Bản ghi Office365 SPF có quá nhiều tra cứu

11

Đối với một số lý do quản trị hoàn toàn vô lý, chúng tôi đã có một tên miền phân chia với một hộp thư trên Office365 yêu cầu chúng tôi thêm include:outlook.comvào bản ghi SPF. Vấn đề với điều này là chỉ riêng quy tắc đó yêu cầu chín lần tra cứu DNS tối đa là 10.

Nghiêm túc mà nói, thật kinh khủng. Chỉ cần nhìn vào nó:

v=spf1
include:spf-a.outlook.com
include:spf-b.outlook.com
ip4:157.55.9.128/25
include:spfa.bigfish.com
include:spfb.bigfish.com
include:spfc.bigfish.com
include:spf-a.hotmail.com
include:_spf-ssg-b.microsoft.com
include:_spf-ssg-c.microsoft.com
~all

Cho rằng chúng tôi có hệ thống mail lớn ish của chúng ta chúng ta cần phải có những quy định cho a, mx, include:_spf1.mydomain.com, và include:_spf2.mydomain.comtrong đó đặt chúng tôi tại tra cứu 13 DNS mà nguyên nhân PERMERRORs với xác nhận SPF nghiêm ngặt, và hoàn toàn không đáng tin cậy / không thể đoán trước xác nhận với những người không nghiêm ngặt / xác nhận thực hiện tồi tệ .

Có thể bằng cách nào đó loại bỏ 3 trong số các include:quy tắc đó khỏi bản ghi triển vọng cồng kềnh, nhưng vẫn bao gồm các máy chủ được sử dụng bởi O365?

Biên tập:

Các nhà bình luận đã đề cập rằng chúng ta chỉ nên sử dụng spf.protection.outlook.combản ghi ngắn hơn . Trong khi đó tin tức với tôi, và nó ngắn hơn, nó chỉ có một kỷ lục ngắn hơn:

spf.protection.outlook.com
  include:spf-a.outlook.com
  include:spf-b.outlook.com
  include:spf-c.outlook.com
  include:spf.messaging.microsoft.com
    include:spfa.frontbridge.com
    include:spfb.frontbridge.com
    include:spfc.frontbridge.com

Chỉnh sửa²

Tôi cho rằng về mặt kỹ thuật chúng ta có thể cắt giảm điều này xuống:

v=spf1 a mx include:_spf1.mydomain.com include:_spf2.mydomain.com include:spf-a.outlook.com include:spf-b.outlook.com include:spf-c.outlook.com include:spfa.frontbridge.com include:spfb.frontbridge.com include:spfc.frontbridge.com ~all

nhưng các vấn đề tiềm năng tôi thấy với điều này là:

  1. Chúng tôi cần theo kịp mọi thay đổi đối với phụ huynh spf.protection.outlook.comspf.messaging.microsoft.comhồ sơ. Nếu bất cứ điều gì được thay đổi hoặc [thần cấm] được thêm vào, chúng tôi sẽ phải cập nhật thủ công để phản ánh điều đó.
  2. Với tên miền thực tế của chúng tôi, độ dài của bản ghi là 260 ký tự, yêu cầu 2 chuỗi cho bản ghi TXT và tôi thực sự không tin rằng tất cả các máy khách DNS và bộ phân giải SPF ngoài đó sẽ chấp nhận bản ghi TXT dài hơn 255 byte .
email  spf  microsoft-office-365 
Sammitch
nguồn
Bạn có thể không chỉ thêm spf.protection.outlook.com cho tất cả Office365 không? technet.microsoft.com/en-us/l Library / hh852557.aspx
Cold T
Tại sao bản ghi SPF cho O365 không phải là bản ghi đơn giản hiện tại? include:spf.protection.outlook.com (tò mò thành thật mà nói, chưa bao giờ thấy những gì bạn đã thiết lập ... cổng thông tin có bảo bạn đặt tất cả những thứ đó không?)
TheCleaner
Tất cả các tài liệu tôi tìm thấy nói để sử dụng include:outlook.com, spf.protection.outlook.comtin tức với tôi cũng vậy. Vấn đề vẫn còn, vì hồ sơ đó vẫn cần 8 lần tra cứu và tôi cần giảm xuống còn 6 hoặc thấp hơn.
Sammitch
Đừng quên đếm hai lần tra cứu PTR trong 'spfa.frontbridge.com'. Theo RFC 7208, họ cũng được tính vào giới hạn 10 lần tra cứu. :(
Martijn Heemels

Câu trả lời:

3

Kể từ một số ngày gần đây, Microsoft đã "khắc phục" vấn đề này bằng cách loại bỏ tất cả các bản ghi phụ và sử dụng bản ghi 2 hoặc 3 "ptr":

$ dig TXT spf.protection.outlook.com
spf.protection.outlook.com. IN  TXT "v=spf1 ptr:protection.outlook.com ptr:o365filtering.com -all"

$ dig TXT spf.messaging.microsoft.com
spf.messaging.microsoft.com. IN TXT "v=spf1 ptr:protection.outlook.com ptr:messaging.microsoft.com ptr:o365filtering.com -all"

Đây là vấn đề: trong khi điều này sẽ giúp các máy khách Office 365 tránh ở dưới mức "Quá nhiều tra cứu" PermError ... nó làm như vậy bằng cách buộc mọi máy chủ trên thế giới thực hiện tra cứu PTR (đắt tiền) cho mọi địa chỉ IP kết nối với chúng.

Theo thông số kỹ thuật SPF :

Nếu có thể, bạn nên tránh sử dụng cơ chế này trong bản ghi SPF của mình, vì nó sẽ dẫn đến số lượng lớn hơn các tra cứu DNS đắt tiền.

John Hart
nguồn
1
@ChrisS - Tôi cũng nghĩ về điều đó, tuy nhiên đặc tả SPF nói rằng cơ chế "ptr:" phải được xác minh cả hai cách cho DNS đối ứng - trước tiên, máy chủ nhận phải thực hiện PTR trên IP, sau đó thực hiện A tên máy chủ kết quả và IP phải được liệt kê trong bản ghi A. Vì vậy, tôi không nghĩ rằng đó là một lỗ hổng bảo mật, ít nhất là không tuân thủ việc triển khai SPF.
John Hart
Ah, tốt tìm thấy ở đó. Tôi đã không nhận thức được cảnh báo.
Chris S
1

Chúng tôi cũng đã tìm thấy vấn đề này. Microsoft đang 'khuyến khích' bạn sử dụng Office 365 dành riêng cho email của bạn vì hiện tại không còn chỗ để thêm các mục mới.

Cách chúng tôi nhận được xung quanh nó là gấp đôi.

Đầu tiên, chúng ta có thể giảm bớt việc tra cứu DNS bằng cách thêm các mục khác dưới dạng mục nhập IPv4 rõ ràng. Điều này cho phép chúng tôi thêm một số IP rõ ràng trước khi chúng tôiinclude:outlook.com

Thứ hai, chúng tôi thiết lập một tên miền phụ riêng biệt dưới tên miền chính của chúng tôi cho nội dung Office 365. Bằng cách này, email @ foo.company.com có ​​được Office 365 SPF và email @ comapny.com có ​​được SPF bình thường của chúng tôi. Nó không hoàn hảo, nhưng may mắn thay, những nơi chúng tôi đã sử dụng Office 365 đều có thể sử dụng địa chỉ email trong tên miền phụ thay vì tên miền cơ sở.

Đường tàu Steve
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.