Wie kann ich einen SPF-Datensatz mit mehr als 255 Zeichen erstellen?

16

Ich hatte also den Eindruck, dass einzelne SPF-Einträge in 255 Zeichen passen mussten, oder den includeOperator verwenden, um mehrere Einträge zu einer Kette zusammenzufügen. RFC 4408 3.1.3. Konkret heißt es, dass mehrere Zeichenfolgen vor der Auswertung verkettet werden IN TXT "v=spf1" " 1.2.3.4 -all"müssen und daher genauso behandelt werden müssen wie IN TXT "v=spf1 1.2.3.4 -all". Dies ermöglicht insbesondere beliebig große SPF-Datensätze und includewird zu einem Tool zum Einschließen eines SPF-Datensatzes, der von einer anderen Person verwaltet wird.

Ist das eine korrekte Interpretation der Spezifikation? Was noch wichtiger ist: Würden aktuelle Mailserver diesen TXT-Datensatz mit mehreren Zeichenfolgen einhalten?

duane
quelle

Antworten:

20

Ja, Sie interpretieren es richtig. Ich habe mich kürzlich damit befasst.

Dieser Artikel war hilfreich für mich:

Kann ich einen TXT- oder SPF-Eintrag mit mehr als 255 Zeichen erstellen?

Ein bemerkenswertes Beispiel für dieses Konzept in der Praxis wäre der SPF-Datensatz für cisco.com vom 25.02.2016:

> ;; QUESTION SECTION: ;cisco.com.                     IN      TXT
> 
> ;; ANSWER SECTION: cisco.com.              12775   IN      TXT    
> "926723159-3188410" cisco.com.              12775   IN      TXT    
> "v=spf1 ip4:173.37.147.224/27 ip4:173.37.142.64/26
> ip4:173.38.212.128/27 ip4:173.38.203.0/24 ip4:64.100.0.0/14
> ip4:72.163.7.160/27 ip4:72.163.197.0/24 ip4:144.254.0.0/16
> ip4:66.187.208.0/20 ip4:173.37.86.0/24" " ip4:64.104.206.0/24
> ip4:64.104.15.96/27 ip4:64.102.19.192/26 ip4:144.254.15.96/27
> ip4:173.36.137.128/26 ip4:173.36.130.0/24 mx:res.cisco.com
> mx:sco.cisco.com ~all" cisco.com.              12775   IN      TXT    
> "MS=ms65960035"

Stellen Sie einfach sicher, dass Sie Leerzeichen in den Datensätzen berücksichtigen, wie Sie bereits angegeben haben.

Beachten Sie außerdem, dass Sie die Anzahl der DNS-Suchvorgänge in Ihren Datensätzen gemäß SPF-RFC auf 10 begrenzen müssen :

SPF-Implementierungen MÜSSEN die Anzahl der Mechanismen und Modifikatoren, die DNS-Lookups durchführen, auf höchstens 10 pro SPF-Check begrenzen, einschließlich aller Lookups, die durch die Verwendung des "include" -Mechanismus oder des "redirect" -Modifikators verursacht werden. Wird diese Anzahl bei einer Überprüfung überschritten, MUSS ein PermError zurückgegeben werden.

pat o.
quelle
1
Zumindest ab dem 27.02.2019 verwendet Cisco keine TXT-Datensätze mit mehreren Zeichenfolgen mehr für SPF, sondern verwendet die Verkettung von SPF-Datensätzen mithilfe von include-Anweisungen. Für Interessierte wird die Verkettung von Datensätzen hier erklärt: help.blacknight.com/hc/en-us/articles/… .
GHH