Ich verwalte einen kleinen Webserver und hatte einige Probleme, SPF/DMARC für die Domäne richtig einzurichten. Ich versuche herauszufinden, warum die SPF-Validierung manchmal erfolgreich ist und manchmal fehlschlägt. Dies tritt auf, wenn derselbe Validator verwendet wird und keine Änderungen am Datensatz vorgenommen wurden. Es ist fast so, als ob bei einigen Versuchen unterschiedliche Datensätze aus unterschiedlichen Quellen gelesen werden.
Für dieses Beispiel verwende ich dmarcian.com als SPF-Validator.
Wenn ich auf die Site gehe und Tools--> Domain Checker verwende, wird manchmal angezeigt: „Ihre Domäne hat einen gültigen SPF-Eintrag und die Richtlinie ist ausreichend streng.“ Wenn ich mehrmals auf „Domäne prüfen“ klicke (keine Tippfehler möglich), wird manchmal angezeigt: „Ihre Domäne hat keinen SPF-Eintrag.“ Warum erhalte ich bei derselben Prüfung zwei verschiedene Ergebnisse, wenn sich nichts geändert hat?
Der Anbieter ist Arvixe (Änderung in Kürze). Der Webserver ist ein Windows VPS und der Webserver ist nicht der E-Mail-Server. Wir zahlen für einen separaten Massen-E-Mail-Dienst, obwohl wir nicht sehr viel versenden.
Ich verwende WebsitePanel, um die DNS-Einträge zu bearbeiten. SPF-Einträge werden nicht unterstützt, daher verwende ich einen TXT-Eintrag. Er sieht folgendermaßen aus:
Name: _spf Typ: TXT Daten: v=spf1 +a +mx +ip4:207.210.200.162 +ip4:143.95.68.96 ~all
Domäne: theiaicertification.org IPs: 108.167.130.38 / 108.167.130.39 Mailserver: 207.210.200.162 / 143.95.68.96
Antwort1
Ihre DNS-Zone wird auf zwei DNS-Servern gehostet, was keine unangemessene Anzahl an DNS-Servern für das Hosten Ihrer Domain ist. Beide DNS-Server leiden unter einem Mangel an IPv6, was in Zukunft zu einem Problem werden kann.
Beide autoritativen DNS-Server geben die gleiche Antwort, wenn sie nach TXT-Einträgen für die Domäne gefragt werden, also ist das auch kein Problem. Die genaue Antwort, die ich sehe, ist diese:
theiaicertification.org. 86400 IN TXT "v=spf1 +a +mx +ip4:207.210.200.162 +ip4:143.95.68.96 ~all"
Es gibt ein paar Dinge, auf die ich hier hinweisen möchte.
Die Verwendung von aund/oder mxkann für einen reinen IPv4-Mailserver problematisch sein. Das liegt daran, dass Sie keine Kontrolle darüber haben, welche IP-Adressen anhand Ihres SPF-Eintrags validiert werden müssen. Ihr SPF-Eintrag muss daher den Standards für die Validierung sowohl von IPv4- als auch von IPv6-Adressen entsprechen. Es gibt eine Grenze dafür, wie viele DNS-Lookups ohne Antwort während der Validierung eines SPF-Eintrags zulässig sind. In Ihrem Fall sind Sie dieser Falle jedoch knapp entgangen.
Jedem Eintrag das Präfix „“ voranzustellen“ +entspricht nicht der üblichen Vorgehensweise beim Schreiben von SPF-Einträgen, scheint aber zu funktionieren.
Ich habe getestet, ob es möglich ist, IP-Adressen anhand Ihrer SPF-Einträge zu validieren, indem ich die Python-Implementierung der SPF-Validierung verwende:
>>> import spf
>>> spf.query('192.0.2.1', '[email protected]', '').check()
('softfail', 250, 'domain owner discourages use of this host')
>>> spf.query('2001:db8::1', '[email protected]', '').check()
('softfail', 250, 'domain owner discourages use of this host')
>>>
Keines davon würde jedoch erklären, warum Sie unterschiedliche Ergebnisse sehen. Eine mögliche Erklärung für unterschiedliche Ergebnisse ist das Caching. Die TTL Ihres TXT-Eintrags beträgt 86400 Sekunden, also 24 Stunden. Wenn Sie sie kürzlich geändert haben und die TTL zuvor ebenfalls 24 Stunden betrug, kann es 24 Stunden dauern, bis Ihre Änderung überall wirksam wird.
Ich vermute, dass der Dienst, den Sie zum Validieren Ihrer SPF-Einträge verwenden, über mehr als einen rekursiven Resolver verfügt und mindestens einer davon eine ältere Version Ihres TXT-Eintrags zwischengespeichert hat.