Размер SPF с другими записями TXT

Размер SPF с другими записями TXT

TheСпецификация SPFговорит:

Опубликованная запись SPF для данного доменного имени ДОЛЖНА оставаться достаточно маленькой, чтобы результаты запроса для нее умещались в 512 октетов. В противном случае существует вероятность превышения лимита протокола DNS.

Обратите внимание, что при расчете размеров ответов на запросы формата TXT необходимо учитывать любые другие записи TXT, опубликованные на доменном имени.

В нем также указывается, что более поздние спецификации DNS допускают более крупные ответы UDP (причина ограничения, поскольку спецификация SPF подразумевает, что вы не должны полагаться на работу DNS через TCP), но это, похоже, на самом деле не отменяет «СЛЕДУЕТ».

Проблема в том, что многим организациям требуются записи TXT в одном и том же домене для целей проверки (например facebook-domain-verification, google-site-verification, , atlassian-domain-verification, adobe-sign-verification, и т. д.), и они могут быстро увеличить размер общего набора TXT RRset до размера, значительно превышающего 512 байт.

Похоже, что большинство крупных организаций соблюдают это требование, но есть и те, кто его нарушает:

% dig +noall +stats netflix.com TXT | grep 'MSG SIZE'
;; MSG SIZE  rcvd: 593

% dig +noall +stats linkedin.com TXT | grep 'MSG SIZE'
;; MSG SIZE  rcvd: 632

% dig +noall +stats twitter.com TXT | grep 'MSG SIZE'
;; MSG SIZE  rcvd: 642

% dig +noall +stats microsoft.com TXT | grep 'MSG SIZE'
;; MSG SIZE  rcvd: 1459

(Вы можете увидеть потенциальное усечение, запустив что-то вроде dig +notcp +noedns +ignore microsoft.com TXT.)

Я был на грани шесть месяцев, и теперь мне нужно добавить еще одну запись проверки для нового поставщика, которая выведет меня далеко за пределы 512 байт. Я сделал все, что мог, чтобы консолидировать свою запись SPF, и я убедился, что не могу удалить существующие записи проверки.

Что мне здесь делать? Я не могу не иметь записей проверки, но я также не хочу игнорировать спецификацию SPF. Тем не менее, Microsoft, похоже, игнорирует ее, и я не думаю, что их почта отклоняется.

решение1

После повторного прочтения спецификации SPF возникла обеспокоенность по поводу размера TXT RRset, так как ответы DNS могут быть усечены, если клиентобане поддерживает EDNSиклиент не поддерживает DNS через TCP. DNS через TCP всегда был обязательной частью DNS, и предостережение, похоже, касается сломанного DNS. (Справедливости ради, было много мест, где DNS через TCP был сломан, особенно в прошлом.)

Но я знаю, что мои DNS-серверы доступны по протоколу TCP, и меня гораздо меньше волнует, что у других людей DNS активно неисправны, чем то, поддерживают ли они (относительно) новую спецификацию DNS.

Так что ответ, похоже, в том, что у меня есть«веские причины… игнорировать [данный] пункт, [и] все последствия [были] поняты и тщательно взвешены».

Связанный контент