O registro SP365 do Office365 tem muitas pesquisas

Question

O registro SP365 do Office365 tem muitas pesquisas

#1 resposta do (3 votos)
#2 resposta do (1 votos)

11

Por algumas razões administrativas extremamente ridículas, temos um domínio dividido com uma caixa de correio no Office365, que exige que adicionemos include:outlook.com ao nosso registro SPF. O problema com isso é que essa regra sozinha requer nove pesquisas de DNS no máximo de 10.

Sério, é horrível. Basta olhar para isso:

v=spf1
include:spf-a.outlook.com
include:spf-b.outlook.com
ip4:157.55.9.128/25
include:spfa.bigfish.com
include:spfb.bigfish.com
include:spfc.bigfish.com
include:spf-a.hotmail.com
include:_spf-ssg-b.microsoft.com
include:_spf-ssg-c.microsoft.com
~all

Como temos nosso próprio sistema de e-mail grande, precisamos ter regras para a , mx , include:_spf1.mydomain.com e include:_spf2.mydomain.com , o que nos coloca em 13 pesquisas de DNS que causam PERMERROR s com validadores de SPF estritos e validação completamente não confiável / imprevisível com validadores não estritos / mal implementados.

É possível, de alguma forma, eliminar 3 dessas include: do registro bloated outlook.com, mas ainda cobrir os servidores usados pelo O365?

Editar:

Os comentaristas mencionaram que devemos simplesmente usar o registro spf.protection.outlook.com mais curto. Enquanto isso é notícia para mim, e é menor, é apenas um registro mais curto:

spf.protection.outlook.com
  include:spf-a.outlook.com
  include:spf-b.outlook.com
  include:spf-c.outlook.com
  include:spf.messaging.microsoft.com
    include:spfa.frontbridge.com
    include:spfb.frontbridge.com
    include:spfc.frontbridge.com

Editar²

Suponho que podemos tecnicamente reduzir isso a:

v=spf1 a mx include:_spf1.mydomain.com include:_spf2.mydomain.com include:spf-a.outlook.com include:spf-b.outlook.com include:spf-c.outlook.com include:spfa.frontbridge.com include:spfb.frontbridge.com include:spfc.frontbridge.com ~all

mas os possíveis problemas que vejo com isso são:

Precisamos acompanhar as alterações nos registros pai spf.protection.outlook.com e spf.messaging.microsoft.com . Se alguma coisa for alterada ou [god forbid] adicionado, teremos que atualizar manualmente o nosso para refletir isso.
Com nosso nome de domínio real, o tamanho do registro é de 260 caracteres, o que exigiria duas sequências para o registro TXT, e eu sinceramente não confio que todos os clientes DNS e resolvedores de SPF aceitarão um registro TXT por mais tempo de 255 bytes.

email spf microsoft-office-365

por Sammitch 31.10.2013 / 19:36

2 respostas

Tags email spf microsoft-office-365

Ubuntu: borked meu arquivo sudoers, como posso consertá-lo? Que serviço VNC você recomendaria?

score 3 · Answer 1

A partir de uma data recente, a Microsoft "corrigiu" esse problema, livrando-se de todos os sub-registros e usando 2 ou 3 registros "ptr":

$ dig TXT spf.protection.outlook.com
spf.protection.outlook.com. IN  TXT "v=spf1 ptr:protection.outlook.com ptr:o365filtering.com -all"

$ dig TXT spf.messaging.microsoft.com
spf.messaging.microsoft.com. IN TXT "v=spf1 ptr:protection.outlook.com ptr:messaging.microsoft.com ptr:o365filtering.com -all"

Este é o problema: embora isso ajude os clientes do Office 365 a evitar ficarem abaixo do "PermError de muitas pesquisas" ... isso é feito forçando todos os servidores de e-mail do mundo a fazer buscas de PTR (caras) para cada endereço IP que se conecta para eles.

De acordo com a especificação do SPF :

If at all possible, you should avoid using this mechanism in your SPF record, because it will result in a larger number of expensive DNS lookups.

score 1 · Answer 2

Encontramos também este problema. A Microsoft está encorajando você a usar o Office 365 exclusivamente para seu email, já que não há espaço para adicionar novos itens.

A forma como nos envolvemos foi dupla.

Primeiro, podemos reduzir as pesquisas de DNS adicionando as outras entradas como entradas explícitas de IPv4. Isso nos permite adicionar vários IPs explícitos antes de nós include:outlook.com

Em segundo lugar, configuramos um subdomínio separado em nosso domínio principal para o material do Office 365. Dessa forma, os emails @ foo.company.com obtêm o Office 365 SPF e os emails @ comapny.com obtêm o SPF normal. Não é perfeito, mas, felizmente, os locais onde usamos o Office 365 são todos capazes de usar endereços de e-mail dentro do subdomínio em vez do domínio base.