Comment puis-je avoir un enregistrement SPF de plus de 255 caractères?

16

Ainsi, j'ai eu l'impression que les entrées SPF individuelles devaient tenir dans 255 caractères, ou utiliser l' includeopérateur pour relier plusieurs entrées formant une chaîne. Cependant, RFC 4408 3.1.3. indique spécifiquement que plusieurs chaînes doivent être concaténées avant l'évaluation, elles IN TXT "v=spf1" " 1.2.3.4 -all"doivent donc être traitées de la même manière que IN TXT "v=spf1 1.2.3.4 -all". Notamment, cela permet des enregistrements SPF arbitrairement volumineux et includedevient un outil pour inclure un enregistrement SPF administré par quelqu'un d'autre.

Est-ce une interprétation correcte de la spécification? Plus important encore, les serveurs de messagerie actuels respecteraient-ils ce type d'enregistrement TXT à plusieurs chaînes?

duane
la source

Réponses:

20

Oui, vous l'interprétez correctement. J'ai récemment traité de cela.

Cet article m'a été utile:

Puis-je avoir un enregistrement TXT ou SPF de plus de 255 caractères?

Un exemple notable de ce concept dans la pratique serait le record SPF pour cisco.com au 25/02/2016:

> ;; QUESTION SECTION: ;cisco.com.                     IN      TXT
> 
> ;; ANSWER SECTION: cisco.com.              12775   IN      TXT    
> "926723159-3188410" cisco.com.              12775   IN      TXT    
> "v=spf1 ip4:173.37.147.224/27 ip4:173.37.142.64/26
> ip4:173.38.212.128/27 ip4:173.38.203.0/24 ip4:64.100.0.0/14
> ip4:72.163.7.160/27 ip4:72.163.197.0/24 ip4:144.254.0.0/16
> ip4:66.187.208.0/20 ip4:173.37.86.0/24" " ip4:64.104.206.0/24
> ip4:64.104.15.96/27 ip4:64.102.19.192/26 ip4:144.254.15.96/27
> ip4:173.36.137.128/26 ip4:173.36.130.0/24 mx:res.cisco.com
> mx:sco.cisco.com ~all" cisco.com.              12775   IN      TXT    
> "MS=ms65960035"

Assurez-vous simplement de tenir compte des espaces dans les enregistrements, comme vous l'avez déjà indiqué.

Gardez également à l'esprit que vous devez limiter le nombre de recherches DNS à 10 dans vos enregistrements par le RFC SPF :

Les implémentations SPF DOIVENT limiter le nombre de mécanismes et de modificateurs qui effectuent des recherches DNS à 10 au maximum par vérification SPF, y compris toutes les recherches provoquées par l'utilisation du mécanisme "include" ou du modificateur "redirect". Si ce nombre est dépassé lors d'une vérification, une PermError DOIT être retournée.

pat o.
la source
1
Au moins à compter du 2019-02-27, Cisco n'utilise plus d'enregistrements TXT à chaînes multiples pour SPF, mais utilise le chaînage d'enregistrements SPF à l'aide des instructions include. Pour les personnes intéressées, le chaînage d'enregistrements est expliqué ici: help.blacknight.com/hc/en-us/articles/… .
GHH