Como posso ter um registro SPF com mais de 255 caracteres?

16

Portanto, fiquei com a impressão de que entradas SPF individuais precisavam caber em 255 caracteres ou usar o includeoperador para vincular várias entradas formando uma cadeia. No entanto, RFC 4408 3.1.3. afirma especificamente que várias seqüências de caracteres devem ser concatenadas antes da avaliação - portanto, IN TXT "v=spf1" " 1.2.3.4 -all"devem ser tratadas da mesma forma que IN TXT "v=spf1 1.2.3.4 -all". Notavelmente, isso permite registros SPF arbitrariamente grandes e includese torna uma ferramenta para incluir um registro SPF que outra pessoa administra.

Essa é uma interpretação correta das especificações? Mais importante, os servidores de correio atuais respeitariam esse tipo de registro TXT com várias seqüências?

domain-name-system spf duane
fonte

Respostas:

20

Sim, você está interpretando corretamente. Eu lidei recentemente com isso.

Este artigo foi útil para mim:

Posso ter um registro TXT ou SPF com mais de 255 caracteres?

Um exemplo notável desse conceito na prática seria o registro SPF do cisco.com a partir de 25/2/2016:

> ;; QUESTION SECTION: ;cisco.com.                     IN      TXT
> 
> ;; ANSWER SECTION: cisco.com.              12775   IN      TXT    
> "926723159-3188410" cisco.com.              12775   IN      TXT    
> "v=spf1 ip4:173.37.147.224/27 ip4:173.37.142.64/26
> ip4:173.38.212.128/27 ip4:173.38.203.0/24 ip4:64.100.0.0/14
> ip4:72.163.7.160/27 ip4:72.163.197.0/24 ip4:144.254.0.0/16
> ip4:66.187.208.0/20 ip4:173.37.86.0/24" " ip4:64.104.206.0/24
> ip4:64.104.15.96/27 ip4:64.102.19.192/26 ip4:144.254.15.96/27
> ip4:173.36.137.128/26 ip4:173.36.130.0/24 mx:res.cisco.com
> mx:sco.cisco.com ~all" cisco.com.              12775   IN      TXT    
> "MS=ms65960035"

Apenas certifique-se de ter em conta os espaços nos registros, como você já indicou.

Além disso, lembre-se de que você precisa limitar o número de pesquisas de DNS para 10 em seus registros por RFC do SPF :

As implementações de SPF DEVEM limitar o número de mecanismos e modificadores que fazem pesquisas de DNS a no máximo 10 por verificação de SPF, incluindo quaisquer pesquisas causadas pelo uso do mecanismo "incluir" ou do modificador "redirecionar". Se esse número for excedido durante uma verificação, um PermError DEVE ser retornado.

Pato.
fonte
11
Pelo menos a partir de 27/02/2019, a Cisco não usa mais registros TXT de várias cadeias de caracteres para SPF, mas usa o encadeamento de registros SPF usando instruções de inclusão. Para os interessados, o encadeamento de registros é explicado aqui: help.blacknight.com/hc/en-us/articles/… .
GHH