Nehmen Änderungen in SPF-Datensätzen Zeit in Anspruch, um sie zu verbreiten?

16

Ich richte SPF-Einträge für meine Domain ein und erhalte nicht die erwarteten Ergebnisse. Es ist durchaus möglich, dass ich einen Fehler mache, aber zuerst möchte ich fragen: Brauchen die Änderungen, die ich an SPF-Datensätzen vornehme, Zeit, um sie zu verbreiten?

Daniel Griscom
quelle
2
Beachten Sie, dass einige DNS-Caches TTLs ignorieren und den Datensatz nur so lange zwischenspeichern, wie sie möchten. Dies ist fehlerhaft, kann jedoch nicht behoben werden, da diese fehlerhaften DNS-Caches auf Computern ausgeführt werden, über die Sie keine Kontrolle haben.
cas
@cas die Server sind nicht wirklich kaputt, da das gesamte Konzept von TTL für DNS unvollständig und naiv ist. Nur so können Missbrauch und Verkehrsaufkommen kontrolliert werden. Dies bedeutet nicht nur, dass Server die richtige TTL ignorieren, in Fällen, in denen ihnen eine verlängerte TTL von einem Upstream-Server übergeben wurde.
James Ryan
1
@JamesRyan Viele, viele ISP-DNS-Resolver ignorieren die übergebenen TTLs vollständig. Dies ist nicht der Fall, wenn ihnen eine längere TTL zugewiesen wird, sondern wenn sie nicht gemäß den Standards arbeiten.
EEAA
@EEAA nein, es ist ein Fall, in dem der Standard nicht in der realen Welt verwendbar ist und eine inoffizielle Norm, die durch die Notwendigkeit ersetzt wird
JamesRyan
3
Alle DNS-Änderungen brauchen Zeit, um sich zu verbreiten. SPF-Einträge haben nichts Besonderes. Sie verbreiten sich genauso wie der Rest des DNS.
Barmar,

Antworten:

13

Ja, je nachdem, wie die Zone bearbeitet wird, kann es zu Caching- oder anderen Verzögerungen kommen (dies nsupdateführt zu relativ sofortigen Änderungen, weniger dann, wenn ein Web-Front-End mit einer Datenbank kommuniziert, die möglicherweise irgendwann etwas zur Aktualisierung einer Zone unternimmt) abgeschlossen sind (der Master-DNS-Server kann Änderungen übertragen, oder die Slaves können stattdessen so konfiguriert werden, dass sie diesen Server regelmäßig nach Aktualisierungen abfragen) und ob Sie einen autorisierenden DNS-Server oder etwas anderes abfragen, das den vorherigen TXTDatensatz aufgrund eines vorherigen zwischengespeichert hat fragen Sie Ihren Client ab und sind sich daher der Änderungen nicht bewusst, über die die Master-Server möglicherweise bereits informiert sind.

Verwenden Sie nslookupoder dig, um verschiedene Server abzufragen (und überprüfen Sie auch die SOASeriennummer, da diese bei einer Änderung möglicherweise unleserlich geworden ist. Andernfalls werden alte Daten angezeigt).

% dig +short @8.8.8.8 -t TXT google.com
"v=spf1 include:_spf.google.com ~all"
% dig +short @8.8.8.8 -t SOA google.com
ns2.google.com. dns-admin.google.com. 103585632 900 900 1800 60

Das TTLin der TXTAkte könnte eine wichtige Sache sein, um zu wissen; Die volle digAusgabe sollte das beinhalten.

Thrig
quelle
Interessant. Die TTL meines TXT-Datensatzes beträgt 14400 (4 Stunden), aber beim Abrufen über Google werden Änderungen relativ schnell (innerhalb einer Minute) angezeigt. Ihr digBefehl zum Abrufen über die Google-Server war jedoch genau das, was ich brauchte: Vielen Dank.
Daniel Griscom
2
@DanielGriscom Beachten Sie, dass "8.8.8.8" keine einzelne Maschine ist, sondern ein globaler Cluster. Möglicherweise treffen Sie jedes Mal unterschiedliche Resolver, und jeder von ihnen muss möglicherweise seinen Cache separat entlüften.
ein Lebenslauf vom
9

Zunächst einmal "verbreiten" sich DNS-Einträge zumindest in einem aktiven Sinne nicht. Datensätze werden auf verschiedenen Ebenen zwischengespeichert, und die Verzögerung beim Aktualisieren von Datensätzen wird dadurch verursacht, dass darauf gewartet wird, dass zwischengespeicherte Datensätze ablaufen und erneut von Upstream-Servern abgerufen werden.

Nun zu Ihrer Frage: Ja, SPF-Einträge sind DNS-TXT-Einträge. Daher kann die Aktualisierung einige Zeit in Anspruch nehmen.

EEAA
quelle
Das Warten auf Verzögerungen in den Schichten der zwischengespeicherten Datensätze, die aktualisiert werden, ist die Weitergabe!
James Ryan
3
@JamesRyan Propagation impliziert, dass die Verbreitung von Datensätzen ein aktives Motiv hat. Das ist nicht der Fall. Viele Leute, die mit DNS nicht vertraut sind, gehen davon aus, dass es eine aktive Verbreitung gibt. Deshalb habe ich diesen Teil meiner Antwort aufgenommen und auch den "aktiven" Teil qualifiziert.
EEAA
1
@ James Ryan Ich bin anderer Meinung.
EEAA
2
Leute, deshalb habe ich die Verwendung des Begriffs "verbreiten" qualifiziert. Ich verstehe, was die DNS-RFCs sagen, und ich verstehe, was Ausbreitung bedeutet. Ich habe den Begriff klargestellt, da zu viele Leute annehmen, dass er etwas bedeutet, was er nicht bedeutet.
EEAA
1
@JamesRyan Sie können die Antworten jederzeit bearbeiten, um sie zu klären.
EEAA
3

Wenn Sie den Datensatz geändert haben; Wenn dies nicht der Fall ist, können Sie unter https://www.whatsmydns.net/ den Übertragungsstatus auf allen gängigen Servern weltweit anzeigen. es hängt von deinem negativen Cache ab. Alle diese Informationen sind Teil des SOA-Datensatzes. Die TTL kann zeilenweise geändert werden.

Eine weitere gute Ressource ist https://dmarcian.com/spf-survey/

Viel Glück.

Jacob Evans
quelle