混合 SPF 记录

混合 SPF 记录

我的 DNS 中有常用的 Google Apps SPF 记录:

v=spf1 include:_spf.google.com ~all

现在,由于我们正在使用 ZenDesk,我还应该添加:

v=spf1 include:support.zendesk.com ~all

是否应该将它们合并为一个,如下所示:

v=spf1 include:_spf.google.com include:support.zendesk.com ~all

答案1

是的,这是正确的,除非_spf.google.com包括一个重定向(但事实并非如此)。在这种情况下,include:_spf.google.com应该将其移至列表末尾,以避免用redirect

另外,请注意 RFC (IETF RFC4408) 指定最多允许 10 次 MX 或 PTR 查找,超过此次数后,应终止对单个记录的验证。这是为了确保 SPF 解析器不会陷入无休止的查找场景(潜在的 DoS 攻击)。

这在现实生活中如何应用?
假设两个包含都使用“mx”机制,并且每个包含都有 6 个不同的 MX 记录。现在,当第一个包含 ( _spf.google.com) 处理完毕后,可以说只剩下 4 个查找。如果正在验证的 MTA 位于第二个包含 ( support.zendesk.com) 的最后 2 个不同的 MX 记录中,则验证实际上可能会失败,即使您已正确包含所有记录。

上述情况并非如此,但值得考虑,因为并非所有公司在设计 SPF 结构时都会考虑到这一点。只需尝试查找 ebay.com 的 TXT,然后尝试计算可能导致的查找次数 ;-)

答案2

是的,这样做可行。这也是正确的做法。

相关内容