Obter lista de IPs de um registro SPF

2

Fazemos verificações de SPF em nosso servidor de e-mail, eu tenho um incidente em que o e-mail do MimeCast às vezes passa e, em seguida, outras pessoas falham na verificação do SPF.

Os estados do registro spf do domínio em questão

v=spf1 include:spf.protection.outlook.com include:_netblocks.mimecast.com -all

Se eu fizer um whois no IP, é um IP do Mimecast

Minha pergunta é como posso consultar _netblocks.mimecast.com para obter uma lista de IPs para que eu possa solucionar problemas

    
por Sl33py 22.11.2017 / 10:36

1 resposta

2

Você descobriu que muitas organizações fornecem registros SPF que são, eles próprios, compostos de registros SPF. Quando fazemos dig txt _netblocks.mimecast.com , obtemos

;; ANSWER SECTION:
_netblocks.mimecast.com. 300    IN      TXT     "v=spf1 include:eu._netblocks.mimecast.com include:us._netblocks.mimecast.com include:za._netblocks.mimecast.com include:au._netblocks.mimecast.com ~all"

Cada uma delas pode ser pesquisada semelhantemente , com por exemplo, dig txt eu._netblocks.mimecast.com para obter os dados IP brutos:

;; ANSWER SECTION:
eu._netblocks.mimecast.com. 300 IN      TXT     "v=spf1 ip4:195.130.217.0/24 ip4:91.220.42.0/24 ip4:146.101.78.0/24 ip4:207.82.80.0/24 ip4:213.167.81.0/24 ip4:213.167.75.0/24 ip4:185.58.84.0/22 ~all"

O registro do Outlook é um pouco mais irritante (há uma surpresa), pois está aninhado:

[me@risby ~]$ dig txt spf.protection.outlook.com
[...]
spf.protection.outlook.com. 586 IN      TXT     "v=spf1 ip4:207.46.101.128/26 ip4:207.46.100.0/24 ip4:207.46.163.0/24 ip4:65.55.169.0/24 ip4:157.56.110.0/23 ip4:157.55.234.0/24 ip4:213.199.154.0/24 ip4:213.199.180.128/26 include:spfa.protection.outlook.com -all"

spfa por sua vez include s spfb , mas esse é o último, por isso pode parar de procurar.

O maior problema é que essa organização, seja ela quem for, está ficando perigosamente próxima dos limite de pesquisa . Eu conto um para o registro original, três para a parte do outlook e cinco para a parte de mimecast; total, nove. Se tanto o outlook quanto o mimecast adicionarem mais um a cada, esta organização está cheia. Pode muito bem saber disso, mas acho que a maioria das organizações desconhece sublimemente os pontos mais delicados de seu próprio registro de SPF.

O que me leva ao meu ponto principal: se você está pensando em publicar um registro SPF, certifique-se de controlar sua própria infra-estrutura de e-mail . Se você terceirizar, alguém pode atirar no seu pé mais cedo ou mais tarde, e seu e-mail corporativo se tornará impossível de ser entregue por causa de uma mudança que você não fez e não conhece. Se você não controla todos os seus próprios e-mails, o SPF provavelmente não é para você.

    
por 22.11.2017 / 11:02