR
s mit strengen SPF Validierer und völlig unzuverlässig / unberechenbar Validierung mit nicht-streng / schlecht umgesetzt Validatoren .
Ist es möglich, drei dieser include:
Regeln aus dem aufgeblähten Outlook.com-Datensatz zu entfernen, aber dennoch die von O365 verwendeten Server abzudecken?
Bearbeiten:
Kommentatoren haben erwähnt, dass wir einfach den kürzeren spf.protection.outlook.com
Datensatz verwenden sollten. Während das ist neu für mich, und es ist kürzer, dann ist es nur ein Datensatz kürzer:
spf.protection.outlook.com
include:spf-a.outlook.com
include:spf-b.outlook.com
include:spf-c.outlook.com
include:spf.messaging.microsoft.com
include:spfa.frontbridge.com
include:spfb.frontbridge.com
include:spfc.frontbridge.com
Edit²
Ich nehme an, wir können dies technisch auf Folgendes reduzieren:
v=spf1 a mx include:_spf1.mydomain.com include:_spf2.mydomain.com include:spf-a.outlook.com include:spf-b.outlook.com include:spf-c.outlook.com include:spfa.frontbridge.com include:spfb.frontbridge.com include:spfc.frontbridge.com ~all
Aber die möglichen Probleme, die ich dabei sehe, sind:
- Wir müssen uns über Änderungen an den Eltern
spf.protection.outlook.com
undspf.messaging.microsoft.com
Aufzeichnungen auf dem Laufenden halten . Wenn etwas geändert oder [Gott bewahre] hinzugefügt wird, müssten wir unsere manuell aktualisieren, um dies widerzuspiegeln. - Bei unserem tatsächlichen Domainnamen beträgt die Länge des Datensatzes 260 Zeichen, was 2 Zeichenfolgen für den TXT-Eintrag erfordern würde, und ich vertraue ehrlich gesagt nicht darauf, dass alle DNS-Clients und SPF-Resolver einen TXT-Eintrag mit mehr als 255 Byte ordnungsgemäß akzeptieren .
quelle
include:spf.protection.outlook.com
(Neugierig, um ehrlich zu sein, noch nie gesehen, was Sie eingerichtet haben ... hat Ihnen das Portal gesagt, dass Sie all das setzen sollen?)include:outlook.com
, und dasspf.protection.outlook.com
sind Neuigkeiten für mich. Das Problem bleibt jedoch bestehen, da für diesen Datensatz immer noch 8 Suchvorgänge erforderlich sind und ich ihn auf 6 oder weniger reduzieren muss.Antworten:
Seit einiger Zeit hat Microsoft dieses Problem "behoben", indem alle Unterdatensätze entfernt und stattdessen 2 oder 3 "ptr" -Datensätze verwendet wurden:
Hier ist das Problem: Dies hilft Office 365-Clients zwar dabei, zu vermeiden, dass der PermError "Zu viele Suchvorgänge" unterschritten wird, indem jedoch jeder Mailserver auf der Welt gezwungen wird, (teure) PTR-Suchvorgänge für jede IP-Adresse durchzuführen, die eine Verbindung zu ihnen herstellt.
Gemäß SPF-Spezifikation :
quelle
Wir haben auch dieses Problem gefunden. Microsoft empfiehlt Ihnen, Office 365 ausschließlich für Ihre E-Mails zu verwenden, da derzeit kein Platz mehr zum Hinzufügen neuer Elemente vorhanden ist.
Wir haben uns in zweifacher Hinsicht darum gekümmert.
Erstens können wir DNS-Lookups reduzieren, indem wir die anderen Einträge als explizite IPv4-Einträge hinzufügen. Auf diese Weise können wir eine Reihe expliziter IPs hinzufügen, bevor wir
include:outlook.com
Zweitens haben wir unter unserer Hauptdomäne eine separate Unterdomäne für das Office 365-Material eingerichtet. Auf diese Weise erhalten E-Mails @ foo.company.com den Office 365-SPF und E-Mails @ comapny.com unseren normalen SPF. Es ist nicht perfekt, aber glücklicherweise können alle Orte, an denen wir Office 365 verwendet haben, E-Mail-Adressen innerhalb der Subdomain anstelle der Basisdomäne verwenden.
quelle