É possível usar as palavras-chave a, mx e include juntas no SPF?

É possível usar as palavras-chave a, mx e include juntas no SPF?

É possível utilizá-los no mesmo registro SPF? Por exemplo:

Valor TXT:v=spf1 mx a ptr ip4:46.16.60.0/23 a:cdmon.com mx:mail.solarmora.com include:srv.cat ~all

Responder1

Sim, você pode combinar todas essas palavras-chave, apenas certifique-se de não atingir o limite máximo de pesquisa10 pesquisas de registros de endereço:https://www.rfc-editor.org/rfc/rfc7208#section-4.6.4

  • As palavras-chave a e ptr resultam em uma pesquisa
    • a palavra-chave ptr está obsoleta e não deve mais ser usada
  • a palavra-chave mx resulta em tantas pesquisas quanto o registro MX retorna domínios
  • as includepalavras-chave incluem o registro SPF referenciado, que é:
$ dig srv.cat TXT +short
"v=spf1 a a:include"

Considerando que a:includeleva a um erro porque o domínio includenão existe.

Responder2

É tecnicamente possível misturar quaisquer mecanismos, mas qualquer coisa diferente dos ip4mecanismos ip6e causará pesquisas DNS adicionais, e há um limite geral de 10 consultas DNS (RFC 7208, 4.6.4). Cada uma acausa uma pesquisa adicional e mxvárias, dependendo do número de servidores MX por trás dela. Além disso, um includemecanismo pode ter encadeado que também é contado até o limite.

Você deve pensar cuidadosamente quais servidores realmente enviam e-mails do domínio como umremetente do envelopee limite seu registro SPF para conter apenas os servidores necessários. Como seu registro SPF está agora montado, parece que você não tem esse conhecimento e tenta adicionar tudo "por precaução". A política termina com ~all, o que torna todo o resto apenasfalha suave. Isto não evita o abuso de forma eficiente; considere usar -all, em vez disso.

Também,não useptr(RFC 7208, 5.5):

Nota: Este mecanismo é lento, não é tão confiável quanto outros mecanismos em casos de erros de DNS e sobrecarrega os servidores de nomes .arpa. Se usado, os registros PTR adequados devem estar em vigor para os hosts do domínio e o ptrmecanismo DEVE ser um dos últimos mecanismos verificados. Após muitos anos de experiência na implantação do SPF, concluiu-se que ele é desnecessário e que alternativas mais confiáveis ​​deveriam ser usadas. No entanto, ainda está em uso como parte do protocolo SPF, portanto, check_host() implementações compatíveis DEVEM suportá-lo.

informação relacionada