Por que você inclui endereços IP?
Você pode incluir redes, nomes de domínio, entradas mx - não é necessário colocar um único endereço IP individual.
Eu acertei um problema com o SPF. O registro SPF do meu domínio conterá quatro ou cinco entradas, além de conter: incluem: sgizmo.com
O registro SPF para o sgizmo.com contém onze entradas! Isso, além do meu, está muito acima do máximo permitido pelo RFC (e provavelmente pela maioria dos servidores). Eu percebo que tem que haver um limite para evitar ataques DoS. No entanto, no mundo real, provavelmente não é irracional que as grandes empresas tenham muitos endereços de servidor.
Além disso, devo saber monitorar minhas contrapartes 'include:' para alterações e acréscimos? Preciso verificar semanalmente, diariamente, para garantir que algumas combinações de mudanças não me deixem de repente no topo? Não me parece que o SPF é adequado para o horário nobre.
Existe outra maneira de fazer isso?
Por que você inclui endereços IP?
Você pode incluir redes, nomes de domínio, entradas mx - não é necessário colocar um único endereço IP individual.
Se você está atingindo o limite de registros SPF, provavelmente está fazendo algo errado. Considere usar:
Uma tática muito comum é listar todos os seus potenciais trocadores de e-mail como entradas MX para esse domínio, mas com um número extremamente alto prioridade . Como as MXes de um domínio são selecionadas em ordem do menor para o maior, isso significa que o servidor nunca será selecionado para o tráfego receber , mas será listado como tendo permissão para enviar tráfego. Isso melhora a capacidade de entrega mesmo para destinos que não suportam SPF. Apenas certifique-se de incluir "mx" na sua lista de SPF.
A RFC 7208 afirma que as consultas DNS estão limitadas a 10. Portanto, se o seu registro SPF contiver 5 endereços IP e o sgizmo incluir 11, você poderá obter essas informações com apenas 2 consultas DNS. Uma consulta ao seu DNS para o registro SPF e uma consulta ao sgizmo para seu registro SPF. Tenha em mente que a consulta SPF inicial não conta no total de 10.
Você pode estar confuso sobre o RFC 7208 § 4.6.4, onde diz: "Os termos a seguir causam consultas DNS: os mecanismos" include "," a "," mx "," ptr "e" exists ", e o modificador de "redirecionamento". As implementações do SPF DEVEM limitar o número total desses termos a 10 durante a avaliação do SPF, para evitar uma carga excessiva no DNS. "
Isso não significa que seu registro SPF possa ter apenas 10 itens. Isso significa que o processamento do SPF não deve causar mais de 10 pesquisas de DNS. Por exemplo, o seguinte registro SPF tem apenas dois termos, mas inclui 254 endereços IP e uma inclusão para um total de 265 endereços:
v = spf1 ip4: 123.123.123.2/24 incluem: sgizmo.com -all
Isso é apenas 2 pesquisas de DNS e a primeira não conta. Se você também tivesse um servidor web e 5 MX (servidores de e-mail), você poderia fazer o seguinte:
v = spf1 mx a ip4: 123.123.123.2/24 incluem: sgizmo.com -all
Como os termos MX e A exigem pesquisas de DNS, eles são considerados como duas consultas DNS adicionais. Como você pode obter a lista completa de registros MX em uma única consulta DNS, o SPF listado acima traria o número de consultas DNS a 3 de 10 e incluiria 271 endereços.
Para analisar seu problema, vamos analisar o seguinte registro SPF:
v = spf1 ip4: 123.123.123.2 ip4: 123.123.123.4 ip4: 123.123.123.6 ip4: 123.123.123.8 ip4: 123.123.123.10 incluem: sgizmo.com -all
Isso inclui sete termos, mas apenas o include exige uma consulta DNS. Isso significa que isso adicionaria 16 servidores à sua verificação de SPF válida e contaria como 1 pesquisa de DNS em 10, pois os termos do ip4 não exigem consultas DNS para resolvê-los.
Espero que isso ajude.
Corrija-me se estiver errado, mas achei que eram apenas 10 pesquisas de DNS. Não achei que os endereços IP fossem contados para isso.
sgizmo.com parece ter apenas 5: sgizmo.com, a, mx, emailsrvr.com e support.zendesk.com.
Você está absolutamente certo, este é um limite irritante no SPF e você não está fazendo nada errado.
Na verdade, o sgizmo.com tem um registro terrível de SPF. Por si só, ele conta com 10 pesquisas de DNS, portanto adicioná-lo ao seu próprio registro colocaria seu SPF em 11 e, portanto, um SPF quebrado. O recebimento de servidores de correio descartará seu registro SPF como um todo e, se você tiver configurado uma política DMARC (rejeitar), seus e-mails podem muito bem ser descartados.
Você pode verificar o estado de um registro SPF no link ou no link ou muitas outras ferramentas.
No entanto, o site do SurveyGizmo afirma que, se você usar os serviços deles e precisar adicioná-los ao SPF, deverá usar app.sgizmo.com para incluir, o que inclui apenas endereços IP. Então, isso acaba sendo apenas uma pesquisa adicional no seu próprio registro SPF. Imagine se você tiver 20 desses fornecedores enviando em seu nome, embora!
Na sua pergunta sobre o monitoramento do seu registro SPF, você certamente precisa monitorar o registro e a contagem de consultas de DNS, incluindo todas as inclusões. Você pode escrever um script simples ou visitar as ferramentas acima mencionadas de vez em quando.
Uma solução mais permanente seria enviar e-mails de fornecedores terceirizados de um subdomínio (surveys.seudominio.com.br). Alguns softwares também permitem que você defina um caminho de retorno alternativo / endereço de retorno em seus e-mails. O SPF é sempre verificado no domínio de email Return-Path, se presente.
Espero que isso ajude.
Tags spf