¿Cómo puedo tener un registro SPF de más de 255 caracteres?

16

Por lo tanto, he tenido la impresión de que las entradas SPF individuales tenían que caber en 255 caracteres, o utilizar el includeoperador para vincular varias entradas formando una cadena. Sin embargo, RFC 4408 3.1.3. establece específicamente que las cadenas múltiples deben concatenarse antes de la evaluación, por lo tanto, IN TXT "v=spf1" " 1.2.3.4 -all"deben tratarse de la misma manera que IN TXT "v=spf1 1.2.3.4 -all". En particular, esto permite registros SPF arbitrariamente grandes y se includeconvierte en una herramienta para incluir un registro SPF que otra persona administra.

¿Es esta una interpretación correcta de la especificación? Más importante aún, ¿los servidores de correo actuales respetarían este tipo de registro TXT de múltiples cadenas?

domain-name-system spf duane
fuente

Respuestas:

20

Sí, lo estás interpretando correctamente. Recientemente me he ocupado de esto.

Este artículo me fue útil:

¿Puedo tener un registro TXT o SPF de más de 255 caracteres?

Un ejemplo notable de este concepto en la práctica sería el registro SPF para cisco.com a partir del 25/02/2016:

> ;; QUESTION SECTION: ;cisco.com.                     IN      TXT
> 
> ;; ANSWER SECTION: cisco.com.              12775   IN      TXT    
> "926723159-3188410" cisco.com.              12775   IN      TXT    
> "v=spf1 ip4:173.37.147.224/27 ip4:173.37.142.64/26
> ip4:173.38.212.128/27 ip4:173.38.203.0/24 ip4:64.100.0.0/14
> ip4:72.163.7.160/27 ip4:72.163.197.0/24 ip4:144.254.0.0/16
> ip4:66.187.208.0/20 ip4:173.37.86.0/24" " ip4:64.104.206.0/24
> ip4:64.104.15.96/27 ip4:64.102.19.192/26 ip4:144.254.15.96/27
> ip4:173.36.137.128/26 ip4:173.36.130.0/24 mx:res.cisco.com
> mx:sco.cisco.com ~all" cisco.com.              12775   IN      TXT    
> "MS=ms65960035"

Solo asegúrese de tener en cuenta los espacios en los registros, como ya lo ha indicado.

Además, tenga en cuenta que debe limitar el número de búsquedas DNS a 10 en sus registros según el SPF RFC :

Las implementaciones de SPF DEBEN limitar el número de mecanismos y modificadores que realizan búsquedas de DNS a un máximo de 10 por verificación de SPF, incluidas las búsquedas causadas por el uso del mecanismo de "inclusión" o el modificador de "redireccionamiento". Si se excede este número durante una verificación, se DEBE devolver un PermError.

Pat o.
fuente
1
Al menos a partir del 2019-02-27, Cisco ya no usa registros TXT de cadenas múltiples para SPF, sino que usa el encadenamiento de registros SPF usando declaraciones de inclusión. Para aquellos interesados, el encadenamiento de registros se explica aquí: help.blacknight.com/hc/en-us/articles/… .
GHH