Catatan SPF Office365 memiliki terlalu banyak pencarian

11

Untuk beberapa alasan administrasi yang benar-benar konyol, kami memiliki domain terbagi dengan satu kotak surat di Office365 yang mengharuskan kami untuk menambah include:outlook.comcatatan SPF kami. Masalah dengan ini adalah bahwa aturan itu sendiri membutuhkan sembilan pencarian DNS dari maksimum 10.

Serius, ini mengerikan. Lihat saja:

v=spf1
include:spf-a.outlook.com
include:spf-b.outlook.com
ip4:157.55.9.128/25
include:spfa.bigfish.com
include:spfb.bigfish.com
include:spfc.bigfish.com
include:spf-a.hotmail.com
include:_spf-ssg-b.microsoft.com
include:_spf-ssg-c.microsoft.com
~all

Mengingat bahwa kita memiliki sistem mail yang besar-ish kita sendiri, kita perlu memiliki aturan untuk a, mx, include:_spf1.mydomain.com, dan include:_spf2.mydomain.comyang menempatkan kami di lookup 13 DNS yang menyebabkan PERMERRORs dengan validator SPF yang ketat, dan benar-benar tidak bisa diandalkan / tak terduga validasi dengan non-ketat / validator dilaksanakan buruk .

Apakah mungkin untuk menghilangkan 3 include:aturan tersebut dari catatan outlook.com yang membengkak, tetapi masih mencakup server yang digunakan oleh O365?

Edit:

Komentator telah menyebutkan bahwa kita harus menggunakan spf.protection.outlook.comcatatan yang lebih singkat . Sementara itu adalah berita bagi saya, dan itu adalah lebih pendek, itu hanya satu catatan pendek:

spf.protection.outlook.com
  include:spf-a.outlook.com
  include:spf-b.outlook.com
  include:spf-c.outlook.com
  include:spf.messaging.microsoft.com
    include:spfa.frontbridge.com
    include:spfb.frontbridge.com
    include:spfc.frontbridge.com

Edit²

Saya kira kita secara teknis dapat membagi ini ke:

v=spf1 a mx include:_spf1.mydomain.com include:_spf2.mydomain.com include:spf-a.outlook.com include:spf-b.outlook.com include:spf-c.outlook.com include:spfa.frontbridge.com include:spfb.frontbridge.com include:spfc.frontbridge.com ~all

tetapi potensi masalah yang saya lihat dengan ini adalah:

  1. Kami harus terus mengikuti setiap perubahan pada induk spf.protection.outlook.comdan spf.messaging.microsoft.comcatatan. Jika ada yang diubah atau [dilarang] ditambahkan, kita harus memperbarui secara manual untuk mencerminkannya.
  2. Dengan nama domain kami yang sebenarnya, panjang rekamannya adalah 260 karakter, yang akan membutuhkan 2 string untuk data TXT, dan saya benar-benar tidak percaya bahwa semua klien DNS dan penyelesai SPF di luar sana akan dengan benar menerima catatan TXT lebih dari 255 byte .
email spf microsoft-office-365 Sammitch
sumber
Tidak bisakah Anda menambahkan spf.protection.outlook.com untuk semua Office365? technet.microsoft.com/en-us/library/hh852557.aspx
Cold T
Mengapa bukan catatan SPF untuk O365 yang sederhana saat ini? include:spf.protection.outlook.com (penasaran jujur, tidak pernah melihat apa yang telah Anda setup ... apakah portal memberitahu Anda untuk meletakkan semua itu?)
TheCleaner
Semua dokumentasi yang saya temukan mengatakan untuk digunakan include:outlook.com, begitu spf.protection.outlook.comjuga berita kepada saya. Masalah sisa-sisa meskipun, karena itu record masih membutuhkan 8 lookup, dan saya perlu untuk mendapatkan itu ke 6 atau menurunkan.
Sammitch
Jangan lupa untuk menghitung dua pencarian PTR di bawah 'spfa.frontbridge.com'. Menurut RFC 7208 mereka juga menghitung hingga batas 10 pencarian. :(
Martijn Heemels

Jawaban:

3

Pada beberapa tanggal terakhir, Microsoft telah "memperbaiki" masalah ini dengan menyingkirkan semua sub-rekaman dan menggunakan 2 atau 3 catatan "ptr" sebagai gantinya:

$ dig TXT spf.protection.outlook.com
spf.protection.outlook.com. IN  TXT "v=spf1 ptr:protection.outlook.com ptr:o365filtering.com -all"

$ dig TXT spf.messaging.microsoft.com
spf.messaging.microsoft.com. IN TXT "v=spf1 ptr:protection.outlook.com ptr:messaging.microsoft.com ptr:o365filtering.com -all"

Inilah masalahnya: sementara ini akan membantu klien Office 365 menghindari tetap di bawah "Terlalu banyak pencarian" PermError ... ia melakukannya dengan memaksa setiap server surat di dunia untuk melakukan pencarian PTR (mahal) untuk setiap alamat IP yang menghubungkan mereka.

Per spesifikasi SPF :

Jika memungkinkan, Anda harus menghindari menggunakan mekanisme ini dalam catatan SPF Anda, karena itu akan menghasilkan lebih banyak pencarian DNS yang mahal.

John Hart
sumber
1
@ Chris - Saya memikirkannya juga, namun spesifikasi SPF menyatakan bahwa mekanisme "ptr:" harus diverifikasi kedua cara untuk DNS timbal balik - server email penerima harus terlebih dahulu melakukan PTR pada IP, dan kemudian melakukan A pada nama host yang dihasilkan, dan IP harus terdaftar dalam catatan A. Jadi saya tidak berpikir itu lubang keamanan, setidaknya tidak untuk menyesuaikan implementasi SPF.
John Hart
Ah, bagus temukan di sana. Saya tidak menyadari peringatan itu.
Chris S
1

Kami juga menemukan masalah ini. Microsoft 'mendorong' Anda untuk menggunakan Office 365 secara eksklusif untuk email Anda karena sekarang tidak ada ruang untuk menambahkan item baru.

Cara kami mengatasinya ada dua.

Pertama, kita dapat melakukan pencarian DNS dengan menambahkan entri lain sebagai entri IPv4 eksplisit. Ini memungkinkan kita menambahkan sejumlah IP eksplisit sebelum kitainclude:outlook.com

Kedua, kami menyiapkan subdomain terpisah di bawah domain utama kami untuk hal-hal Office 365. Dengan cara ini, email @ foo.company.com mendapatkan Office 365 SPF, dan email @ comapny.com mendapatkan SPF normal kami. Itu tidak sempurna, tetapi untungnya tempat-tempat di mana kami telah menggunakan Office 365 semuanya dapat menggunakan alamat email dalam subdomain daripada domain basis.

Steve Shipway
sumber