Errore permanente SPF PermError: superato il limite di ricerca del vuoto di 2

13

Sto cercando di installare SPF su un server - la posta funziona bene e si convalida secondo mxtoolbox e altri controlli online ma quando lo controllo usando http://www.kitterman.com/spf/validate.html ricevo un errore:

PermError SPF Permanent Error: Void lookup limit of 2 exceeded

Sono a conoscenza di un limite di 10 ricerche ma non ho mai visto questo errore prima.

Il record SPF è:

v=spf1 a mx ip4:IP1 ip4:IP2 ip6:IP3 include:spf-a.outlook.com 
include:spf-b.outlook.com include:spf-c.outlook.com 
include:spf.messaging.microsoft.com include:_spf.zdsys.com 
include:spf.mail.intercom.io -all

A cosa si riferisce il limite di ricerca del vuoto?

domain-name-system  spf 
bhttoan
fonte

Risposte:

13

Il limite di ricerca vuota è stato introdotto in RFC 7208 e fa riferimento a ricerche DNS che restituiscono una risposta vuota (NOERROR senza risposte) o una risposta NXDOMAIN. Questo è un conteggio separato dal conteggio complessivo della ricerca 10 DNS.

Come descritto alla fine della Sezione 11.1 , potrebbero esserci casi in cui è utile limitare il numero di "termini" per i quali le query DNS restituiscono una risposta positiva (RCODE 0) con un conteggio delle risposte pari a 0 o un "Errore nome "(RCODE 3) risposta. Talvolta vengono definiti collettivamente "ricerche vuote". Le implementazioni SPF DOVREBBERO limitare le "ricerche vuote" a due. Un'implementazione PUO 'scegliere di rendere configurabile tale limite. In questo caso, si consiglia un valore predefinito di due. Il superamento del limite produce un risultato "permerrore".

Ciò ha lo scopo di aiutare a impedire che record SPF errati o dannosi contribuiscano a un attacco denial of service basato su DNS.

Nel tuo caso, la parte problematica sembra essere:

include:spf.messaging.microsoft.com

Il suo record SPF è:

v=spf1 ptr:protection.outlook.com ptr:messaging.microsoft.com ptr:o365filtering.com -all

Tutti e tre questi record, se cercati, restituiscono NOERROR senza record o NXDOMAIN.

Poiché tre record non hanno restituito nulla, hai superato il limite di ricerca del vuoto pari a 2 e il record SPF ha esito negativo.

Michael Hampton
fonte
Grazie perfetti, ho controllato e ottenuto un record SPF aggiornato per Office 365 e dopo aver usato l'errore è andato
bhttoan
Informazioni fantastiche. Qual è un buon modo per cercare i record per vedere cosa restituiscono? Devo capire quale dei miei è il problema.
mlissner,
@mlissner Ci sono molti siti Web di validazione SPF online che puoi provare.
Michael Hampton
Ho scoperto che almeno nel caso python-spfdell'implementazione le ricerche eseguite dipendono dall'indirizzo IP da convalidare e quindi il numero di query che non restituiscono alcun record varia. Dal momento che il proprietario del dominio non ha alcun controllo su quali indirizzi IP dovranno essere convalidati, la conseguenza è che qualsiasi ao mxspecifica nel record SPF deve puntare solo a nomi a doppio stack per evitare errori spuri.
Kasperd,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.