Como posso ter um registro SPF com mais de 255 caracteres?

16

Portanto, tenho a impressão de que as entradas individuais do SPF precisavam caber em 255 caracteres ou usar o operador include para vincular várias entradas formando uma cadeia. No entanto, RFC 4408 3.1.3. especificamente declara que várias strings devem ser concatenadas antes da avaliação - portanto, IN TXT "v=spf1" " 1.2.3.4 -all" deve ser tratado da mesma forma que IN TXT "v=spf1 1.2.3.4 -all" . Notavelmente, isso permite registros SPF arbitrariamente grandes e include se torna uma ferramenta para incluir um registro SPF que outra pessoa administra.

Esta é uma interpretação correta da especificação? Mais importante, os servidores de e-mail atuais respeitariam esse tipo de registro TXT de várias sequências?

    
por duane 25.02.2016 / 20:20

1 resposta

20

Sim, você está interpretando corretamente. Eu recentemente lidei com isso.

Este artigo foi útil para mim:

Posso ter um registro TXT ou SPF com mais de 255 caracteres?

Um exemplo notável desse conceito na prática seria o registro do SPF para cisco.com em 25/02/2016:

> ;; QUESTION SECTION: ;cisco.com.                     IN      TXT
> 
> ;; ANSWER SECTION: cisco.com.              12775   IN      TXT    
> "926723159-3188410" cisco.com.              12775   IN      TXT    
> "v=spf1 ip4:173.37.147.224/27 ip4:173.37.142.64/26
> ip4:173.38.212.128/27 ip4:173.38.203.0/24 ip4:64.100.0.0/14
> ip4:72.163.7.160/27 ip4:72.163.197.0/24 ip4:144.254.0.0/16
> ip4:66.187.208.0/20 ip4:173.37.86.0/24" " ip4:64.104.206.0/24
> ip4:64.104.15.96/27 ip4:64.102.19.192/26 ip4:144.254.15.96/27
> ip4:173.36.137.128/26 ip4:173.36.130.0/24 mx:res.cisco.com
> mx:sco.cisco.com ~all" cisco.com.              12775   IN      TXT    
> "MS=ms65960035"

Apenas certifique-se de considerar os espaços nos registros, como você já indicou.

Além disso, lembre-se de que você precisa limitar o número de pesquisas de DNS a 10 em seus registros de acordo com o SPF RFC :

SPF implementations MUST limit the number of mechanisms and modifiers that do DNS lookups to at most 10 per SPF check, including any lookups caused by the use of the "include" mechanism or the "redirect" modifier. If this number is exceeded during a check, a PermError MUST be returned.

    
por 25.02.2016 / 20:29