我正在向我们现有的 SPF 记录添加一个域名(xero.com),以允许营销电子邮件从外部系统发送并且看起来像是来自我们。
xero.com 的 SPF 记录很大,如果包含该记录,我们的 SPF 记录将超过 10 条查找限制,从而导致错误Permanent Error: Too many DNS lookup
这很不幸,但是这个错误实际上会产生什么影响(无论是硬故障还是软故障)?它会阻止发送任何邮件,还是允许所有邮件,或者只是忽略这个包含的域?
除此之外,我们建议一些客户包括我们的域名他们的SPF 记录,以便我们可以代表他们发送邮件。
增加我们的 SPF 记录中包含的域名是否会对他们的 SPF 记录产生负面影响?
相反,如果我通过将我们的 SPF 记录设置为允许所有内容来解决这个问题v=spf1 +all,这是否也会对可能在其 SPF 记录中使用我们的域的客户产生不良影响?
答案1
结果是您的 SPF 记录被忽略。请执行以下操作。您的 SPF 记录需要 6 次查找(不包括记录中包含的任何 MX 和 A 记录)。(MX 记录查找可能会导致 2 次或更多次查找。)
- 在 SPF 记录中使用 IPv4 或 IPv6 地址范围而不是名称。这将防止进行额外的查找。
- 如果您为服务器提供 IP 地址,请不要包含 MX。
- 您使用 google 作为 MX,由条目处理
include:_spf.google.com。您不需要 MX 规范。
考虑设置带有报告地址的 DMARC,以便确定是否可以设置策略-all。您将获得有关您遵循策略的情况和失败率的报告。使用处置方式,直到您收到的唯一失败报告是针对非来自您域的电子邮件。在确定已在 SPF 记录中列出所有有效发件人之前,report请勿设置 SPF 策略。-all
答案2
马上停止!:)
1) 永远不要将您的 SPF 记录提供给客户用于营销,始终使用子域名。
_spf.example.com例如,您控制并向客户提供的 IP 范围。
2) 限制您的暴露或完全删除 SPF。+all(在实践中可能会被忽略)表示您已验证所有 IP 范围,而实际上?all更安全。
3) 营销系统不需要您的企业电子邮件域。如果您要拥有多个营销后端,则应该拥有多个子域。通常他们 (ESP) 会推动这一点,sg.example.com为 sendgrid、mg.example.com为 mailgun 等...
4)删除多余的查找,a并且mx可能是您知道的地址。
答案3
这SPF 规范要求执行 DNS 查找的机制和修饰符的数量不得超过每次 SPF 检查的 10 个,包括使用“包含”机制或“重定向”修饰符引起的任何查找。否则,将返回 SPF PermError,更具体地说是“SPF PermError:DNS 查找过多”。
这SPF PermError:DNS 查找次数过多问题被 DMARC 解释为失败。因此,当您的 SPF 记录违反此限制,并且 DKIM 也失败时,您的电子邮件将无法通过 DMARC 身份验证,这意味着您的电子邮件未得到正确验证,可能无法到达收件箱。
我已就此主题撰写了一篇博客文章:SPF PermError:DNS 查找次数过多