È corretto avere più record TXT per un singolo dominio contenente voci SPF diverse?


17

Un dominio destinatario remoto sta rifiutando la posta per motivi di SPF e penso che sia perché il mittente ha SPF configurato in modo errato.

Quando corro scavando, vedo:

[fooadm@box ~]# dig @8.8.8.8 -t TXT foosender.com

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.6 <<>> @8.8.8.8 -t TXT foosender.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30608
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;foosender.com.              IN      TXT

;; ANSWER SECTION:
foosender.com.       14039   IN      TXT     "v=spf1 include:spf.foo1.com -all"
foosender.com.       14039   IN      TXT     "v=spf1 include:_spf.bob.foo2.com -all"

;; Query time: 26 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Jan  7 09:45:38 2014
;; MSG SIZE  rcvd: 146

È una configurazione valida? Mi sembra strano che ci siano due dischi separati (ognuno con errori gravi). Non dovrebbe essere tutto in un unico disco?

Mi aspetto che il record TXT corretto sia:

v=spf1 include:spf.foo1.com include:_spf.bob.foo2.com -all

Risposte:


20

No. hai ragione. Vedere RFC 4408, sezione 4.5 .

  1. I record che non iniziano con una sezione della versione esattamente "v = spf1" vengono eliminati. Si noti che la sezione della versione è terminata da un carattere SP o dalla fine del record. Un record con una sezione della versione di "v = spf10" non corrisponde e deve essere scartato.

  2. Se nel set sono presenti record di tipo SPF, tutti i record di tipo TXT vengono eliminati.

    Dopo i passaggi precedenti, dovrebbe esserci esattamente un record rimanente e la valutazione può procedere. Se sono rimasti due o più record, check_host () si chiude immediatamente con il risultato di "PermError".

    Se non viene restituito alcun record corrispondente, un client SPF DEVE presumere che il dominio non effettui dichiarazioni SPF. L'elaborazione SPF DEVE arrestare e
    restituire "Nessuno".


2
Ad aprile 2014 esiste RFC 7208 che oscura RFC 4408. I record di tipo SPF sono stati deprecati a favore di quelli di tipo TXT SPF records MUST be published as a DNS TXT (type 16) Resource Record (RR) [RFC1035] only.(vedere RFC 7208, sezione 3.1 ). Proverò una nuova risposta basata su questo.
JHoffmann,

4

Questa configurazione SPF non è valida. Nel caso in cui vengano trovati più record, la selezione dei record dovrebbe produrre un errore come risultato. Vedere RFC 7208, sezione 4.5 sulla selezione dei record:

Se il set di record risultante include più di un record, check_host () produce il risultato "permerror".

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.