Tamaño de SPF con otros registros TXT

Tamaño de SPF con otros registros TXT

Elespecificación SPFdice:

El registro SPF publicado para un nombre de dominio determinado DEBE permanecer lo suficientemente pequeño como para que los resultados de una consulta quepan dentro de 512 octetos. De lo contrario, existe la posibilidad de exceder el límite del protocolo DNS.

Tenga en cuenta que al calcular los tamaños de las respuestas a consultas en formato TXT, se debe tener en cuenta cualquier otro registro TXT publicado en el nombre de dominio.

También señala que las especificaciones DNS más recientes permiten respuestas UDP más grandes (el motivo de la limitación, ya que la especificación SPF implica que no debe confiar en que DNS funcione sobre TCP), pero eso realmente no parece anular el "DEBERÍA" .

El problema es que muchas organizaciones requieren registros TXT en el mismo dominio para fines de verificación (cosas como facebook-domain-verification, google-site-verification, atlassian-domain-verification, adobe-sign-verificationetc.) y pueden aumentar rápidamente el tamaño del conjunto TXT RR total a más de 512 bytes.

Parece que la mayoría de las grandes organizaciones están cumpliendo con esto, pero hay algunas que lo superan:

% dig +noall +stats netflix.com TXT | grep 'MSG SIZE'
;; MSG SIZE  rcvd: 593

% dig +noall +stats linkedin.com TXT | grep 'MSG SIZE'
;; MSG SIZE  rcvd: 632

% dig +noall +stats twitter.com TXT | grep 'MSG SIZE'
;; MSG SIZE  rcvd: 642

% dig +noall +stats microsoft.com TXT | grep 'MSG SIZE'
;; MSG SIZE  rcvd: 1459

(Puede ver el posible truncamiento ejecutando algo como dig +notcp +noedns +ignore microsoft.com TXT.)

He estado al borde del abismo durante seis meses y ahora necesito agregar otro registro de verificación para un nuevo proveedor que me permitirá superar los 512 bytes. He hecho todo lo que he podido para consolidar mi registro SPF y me he asegurado de no poder eliminar los registros de verificación existentes.

¿Qué debo hacer aquí? No puedo no tener los registros de verificación, pero tampoco quiero ignorar la especificación SPF. Dicho esto, Microsoft parece estar ignorándolo y no creo que les rechacen el correo.

Respuesta1

Después de volver a leer la especificación SPF, la preocupación sobre el tamaño del TXT RRset es que las respuestas DNS podrían truncarse si el clienteambosno es compatible con EDNSyel cliente no admite DNS sobre TCP. DNS sobre TCP siempre ha sido una parte obligatoria del DNS, y la advertencia parece estar relacionada con el DNS roto. (Para ser justos, ha habido muchos lugares donde se rompió el DNS sobre TCP, especialmente en el pasado).

Pero sé que se puede acceder a mis servidores DNS a través de TCP, y estoy mucho menos preocupado por los DNS activamente rotos de otras personas que por asegurar que admitan una especificación de DNS (relativamente) nueva.

Entonces la respuesta parece ser que tengo"razones válidas... para ignorar [el] elemento, [y] todas las implicaciones [han sido] comprendidas y sopesadas cuidadosamente".

información relacionada