SPF でキーワード a、mx、include を一緒に使用することは可能ですか?

SPF でキーワード a、mx、include を一緒に使用することは可能ですか?

これらを同じ SPF レコード内で使用することは可能ですか? 例:

値TXT:v=spf1 mx a ptr ip4:46.16.60.0/23 a:cdmon.com mx:mail.solarmora.com include:srv.cat ~all

答え1

はい、これらのキーワードをすべて組み合わせることができます。ただし、検索制限を超えないようにしてください。10 件の住所レコード検索:https://www.rfc-editor.org/rfc/rfc7208#section-4.6.4

  • aとptrキーワードは1回の検索になります
    • ptr キーワードは非推奨であり、今後使用しないでください。
  • mxキーワードは、MXレコードが返すドメインと同じ数の検索を実行します。
  • キーワードincludeには参照される SPF レコードが含まれます。
$ dig srv.cat TXT +short
"v=spf1 a a:include"

一方、ドメインが存在しないa:includeため、エラーが発生します。include

答え2

技術的には任意のメカニズムを混在させることは可能ですが、およびメカニズム以外のものを使用するとip4追加ip6のDNSルックアップが発生し、DNSクエリの全体的な制限は10です(RFC 7208、4.6.4)。 ごとにa1 回の追加ルックアップが発生し、 ごとにmx複数のルックアップが発生します。これは、背後にある MX サーバーの数によって異なります。また、 には、include制限までカウントされるチェーン メカニズムがある場合もあります。

どのサーバーがドメインからメールを送信するのかを慎重に検討する必要があります。封筒の送り主SPFレコードを必要なサーバーのみに限定します。SPFレコードがまとめられたので、この知識がないため、「念のため」すべてを追加しようとしているようです。ポリシーは で終わり~all、他のすべてはソフトフェイルこれによって不正使用を効果的に防止することはできません。-all代わりに を使用することを検討してください。

また、使ってはいけませんptrRFC 7208、5.5):

注: このメカニズムは遅く、DNS エラーが発生した場合に他のメカニズムほど信頼性が高くなく、.arpa ネーム サーバーに大きな負担をかけます。使用する場合は、ドメインのホストに適切な PTR レコードを配置する必要があり、このptrメカニズムは最後にチェックされるメカニズムの 1 つである必要があります。長年の SPF 展開経験を経て、このメカニズムは不要であり、代わりにより信頼性の高い代替手段を使用する必要があるという結論に達しました。ただし、これは SPF プロトコルの一部としてまだ使用されているため、準拠するcheck_host() 実装ではこれをサポートする必要があります。

関連情報