PermError SPF Permanenter Fehler: Void-Lookup-Limit von 2 überschritten

13

Ich versuche, SPF auf einem Server einzurichten - E-Mail funktioniert einwandfrei und wird gemäß mxtoolbox und anderen Online-Überprüfungen überprüft. Wenn ich es mithilfe von http://www.kitterman.com/spf/validate.html überprüfe, erhalte ich eine Fehlermeldung:

PermError SPF Permanent Error: Void lookup limit of 2 exceeded

Ich kenne ein Limit von 10 Suchvorgängen, habe diesen Fehler jedoch noch nicht gesehen.

SPF-Datensatz ist:

v=spf1 a mx ip4:IP1 ip4:IP2 ip6:IP3 include:spf-a.outlook.com 
include:spf-b.outlook.com include:spf-c.outlook.com 
include:spf.messaging.microsoft.com include:_spf.zdsys.com 
include:spf.mail.intercom.io -all

Worauf bezieht sich das Void-Lookup-Limit?

domain-name-system spf bhttoan
quelle

Antworten:

13

Das Void-Lookup-Limit wurde in RFC 7208 eingeführt und bezieht sich auf DNS-Lookups, die entweder eine leere Antwort (NOERROR ohne Antworten) oder eine NXDOMAIN-Antwort zurückgeben. Dies ist eine separate Zählung von der Gesamtzählung der 10 DNS-Suchvorgänge.

Wie am Ende von Abschnitt 11.1 beschrieben , kann es Fälle geben, in denen es nützlich ist, die Anzahl der "Begriffe" zu begrenzen, für die DNS-Abfragen entweder eine positive Antwort (RCODE 0) mit einer Antwortanzahl von 0 oder einen "Namensfehler" zurückgeben "(RCODE 3) antworte. Diese werden manchmal gemeinsam als "Leersuchen" bezeichnet. SPF-Implementierungen sollten "void lookups" auf zwei beschränken. Eine Implementierung KANN sich dafür entscheiden, ein solches Limit konfigurierbar zu machen. In diesem Fall wird eine Standardeinstellung von zwei EMPFOHLEN. Das Überschreiten des Limits führt zu einem "permerror" -Ergebnis.

Dies soll verhindern, dass fehlerhafte oder böswillige SPF-Einträge zu einem DNS-basierten Denial-of-Service-Angriff beitragen.

In Ihrem Fall scheint der problematische Teil zu sein:

include:spf.messaging.microsoft.com

Sein SPF-Datensatz lautet:

v=spf1 ptr:protection.outlook.com ptr:messaging.microsoft.com ptr:o365filtering.com -all

Wenn alle drei Datensätze nachgeschlagen werden, wird entweder NOERROR ohne Datensätze oder NXDOMAIN zurückgegeben.

Da drei Datensätze nichts zurückgaben, haben Sie die Leersuchgrenze von 2 überschritten, und der SPF-Datensatz schlägt fehl.

Michael Hampton
quelle
Perfekt, danke. Ich habe nachgeprüft und einen aktualisierten SPF-Datensatz für Office 365 erhalten. Bei der Verwendung ist der Fehler
behoben
Tolle Infos. Was ist eine gute Möglichkeit, die Datensätze nachzuschlagen, um zu sehen, was sie zurückgeben? Ich muss herausfinden, welches von mir das Problem ist.
mlissner
@mlissner Es gibt viele Online-SPF-Validator-Websites, die Sie ausprobieren können.
Michael Hampton
Ich habe festgestellt, dass zumindest im Fall der python-spfImplementierung die durchgeführten Suchvorgänge von der zu überprüfenden IP-Adresse abhängen und daher die Anzahl der Abfragen, die keinen Datensatz zurückgeben, variiert. Da der Domaininhaber müssen keine Kontrolle darüber , welche IP - Adressen auf eine Folge , dass überprüft werden, dass jeder aoder mxSpezifikation in dem SPF - Eintrag nur auf Dual - Stack - Namen , um unechte Fehler zu vermeiden verweisen.
Kasperd