如果我现有的域名在 TXT 记录中已经有 10 行 SPF 记录,我该如何添加另一个 SPF 记录?
我想添加这两个:
include:mailgun.org
include:sendgrid.net
这是我现有的 SPF 记录:
v=spf1 a mx ptr ip4:69.64.152.23/32 ip4:69.64.152.123/32 ip4:52.13.23.26/32 ip4:54.68.180.96/32 ip4:52.116.0.27/32 include:_spf.psm.knowbe4.com include:_spf.google.com include:servers.mcsv.net include:mail.zendesk.com -all
这正好是 10 个最大 DNS 查找:
这会破坏现有的邮件流吗?
这是https://dmarcian.com/spf-survey/测试,添加上述两个附加记录后:
任何帮助将不胜感激。
谢谢
答案1
我在我的雇主那里遇到了几乎完全相同的问题。我们有 11 个 DNS 条目,其中一些是通过递归引入的(感谢 gmail!)ip4和ip6条目没有贡献,只有导致 DNS 查找计数的内容。
最好的解决方法是重新配置 sendgrid 或 mandrill 或 qualtrics 以使用子域名为所有发送 @customersuccess.mycompany.com设置 DNS 规则。避免品牌特定。这为您提供了 10 个 DNS 条目的单独批次,并有助于将邮件发件人彼此分开。
然而,在企业世界中,重新配置工作服务几乎是不可能的。
你可以规定任何新的邮件发送服务必须使用合适的子域名,这并非不可能。
从技术上讲 - 我们的 SPF 记录都是不符合 RFC 4408记录于https://datatracker.ietf.org/doc/html/rfc7208 第 4.6.4 节规定
除了该限制之外,对每个“MX”记录的评估不得导致查询超过 10 个地址记录 - “A”或“AAAA”资源记录。如果超出此限制,“mx”机制必须产生“permerror”结果。
从技术上讲,任何 MTA 都可以随时使用 PERMERROR 开始拒绝我们公司的电子邮件。
在我的经验中,这种情况从未发生过,虽然这并非不可能,但可能性非常低。如果有人确实实施了这一点,那将是一个或一些邮件接收 MTA,而不是同时实施。
相关,我发现https://www.proofpoint.com/us/cybersecurity-tools/dmarc-spf-creation-wizard#spf-check 非常适合对 SPF 进行良好的检查。
microsoft.comtoyota.com有10 个 DNS 查询,18(并且在错误的地方使用了mx,并且一些部分对于 UDP 数据包来说太大了。)
结果是 - 是的,这是错误的,但目前并没有真正执行。
几周后更新 - 我发现有一些邮件服务器会因为这个原因接收邮件然后默默丢弃。因此,我尝试更新我的 SPF 记录以使其平坦化 - 请参阅https://security.stackexchange.com/questions/264167/flattening-an-spf-record-drawbacks-and-downsides
答案2
这将会破坏 SPF 的检查,因为会发生错误。
具体来说,会出现那个错误;SPF PermError:DNS 查找次数过多
由于几乎所有服务器/反垃圾邮件都会检查 SPF,因此 mailflox 将受到影响,这将导致这些服务器拒绝电子邮件,因为无法验证电子邮件身份。
添加 IPv4 条目不会对另一端产生这种限制。如果可以的话,我会检查您是否可以添加这两个新的主机 IP 范围,这是让它发挥作用的唯一方法。