Office365 SPF रिकॉर्ड में बहुत अधिक लुकअप हैं


11

कुछ बेहद हास्यास्पद प्रशासनिक कारणों से हमें Office365 पर एक मेलबॉक्स के साथ एक विभाजन डोमेन मिला है, जिससे हमें include:outlook.comअपने एसपीएफ़ रिकॉर्ड में जोड़ना होगा। इसके साथ समस्या यह है कि अकेले नियम में अधिकतम 10 के नौ DNS लुकअप की आवश्यकता होती है ।

गंभीरता से, यह भयानक है। बस इसे देखो:

v=spf1
include:spf-a.outlook.com
include:spf-b.outlook.com
ip4:157.55.9.128/25
include:spfa.bigfish.com
include:spfb.bigfish.com
include:spfc.bigfish.com
include:spf-a.hotmail.com
include:_spf-ssg-b.microsoft.com
include:_spf-ssg-c.microsoft.com
~all

यह देखते हुए कि हम अपने ही बड़े-ish मेल प्रणाली है हम के लिए नियमों की आवश्यकता है a, mx, include:_spf1.mydomain.com, और include:_spf2.mydomain.comजो 13 DNS खोज में डालता है हमें जो कारणों PERMERRORसख्त एसपीएफ़ प्रमाणकों, और गैर सख्त / बुरी तरह से लागू किया प्रमाणकों के साथ पूरी तरह से अविश्वसनीय / अप्रत्याशित सत्यापन के साथ रों ।

क्या यह संभव है कि उन include:नियमों में से 3 को फूला हुआ आउटलुक डॉट कॉम रिकॉर्ड से खत्म कर दिया जाए , लेकिन फिर भी O365 द्वारा उपयोग किए जाने वाले सर्वर को कवर करते हैं?

संपादित करें:

टिप्पणीकारों ने उल्लेख किया है कि हमें बस छोटे spf.protection.outlook.comरिकॉर्ड का उपयोग करना चाहिए । हालांकि यह है मेरे लिए खबर है, और यह है कम, यह केवल एक रिकॉर्ड कम है:

spf.protection.outlook.com
  include:spf-a.outlook.com
  include:spf-b.outlook.com
  include:spf-c.outlook.com
  include:spf.messaging.microsoft.com
    include:spfa.frontbridge.com
    include:spfb.frontbridge.com
    include:spfc.frontbridge.com

Edit²

मुझे लगता है कि हम तकनीकी रूप से इसे नीचे दे सकते हैं:

v=spf1 a mx include:_spf1.mydomain.com include:_spf2.mydomain.com include:spf-a.outlook.com include:spf-b.outlook.com include:spf-c.outlook.com include:spfa.frontbridge.com include:spfb.frontbridge.com include:spfc.frontbridge.com ~all

लेकिन मैं इसके साथ संभावित मुद्दों को देख रहा हूं:

  1. हमें माता spf.protection.outlook.com- पिता और spf.messaging.microsoft.comअभिलेखों में किसी भी परिवर्तन के बारे में जानकारी रखने की आवश्यकता है । अगर कुछ भी बदला है या [भगवान ना करे] जोड़ा गया है तो हमें उसे प्रतिबिंबित करने के लिए मैन्युअल रूप से अपडेट करना होगा।
  2. हमारे वास्तविक डोमेन नाम के साथ रिकॉर्ड की लंबाई 260 वर्ण है, जिसे TXT रिकॉर्ड के लिए 2 स्ट्रिंग्स की आवश्यकता होगी, और मुझे ईमानदारी से विश्वास नहीं है कि DNS क्लाइंट और एसपीएफ रिज़ॉल्वर के सभी वहाँ से 255 से अधिक लंबे समय तक TXT रिकॉर्ड को ठीक से स्वीकार करेंगे ।

क्या आप केवल Office365 के लिए spf.protection.outlook.com नहीं जोड़ सकते हैं? Technet.microsoft.com/en-us/library/hh852557.aspx
Cold T

O365 सरल वर्तमान के लिए SPF रिकॉर्ड क्यों नहीं है? include:spf.protection.outlook.com (ईमानदार होने के लिए उत्सुक, कभी नहीं देखा कि आपके पास क्या सेटअप है ... क्या पोर्टल ने आपको यह सब बताने के लिए कहा था?)
TheCleaner

मैंने पाया कि सभी प्रलेखन उपयोग करने के लिए है include:outlook.com, इसलिए spf.protection.outlook.comमेरे लिए समाचार है। हालांकि यह समस्या बनी हुई है, क्योंकि उस रिकॉर्ड के लिए अभी भी 8 लुकअप की आवश्यकता है, और मुझे इसे 6 या उससे कम करने की आवश्यकता है।
शामिच

'Spfa.frontbridge.com' के तहत दो PTR लुक्स को गिनना न भूलें। RFC 7208 के अनुसार वे 10 लुकअप की सीमा को भी गिनते हैं। :(
मार्टिज़न हेमेल्स

जवाबों:


3

हाल की कुछ तारीखों के अनुसार, Microsoft ने सभी उप-रिकॉर्ड्स से छुटकारा पाने और 2 या 3 "ptr" रिकॉर्ड्स का उपयोग करके इस समस्या को "ठीक" कर दिया है:

$ dig TXT spf.protection.outlook.com
spf.protection.outlook.com. IN  TXT "v=spf1 ptr:protection.outlook.com ptr:o365filtering.com -all"

$ dig TXT spf.messaging.microsoft.com
spf.messaging.microsoft.com. IN TXT "v=spf1 ptr:protection.outlook.com ptr:messaging.microsoft.com ptr:o365filtering.com -all"

यहां समस्या यह है: जबकि यह Office 365 क्लाइंट "बहुत सारे लुकअप" PermError के नीचे रहने से बचने में मदद करेगा ... यह ऐसा करने के लिए दुनिया के हर मेलस्वर को मजबूर करता है (महंगे) PTR हर आईपी पते के लिए जो उन्हें जोड़ता है।

प्रति एसपीएफ़ विनिर्देश :

यदि संभव हो, तो आपको अपने एसपीएफ़ रिकॉर्ड में इस तंत्र का उपयोग करने से बचना चाहिए, क्योंकि इससे बड़ी संख्या में डीएनएस लुकअप हो जाएगा।


1
@ क्रिस - मैंने उसके बारे में भी सोचा, हालांकि एसपीएफ़ विनिर्देश बताता है कि "ptr:" तंत्र को पारस्परिक DNS के लिए दोनों तरीकों को सत्यापित करना होगा - प्राप्त करने वाला मेल करने वाले को पहले आईपी पर एक पीटीआर करना चाहिए, और फिर एक पर करना चाहिए परिणामी होस्टनाम, और आईपी को ए रिकॉर्ड में सूचीबद्ध किया जाना चाहिए। इसलिए मुझे नहीं लगता कि यह एक सुरक्षा छेद है, कम से कम एसपीएफ़ कार्यान्वयन के अनुरूप नहीं है।
जॉन हार्ट

आह, वहाँ अच्छा लगता है। मुझे कैविटी के बारे में पता नहीं था।
क्रिस एस

1

हमें यह मुद्दा मिल भी गया है। Microsoft आपके ईमेल के लिए विशेष रूप से Office 365 का उपयोग करने के लिए आपको 'प्रोत्साहित' कर रहा है क्योंकि नई वस्तुओं को जोड़ने के लिए अब कोई जगह नहीं है।

जिस तरह से हम इसके चारों ओर हो गए वह दुगना था।

सबसे पहले, हम स्पष्ट रूप से IPv4 प्रविष्टियों के रूप में अन्य प्रविष्टियों को जोड़कर DNS लुकअप को बंद कर सकते हैं। इससे हम अपने सामने कई स्पष्ट आईपी जोड़ सकते हैंinclude:outlook.com

दूसरे, हम Office 365 सामान के लिए अपने मुख्य डोमेन के तहत एक अलग उपडोमेन स्थापित करते हैं। इस तरह, ईमेल @ foo.company.com Office 365 SPF प्राप्त करते हैं, और @ comapny.com ईमेल हमारे सामान्य SPF प्राप्त करते हैं। यह सही नहीं है, लेकिन सौभाग्य से जिन स्थानों पर हमने Office 365 का उपयोग किया है, वे सभी आधार डोमेन के बजाय उपडोमेन के भीतर ईमेल पते का उपयोग करने में सक्षम हैं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.