OEspecificação FPSdiz:
O registro SPF publicado para um determinado nome de domínio DEVE permanecer pequeno o suficiente para que os resultados de uma consulta caibam em 512 octetos. Caso contrário, existe a possibilidade de exceder o limite do protocolo DNS.
…
Observe que ao calcular os tamanhos das respostas às consultas no formato TXT, é necessário levar em consideração quaisquer outros registros TXT publicados no nome de domínio.
Ele também aponta que as especificações DNS mais recentes permitem respostas UDP maiores (o motivo da limitação, já que a especificação SPF implica que você não deve confiar no funcionamento do DNS sobre TCP), mas isso realmente não parece substituir o "DEVE" .
O problema é que muitas organizações exigem registros TXT no mesmo domínio para fins de verificação (coisas como facebook-domain-verification
, google-site-verification
, atlassian-domain-verification
, adobe-sign-verification
, etc.) e podem aumentar rapidamente o tamanho do RRset TXT total para bem mais de 512 bytes.
Parece que a maioria das grandes organizações está cumprindo isso, mas há algumas que vão além:
% dig +noall +stats netflix.com TXT | grep 'MSG SIZE'
;; MSG SIZE rcvd: 593
% dig +noall +stats linkedin.com TXT | grep 'MSG SIZE'
;; MSG SIZE rcvd: 632
% dig +noall +stats twitter.com TXT | grep 'MSG SIZE'
;; MSG SIZE rcvd: 642
% dig +noall +stats microsoft.com TXT | grep 'MSG SIZE'
;; MSG SIZE rcvd: 1459
(Você pode ver o potencial truncamento acontecendo executando algo como dig +notcp +noedns +ignore microsoft.com TXT
.)
Estou no limite há seis meses e agora preciso adicionar outro registro de verificação para um novo fornecedor que me levará além dos 512 bytes. Fiz o máximo que pude para consolidar meu registro SPF e me certifiquei de não poder remover os registros de verificação existentes.
O que devo fazer aqui? Não posso deixar de ter os registros de verificação, mas também não quero ignorar as especificações do SPF. Dito isto, a Microsoft parece estar ignorando isso e não acho que seus e-mails sejam rejeitados.
Responder1
Depois de reler a especificação SPF, a preocupação com o tamanho do TXT RRset é que as respostas DNS poderiam ser truncadas se o clienteambosnão suporta EDNSeo cliente não oferece suporte a DNS sobre TCP. DNS sobre TCP sempre foi uma parte obrigatória do DNS, e a ressalva parece estar relacionada ao DNS quebrado. (Para ser justo, houve muitos lugares onde o DNS sobre TCP foi quebrado, especialmente no passado.)
Mas sei que meus servidores DNS são acessíveis via TCP e estou muito menos preocupado com o DNS ativamente quebrado de outras pessoas do que em garantir que eles suportem uma especificação de DNS (relativamente) nova.
Então a resposta parece ser que eu tenho"razões válidas... para ignorar [o] item, [e] todas as implicações [foram] compreendidas e cuidadosamente avaliadas".