Sebagai penyedia hosting, kami mengirim email atas nama klien kami, jadi kami membantu mereka mengatur catatan email DKIM dan SPF dalam DNS mereka untuk mendapatkan pengiriman email yang tepat. Kami telah menyarankan mereka untuk menggunakan http://mail-tester.com untuk menguji bahwa mereka tidak melewatkan apa pun, dan saya sangat menyukai alat ini.
Satu masalah yang kami alami beberapa kali, dan saya tidak yakin, adalah "batas" DNS pada catatan SPF berdasarkan nama domain. Jadi, jika Anda memiliki ini:
v=spf1 a include:aspmx.googlemail.com include:campaignmonitor.com include:authsmtp.com include:mail.zendesk.com include:salesforce.com include:_hostedspf.discourse.org ~all
Anda akan mendapatkannya
example.com ... campaignmonitor.com: Maximum DNS-interactive term limit (10) exceeded
Seperti itu:
Saya punya beberapa pertanyaan tentang ini.
Saya menghitung enam nama domain di sini, bukan 10, jadi mengapa itu memukul "sepuluh" permintaan DNS di sini?Dijawab di siniApakah 10 istilah interaktif DNS ini membatasi peringatan atau kesalahan nyata ? misalnya apakah kita harus peduli? Ini sedikit mengganggu pelanggan kami dan mereka mengirim email kepada kami untuk dukungan.Dijawab di siniApakah batas istilah interaktif 10 DNS ini merupakan masalah nyata di web saat ini? Seperti yang Anda lihat, pelanggan ini memiliki banyak layanan mengirim email untuk mereka dan mereka semua sah. Mungkin batas DNS ini ditetapkan pada tahun 2000 ketika mendelegasikan layanan email seperti ini tidak umum?
Ya, kami dapat meminta pelanggan mengubah cantuman ke IP dalam catatan SPF tapi itu membuat kami terikat jika kami pernah mengubah IP, banyak barang pelanggan akan pecah. Benar-benar tidak ingin melakukan itu ..
Penanganan apa yang ada untuk ini?
sumber
Jawaban:
Sebagian besar sudah dijawab, harap dicatat bahwa Google dengan cara ini salah - Anda ingin menggunakan
_spf.google.com
atau dikenakan penalti untuk pengalihan:Pencarian itu akan mengkonsumsi 5/10 semuanya sendiri - 4/10 masih menyebalkan tetapi 20% lebih sedikit.
Ini akan berhenti memproses dan mengembalikan kesalahan permanen - terserah mesin menggunakan SPF untuk memutuskan bagaimana ia ingin memperlakukan kesalahan permanen.
Ya - tanpa batas pemrosesan, mekanisme SPF dapat digunakan sebagai penguat DoS terhadap pihak ketiga atau pihak kedua.
Sebagai solusinya, email dapat berasal dari subdomain dari properti utama -
community.largecorporation.com
misalnya.sumber
d=subdomain.example.com
, itu akan baik-baik saja. Dalam teori. Lebih baik mengujinya!Dengan asumsi bahwa redundansi (seperti beberapa referensi
_spf.google.com
dan catatan yang merujuknya) hanya dihitung satu kali, saya menghitung 17 pencarian dari titik di mana Anda sudah melihat catatan awal. (Lihat di bawah.)Itu menolak untuk mencari semua catatan yang diperlukan untuk mengevaluasi catatan SPF Anda karena itu akan "terlalu banyak bekerja". Agaknya ini berarti akan memperlakukan domain Anda seolah-olah tidak memiliki catatan SPF (atau mungkin menolaknya). Spesifikasi mengatakan bahwa ini menghasilkan permerror , yang membuatnya cukup terbuka bagi penerima untuk memutuskan apa yang harus dilakukan .
Saya pikir pelecehan telah naik daripada turun, secara umum. Batas ini tampaknya dimaksudkan untuk menggagalkan domain pengirim yang kasar yang mungkin dapat membanjiri penerima dengan rantai SPF yang sangat besar, yang berpotensi mengarah ke DoS.
Saya pikir walaupun outsourcing email adalah hal biasa, sebenarnya tidak umum untuk melakukan outsourcing email ke enam penyedia berbeda. Anda harus mengoptimalkan catatan SPF entah bagaimana.
(Untuk satu hal, referensi untuk
aspmx.googlemail.com
tampak boros karena itu langsung dialihkan ke nama yang berbeda.)sumber
Karena jawaban yang diterima untuk salah satu pertanyaan terkait memperjelas, banyak alat yang mendasari untuk sistem UNIX memang memberlakukan batas ini (meskipun tidak semua dengan cara yang persis sama) sehingga setiap implementasi SPF yang menggunakannya - yang hampir semuanya ada di UNIX - akan menegakkan batasan itu juga. Sistem Windows adalah hukum bagi diri mereka sendiri, dan saya tidak bisa menjelaskannya.
Solusinya adalah memiliki pekerjaan cron yang mengevaluasi rantai catatan SPF Anda yang di-outsourcing-kan, menyatakan semuanya sebagai ipv4 dan ipv6 netblock, dan membuatnya menjadi catatan Anda. Jangan lupakan
-all
.Dalam kasus Anda, Anda ingin pelanggan dapat mempublikasikan catatan SPF yang kemudian tidak perlu mereka pertahankan. Salah satu kemungkinan adalah meminta setiap pelanggan menerbitkan catatan yang berisi
redirect=spf.client1.jeffs-company.example
, dan Anda kemudian melakukan kerja keras untuk mempertahankan daftar netblock dijeffs-company.example
.Batasnya memang membuat sulit untuk melakukan outsourcing email ke enam atau tujuh operasi besar; tetapi bisa dibilang jika Anda melakukan itu Anda memiliki untuk semua tujuan praktis kehilangan kendali atas email Anda pula.
Di suatu tempat, suatu hari nanti, beberapa programmer sub-subkontrak yang keberadaannya Anda benar-benar tidak sadar dan siapa yang Anda tidak memiliki kontrol akan salah menempatkan koma, dan satu ton email palsu akan dikirim dengan imprimatur SPF Anda tepat di atasnya. Kontrol penuh atas email Anda memerlukan kontrol penuh atas infrastruktur email Anda, dan itu menurut saya sepenuhnya tidak konsisten dengan banyak outsourcing.
sumber
Cara lain untuk mengatasi masalah tersebut adalah dengan melihat perangkat lunak mana yang digunakan untuk memeriksa pengaturan SPF. Dalam kasus saya ini cluebringer / PolicyD, yang digunakan
Mail::SPF::Server
pada akhirnya dan yang menerima argumen yang meringankan batasan yang sulit dikodekan. Masalahnya adalah cluebringer itu sendiri tidak mendukung argumen-argumen tersebut saat ini , tetapi itu mungkin akan berubah di masa depan dan orang mungkin dapat dengan mudah memberi tahu penyedia layanan penerima tentang kemungkinan-kemungkinan untuk mengendurkan pengaturan mereka.Jika mereka memutuskan untuk melakukannya tentu saja di luar kendali orang, tetapi setidaknya itu kesempatan.
sumber