Erro permanente no PermError SPF: o limite de pesquisa nula de 2 excedeu

13

Estou tentando configurar o SPF em um servidor - o correio funciona bem e valida de acordo com o mxtoolbox e outras verificações on-line, mas quando eu o verifico usando http://www.kitterman.com/spf/validate.html , recebo um erro:

PermError SPF Permanent Error: Void lookup limit of 2 exceeded

Estou ciente de um limite de 10 pesquisas, mas nunca vi esse erro antes.

O registro SPF é:

v=spf1 a mx ip4:IP1 ip4:IP2 ip6:IP3 include:spf-a.outlook.com 
include:spf-b.outlook.com include:spf-c.outlook.com 
include:spf.messaging.microsoft.com include:_spf.zdsys.com 
include:spf.mail.intercom.io -all

A que se refere o limite de pesquisa nula?

domain-name-system spf bhttoan
fonte

Respostas:

13

O limite de pesquisa nula foi introduzido no RFC 7208 e refere-se a pesquisas de DNS que retornam uma resposta vazia (NOERROR sem respostas) ou uma resposta NXDOMAIN. Essa é uma contagem separada da contagem geral de 10 pesquisas de DNS.

Conforme descrito no final da Seção 11.1 , pode haver casos em que é útil limitar o número de "termos" para os quais as consultas DNS retornam uma resposta positiva (RCODE 0) com uma contagem de respostas 0 ou um "Erro de nome "(RCODE 3) resposta. Às vezes, eles são chamados coletivamente de "pesquisas nulas". Implementações de SPF DEVEM limitar "pesquisas nulas" a duas. Uma implementação pode optar por tornar esse limite configurável. Nesse caso, um padrão de dois é RECOMENDADO. Exceder o limite produz um resultado "permerror".

Isso tem como objetivo ajudar a impedir que registros SPF errôneos ou mal-intencionados contribuam para um ataque de negação de serviço baseado em DNS.

No seu caso, a parte problemática parece ser:

include:spf.messaging.microsoft.com

Seu registro SPF é:

v=spf1 ptr:protection.outlook.com ptr:messaging.microsoft.com ptr:o365filtering.com -all

Todos os três desses registros, se consultados, retornam NOERROR sem registros ou NXDOMAIN.

Como três registros não retornaram nada, você excedeu o limite de pesquisa nula de 2 e o registro SPF falha.

Michael Hampton
fonte
Perfeito, obrigado, eu verifiquei e tem um registro SPF atualizado para o Office 365 e em cima de usar que o erro tem ido
bhttoan
Ótima informação. Qual é uma boa maneira de pesquisar os registros para ver o que eles retornam? Eu preciso descobrir qual dos meus é o problema.
mlissner
@mlissner Existem muitos sites validadores de SPF online que você pode experimentar.
Michael Hampton
Descobri que, pelo menos no caso da python-spfimplementação, as pesquisas realizadas dependem da validação do endereço IP e, portanto, o número de consultas que retornam nenhum registro varia. Desde o proprietário do domínio não tem controle sobre quais endereços IP terá de ser validado conseqüência disso é que qualquer aou mxespecificação no registro SPF deve apontar apenas para nomes de dupla pilha, a fim de evitar erros desnecessários.
kasperd