我看到这里有几个问题问的是同一个问题。不过,我个人不太明白这个提示。是的,我见过https://kb.isc.org/docs/aa-00356这只会让我的情况变得更糟。我使用 AWS Route53 来记录我们的 DNS/TXT 记录。请帮助我了解如何使用“include:”示例而不是 IP 地址将 include:spf.mandrillapp.com 添加到我的 TXT 记录中。提前谢谢,抱歉,我是 DNS 新手。
"v=spf1 ip4:206.190.89.129/27 ip4:54.86.80.254/32 ip4:13.111.0.56/32" include:mail.zendesk.com include:stspg-customer.com include:_spf.google.com include:et._spf.pardot.com include:sendgrid.net include:spf.mandrillapp.com include:mailsenders.netsuite.com ~all"
答案1
这通常通过创建多个 TXT 记录来处理。您可以看看_spf.google.com如何操作。
"v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all"
在您的情况下,您可以创建类似于以下内容的新 TXT 记录......
spf1.example.com 300 IN TXT "v=spf1 include:mail.zendesk.com include:stspg-customer.com include:_spf.google.com ~all"
spf2.example.com 300 IN TXT "v=spf1 include:et._spf.pardot.com include:sendgrid.net include:spf.mandrillapp.com include:mailsenders.netsuite.com ~all"
并将您的 SPF 记录设置为类似于...
"v=spf1 ip4:206.190.89.129/27 ip4:54.86.80.254/32 ip4:13.111.0.56/32 include:spf1.example.com include:spf2.example.com ~all"
如此大的记录的危险在于 SPF RFC7208在第 4.6.4 节中说,只有 10 个需要 DNS 查找的修饰符才会被执行 SPF 检查的系统所接受。我引用的 google SPF 记录包含大量网络块列表,专门用于避免达到此限制,而您包含的其余部分都指向网络块。您引用的 SPF 记录本身就有 7 个,而 google 包含的内容又添加了 3 个(它们有很多网络块)。
您已经达到 10 个了。不幸的是,使用我在此处提到的方法将再增加两个,并使您处于邮件接收者可能无法完全查询您所有授权网络块的区域。您很快就会接近 SPF 不再是一种可行控制方法的区域,您需要执行类似以下操作德马克以获得所需的不可否认性。在这种情况下,您可以使用 SPF 记录,"v=spf1 +all"告诉邮件发送者您实际上并不关心谁发送了您的电子邮件,并且您正在使用其他东西。当与德金和 DMARC,您就可以获得您所寻找的不可否认功能。