Les changements dans les enregistrements SPF prennent-ils du temps à se propager?

16

Je configure des enregistrements SPF pour mon domaine et n'obtiens pas les résultats que j'attends. Il est tout à fait possible que je fasse une sorte d'erreur, mais je voudrais d'abord demander: faut-il du temps pour que les modifications que j'apporte aux enregistrements SPF se propagent?

domain-name-system spf latency Daniel Griscom
la source
2
notez que certains caches DNS ignorent les TTL et mettent simplement en cache l'enregistrement aussi longtemps qu'ils le souhaitent. Ceci est cassé, mais n'est pas réparable car ces caches DNS cassés s'exécutent sur des machines sur lesquelles vous n'avez aucun contrôle.
cas
@cas les serveurs ne sont pas vraiment cassés tant que le concept de TTL pour DNS est incomplet et naïf. C'est le seul moyen de contrôler les abus et les niveaux de trafic. Cela ne signifie pas seulement que les serveurs ignorent le bon TTL, dans le cas où un TTL allongé leur a été transmis par un serveur en amont.
JamesRyan
1
@JamesRyan De nombreux résolveurs DNS ISP ignorent complètement les TTL qui leur sont remis. Il ne s'agit pas de leur donner un TTL plus long, mais de ne pas fonctionner selon les normes.
EEAA
@EEAA non, il s'agit d'un cas où la norme n'est pas utilisable dans le monde réel et une norme non officielle prend sa place par nécessité
JamesRyan
3
Toutes les modifications DNS prennent du temps à se propager, les enregistrements SPF n'ont rien de spécial. Ils se propagent exactement de la même manière que le reste du DNS.
Barmar

Réponses:

13

Oui, il peut y avoir une mise en cache ou d'autres retards selon la façon dont la zone est éditée ( nsupdateentraîne des changements assez immédiats, moins si certains frontaux Web parlent à une base de données qui peut éventuellement faire quelque chose pour mettre à jour une zone), comment la zone transfère sont effectués (le serveur DNS maître peut pousser les modifications, ou les esclaves peuvent à la place être configurés pour interroger périodiquement ce serveur pour les mises à jour), et si vous interrogez un serveur DNS faisant autorité ou autre chose qui aurait pu mettre en cache l' TXTenregistrement précédent en raison d'un précédent requête de votre client, et n'est donc pas au courant des modifications que le ou les serveurs maîtres peuvent déjà connaître.

Utilisez nslookupou digpour interroger différents serveurs (et vérifiez également le SOAnuméro de série, il devrait avoir sauté sur un changement, sinon, vous regardez d'anciennes données).

% dig +short @8.8.8.8 -t TXT google.com
"v=spf1 include:_spf.google.com ~all"
% dig +short @8.8.8.8 -t SOA google.com
ns2.google.com. dns-admin.google.com. 103585632 900 900 1800 60

Le TTLdu TXTdossier pourrait être une chose importante à savoir; la digsortie complète devrait inclure cela.

branler
la source
Intéressant. Le TTL de mon enregistrement TXT est de 14400 (4 heures), mais toujours chercher via Google montre les changements assez rapidement (bien en moins d'une minute). Votre digcommande à récupérer via les serveurs de Google est cependant ce dont j'avais besoin: merci.
Daniel Griscom
2
@DanielGriscom Gardez à l'esprit que "8.8.8.8" n'est pas une seule machine, mais plutôt un cluster global. Vous pouvez très bien frapper différents résolveurs à chaque fois, et chacun d'entre eux devra peut-être amorcer son cache séparément.
un CVn du
9

Tout d'abord, les enregistrements DNS ne se "propagent" pas, du moins dans un sens actif. Les enregistrements sont mis en cache sur différentes couches, et le retard dans la mise à jour des enregistrements est causé par l'attente que les enregistrements mis en cache expirent et soient récupérés à nouveau à partir des serveurs en amont.

Maintenant, pour votre question - oui, les enregistrements SPF sont des enregistrements DNS TXT et en tant que tels, la mise à jour peut prendre un certain temps.

EEAA
la source
L'attente des retards dans les couches d'enregistrements mis en cache en cours de mise à jour de la propagation IS!
JamesRyan
3
@JamesRyan Propagation implique qu'il existe un motif actif derrière la diffusion des enregistrements. Ce n'est pas le cas. Beaucoup de gens qui ne connaissent pas le DNS supposent qu'il y a une propagation active, c'est pourquoi j'ai inclus cette partie de ma réponse et aussi pourquoi j'ai qualifié la partie "active".
EEAA
1
@JamesRyan Je ne suis pas d'accord.
EEAA
2
Les gens, c'est pourquoi j'ai qualifié l'utilisation du terme "propager". Je comprends ce que disent les RFC DNS et je comprends ce que signifie la propagation. Je clarifiais le terme, car beaucoup trop de gens pensent qu'il signifie quelque chose qu'il ne signifie pas.
EEAA
1
@JamesRyan Vous êtes toujours libre de modifier les réponses pour clarifier.
EEAA
3

Si vous avez modifié l'enregistrement; dépend de votre TTL, consultez https://www.whatsmydns.net/ pour voir l'état de propagation à travers les serveurs communs dans le monde, sinon; cela dépend de votre cache négatif. Toutes ces informations font partie de l'enregistrement SOA, TTL peut être modifié par ligne.

Une autre bonne ressource est https://dmarcian.com/spf-survey/

Bonne chance.

Jacob Evans
la source