DerSPF-Spezifikationsagt:
Der veröffentlichte SPF-Eintrag für einen bestimmten Domänennamen SOLLTE klein genug bleiben, damit die Ergebnisse einer Abfrage in 512 Oktette passen. Andernfalls besteht die Möglichkeit, dass ein DNS-Protokolllimit überschritten wird.
…
Beachten Sie, dass beim Berechnen der Größen für Antworten auf Abfragen im TXT-Format alle anderen unter dem Domänennamen veröffentlichten TXT-Einträge berücksichtigt werden müssen.
Es wird auch darauf hingewiesen, dass neuere DNS-Spezifikationen größere UDP-Antworten zulassen (der Grund für die Einschränkung, da die SPF-Spezifikation impliziert, dass Sie sich nicht darauf verlassen sollten, dass DNS über TCP funktioniert), aber das scheint das „SOLLTE“ nicht wirklich außer Kraft zu setzen.
Das Problem besteht darin, dass so viele Organisationen zu Überprüfungszwecken TXT-Einträge in derselben Domäne benötigen (Dinge wie facebook-domain-verification
, google-site-verification
, atlassian-domain-verification
, adobe-sign-verification
, usw.) und die Größe des gesamten TXT-RRsets schnell auf weit über 512 Byte ansteigen kann.
Es scheint, dass die Mehrheit der großen Organisationen diese Vorgabe einhält, aber es gibt einige, bei denen diese überschritten wird:
% dig +noall +stats netflix.com TXT | grep 'MSG SIZE'
;; MSG SIZE rcvd: 593
% dig +noall +stats linkedin.com TXT | grep 'MSG SIZE'
;; MSG SIZE rcvd: 632
% dig +noall +stats twitter.com TXT | grep 'MSG SIZE'
;; MSG SIZE rcvd: 642
% dig +noall +stats microsoft.com TXT | grep 'MSG SIZE'
;; MSG SIZE rcvd: 1459
(Sie können die mögliche Kürzung sehen, indem Sie etwas wie ausführen dig +notcp +noedns +ignore microsoft.com TXT
.)
Ich stehe seit sechs Monaten am Limit und muss nun einen weiteren Verifizierungsdatensatz für einen neuen Anbieter hinzufügen, der mich deutlich über 512 Bytes hinausbringen wird. Ich habe alles getan, um meinen SPF-Datensatz zu konsolidieren, und ich habe sichergestellt, dass ich vorhandene Verifizierungsdatensätze nicht löschen kann.
Was soll ich hier tun? Ich kann die Verifizierungsdatensätze nicht missachten, aber ich möchte die SPF-Spezifikation auch nicht ignorieren. Allerdings scheint Microsoft sie zu ignorieren, und ich glaube nicht, dass ihre E-Mails abgelehnt werden.
Antwort1
Nach erneutem Lesen der SPF-Spezifikation besteht die Sorge hinsichtlich der TXT-RRset-Größe darin, dass DNS-Antworten abgeschnitten werden könnten, wenn der Clientbeideunterstützt kein EDNSUndDer Client unterstützt kein DNS über TCP. DNS über TCP war schon immer ein erforderlicher Teil von DNS, und der Vorbehalt scheint sich auf defektes DNS zu beziehen. (Um fair zu sein, gab es viele Stellen, an denen DNS über TCP defekt war, insbesondere in der Vergangenheit.)
Ich weiß jedoch, dass auf meine DNS-Server über TCP zugegriffen werden kann, und die aktiv defekten DNS anderer Benutzer machen mir weitaus weniger Sorgen als die Sicherstellung, dass sie eine (relativ) neue DNS-Spezifikation unterstützen.
Die Antwort scheint also zu sein, dass ich„es gibt triftige Gründe, [den] Punkt zu ignorieren, [und] die gesamten Auswirkungen wurden verstanden und sorgfältig abgewogen“.