Чи добре мати кілька TXT-записів для одного домену, що містять різні записи SPF?

17

Віддалений домен одержувача відхиляє пошту на підставі SPF, і я думаю, що це тому, що відправник має SPF налаштований неправильно.

Коли я запускаю копати, я бачу: 

[fooadm@box ~]# dig @8.8.8.8 -t TXT foosender.com

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.6 <<>> @8.8.8.8 -t TXT foosender.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30608
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;foosender.com.              IN      TXT

;; ANSWER SECTION:
foosender.com.       14039   IN      TXT     "v=spf1 include:spf.foo1.com -all"
foosender.com.       14039   IN      TXT     "v=spf1 include:_spf.bob.foo2.com -all"

;; Query time: 26 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Jan  7 09:45:38 2014
;; MSG SIZE  rcvd: 146

Це правильна установка? Мені здається дивним, що є два окремі записи (кожен із важкими помилками). Чи не повинно все бути в одному записі?

Я б очікував, що правильний запис TXT буде:

v=spf1 include:spf.foo1.com include:_spf.bob.foo2.com -all

domain-name-system  email  spf 
Майк Б
джерело

Відповіді:

20

Ні. Ви праві. Див. RFC 4408, розділ 4.5 .

  1. Записи, які не починаються з розділу версії точно "v = spf1", відкидаються. Зауважте, що розділ версії закінчується символом SP або кінцем запису. Запис із розділом версії "v = spf10" не відповідає і повинен бути відкинутий.

  2. Якщо в наборі є будь-які записи типу SPF, то всі записи типу TXT відкидаються.

    Після вищезазначених кроків повинен залишитися рівно один запис, і оцінка може продовжуватися. Якщо залишилося два або більше записів, тоді check_host () виходить негайно з результатом "PermError".

    Якщо відповідні записи не повертаються, клієнт SPF ПОВИНЕН припустити, що домен не робить декларацій SPF. Обробка SPF ОБОВ'ЯЗКОВО зупиниться та
    повернеться "None".

дмурати
джерело
2
Станом на квітень 2014 року існує RFC 7208, який застаріває RFC 4408. Записи типу SPF були вилучені на користь тих типів TXT SPF records MUST be published as a DNS TXT (type 16) Resource Record (RR) [RFC1035] only.(див. RFC 7208, розділ 3.1 ). Я буду спробувати нову відповідь на основі цього.
JHoffmann
4

Ця настройка SPF недійсна. Якщо знайдено кілька записів, вибір запису повинен призвести до помилки. Дивіться RFC 7208, розділ 4.5 про вибір записів:

Якщо результуючий набір записів включає більше одного запису, check_host () видає результат "permerror".

JHoffmann
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.