12 votos

Office365 registro SPF tiene demasiadas búsquedas

Para algunos totalmente ridículo razones administrativas tenemos un dominio dividido con un buzón de correo en Office365 que nos obliga a agregar include:outlook.com a nuestro registro SPF. El problema con esto es que la regla solo requiere de nueve de las búsquedas de DNS de un máximo de 10.

En serio, es horrible. Solo miren:

v=spf1
include:spf-a.outlook.com
include:spf-b.outlook.com
ip4:157.55.9.128/25
include:spfa.bigfish.com
include:spfb.bigfish.com
include:spfc.bigfish.com
include:spf-a.hotmail.com
include:_spf-ssg-b.microsoft.com
include:_spf-ssg-c.microsoft.com
~all

Dado que tenemos nuestras propias grande-ish sistema de correo tenemos que tener reglas para a, mx, include:_spf1.mydomain.comy include:_spf2.mydomain.com , que nos pone en 13 de las búsquedas de DNS que provoca PERMERRORs con estricto SPF validadores, y completamente fiable/impredecible de validación con los no-strict/mal aplicadas validadores.

Es posible de alguna manera de eliminar los 3 de los include: reglas de la hinchada outlook.com registro, pero todavía cubierta de los servidores utilizados por O365?

Editar:

Comentaristas han mencionado que simplemente debemos utilizar el más corto de spf.protection.outlook.com registro. Mientras que es nuevo para mí, y es más corto, es sólo un registro más corto:

spf.protection.outlook.com
  include:spf-a.outlook.com
  include:spf-b.outlook.com
  include:spf-c.outlook.com
  include:spf.messaging.microsoft.com
    include:spfa.frontbridge.com
    include:spfb.frontbridge.com
    include:spfc.frontbridge.com

Edit2

Supongo que técnicamente puede pare esto a:

v=spf1 a mx include:_spf1.mydomain.com include:_spf2.mydomain.com include:spf-a.outlook.com include:spf-b.outlook.com include:spf-c.outlook.com include:spfa.frontbridge.com include:spfb.frontbridge.com include:spfc.frontbridge.com ~all

pero los problemas potenciales que ver con este son:

  1. Necesitamos mantener al corriente de los cambios a los padres spf.protection.outlook.com y spf.messaging.microsoft.com de los registros. Si algo ha cambiado o [dios no lo quiera] añadido tendríamos que actualizar manualmente la nuestra para reflejar eso.
  2. Con nuestro nombre de dominio real en el registro de la longitud es de 260 caracteres, que requeriría de 2 cadenas para el registro TXT, y yo, sinceramente, no confían en que todos los clientes DNS y SPF resoluciones por ahí adecuadamente aceptar un registro TXT de más de 255 bytes.

3voto

John Hart Puntos 161

Como de algunos de los recientes fecha, Microsoft ha "arreglado" este problema por deshacerse de todos los sub-registros y el uso de 2 o 3 "ptr" registros lugar:

$ dig TXT spf.protection.outlook.com
spf.protection.outlook.com. IN  TXT "v=spf1 ptr:protection.outlook.com ptr:o365filtering.com -all"

$ dig TXT spf.messaging.microsoft.com
spf.messaging.microsoft.com. IN TXT "v=spf1 ptr:protection.outlook.com ptr:messaging.microsoft.com ptr:o365filtering.com -all"

Aquí está el problema: mientras que esto ayudará a los clientes de Office 365 evitar permanecer por debajo de la "Demasiadas búsquedas de" PermError ... lo hace obligando a cada servidor de correo en el mundo para hacer (y caros), PTR búsquedas para cada dirección IP que se conecta a ellos.

Por el SPF especificación:

Si es posible, se debe evitar el uso de este mecanismo en su SPF registro, ya que se traducirá en un mayor número de caras DNS las búsquedas.

1voto

Steve Shipway Puntos 318

También hemos encontrado este problema. Microsoft son "alentando" a usar Office 365 exclusivamente para tu correo electrónico, ya que no hay espacio ahora para agregar nuevos elementos.

La forma en que llegamos a su alrededor era doble.

En primer lugar, podemos recortar las búsquedas de DNS mediante la adición de las otras entradas como explícito IPv4 entradas. Esto nos permite agregar un número de explícito IPs antes de include:outlook.com

En segundo lugar, hemos creado un subdominio bajo nuestro dominio principal para el Office 365 cosas. De esta manera, mensajes de correo electrónico @foo.company.com obtener Office 365 SPF, y los correos electrónicos @comapny.com conseguir que nuestros normal SPF. No es perfecto, pero, afortunadamente, los lugares donde hemos usado Office 365 son capaces de utilizar direcciones de correo electrónico dentro del subdominio en lugar de la base de dominio.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: