ระเบียน SPF ของ Office365 มีการค้นหามากเกินไป

สำหรับเหตุผลด้านการบริหารที่น่าขันเราได้รับโดเมนแบบแยกส่วนพร้อมกล่องจดหมายหนึ่งกล่องใน Office365 ซึ่งต้องการให้เราเพิ่มลงinclude:outlook.comในระเบียน SPF ของเรา ปัญหานี้คือกฎนั้นเพียงอย่างเดียวต้องมีการค้นหา DNS เก้ารายการสูงสุด 10 รายการ

อย่างจริงจังมันน่ากลัว แค่มองมัน:

v=spf1
include:spf-a.outlook.com
include:spf-b.outlook.com
ip4:157.55.9.128/25
include:spfa.bigfish.com
include:spfb.bigfish.com
include:spfc.bigfish.com
include:spf-a.hotmail.com
include:_spf-ssg-b.microsoft.com
include:_spf-ssg-c.microsoft.com
~all

ระบุว่าเรามีระบบอีเมลของเราเองขนาดใหญ่ ish เราจำเป็นต้องมีกฎสำหรับa, mx, include:_spf1.mydomain.comและinclude:_spf2.mydomain.comที่ทำให้เราได้ที่การค้นหา 13 DNS ซึ่งสาเหตุPERMERRORs พร้อมด้วยเครื่องมือตรวจสอบค่า SPF อย่างเข้มงวดและการตรวจสอบที่ไม่น่าเชื่อถืออย่างสมบูรณ์ / คาดเดาไม่ได้กับการที่ไม่เข้มงวด / เครื่องมือตรวจสอบการดำเนินการไม่ดี .

เป็นไปได้ไหมที่จะกำจัดinclude:กฎ3 ข้อเหล่านั้นออกจากบันทึก outlook.com ที่ป่อง แต่ยังครอบคลุมเซิร์ฟเวอร์ที่ใช้งานโดย O365

แก้ไข:

ผู้แสดงความคิดเห็นได้กล่าวว่าเราควรใช้spf.protection.outlook.comสถิติที่สั้นกว่านี้ ในขณะที่เป็นข่าวกับฉันและมันเป็นเวลาที่สั้นกว่าจะเป็นเพียงหนึ่งระเบียนสั้น:

spf.protection.outlook.com
  include:spf-a.outlook.com
  include:spf-b.outlook.com
  include:spf-c.outlook.com
  include:spf.messaging.microsoft.com
    include:spfa.frontbridge.com
    include:spfb.frontbridge.com
    include:spfc.frontbridge.com

Edit²

ฉันคิดว่าเราสามารถตัดสิ่งนี้ลงในเทคนิค:

v=spf1 a mx include:_spf1.mydomain.com include:_spf2.mydomain.com include:spf-a.outlook.com include:spf-b.outlook.com include:spf-c.outlook.com include:spfa.frontbridge.com include:spfb.frontbridge.com include:spfc.frontbridge.com ~all

แต่ปัญหาที่อาจเกิดขึ้นที่ฉันเห็นด้วยคือ:

1. เราจำเป็นต้องติดตามการเปลี่ยนแปลงใด ๆ ของผู้ปกครองspf.protection.outlook.comและspf.messaging.microsoft.comบันทึกอย่างสม่ำเสมอ หากมีการเปลี่ยนแปลงอะไรหรือเพิ่ม [god forbid] เราจะต้องอัปเดตข้อมูลของเราด้วยตนเองเพื่อให้สอดคล้องกับสิ่งนั้น
2. ด้วยชื่อโดเมนที่แท้จริงของเราความยาวของเร็กคอร์ดคือ 260 chars ซึ่งจะต้องมี 2 สตริงสำหรับเรคคอร์ด TXT และโดยสุจริตฉันไม่ไว้วางใจว่าไคลเอนต์ DNS และตัวแก้ไข SPF ทั้งหมดออกมาตรงนั้นจะยอมรับเร็กคอร์ด TXT ที่ยาวกว่า 255 ไบต์ .

ณ วันที่บางล่าสุด Microsoft มี "แก้ไข" ปัญหานี้โดยการลบระเบียนย่อยทั้งหมดและใช้ 2 หรือ 3 "ptr" บันทึกแทน:

$ dig TXT spf.protection.outlook.com
spf.protection.outlook.com. IN  TXT "v=spf1 ptr:protection.outlook.com ptr:o365filtering.com -all"

$ dig TXT spf.messaging.microsoft.com
spf.messaging.microsoft.com. IN TXT "v=spf1 ptr:protection.outlook.com ptr:messaging.microsoft.com ptr:o365filtering.com -all"

นี่คือปัญหา: ในขณะที่สิ่งนี้จะช่วยให้ไคลเอ็นต์ Office 365 หลีกเลี่ยงการอยู่ต่ำกว่า PermError "การค้นหามากเกินไป" ... ทำได้โดยบังคับให้เมลเซิร์ฟเวอร์ทุกเครื่องในโลกทำการค้นหา PTR (แพง) สำหรับที่อยู่ IP ทุกอันที่เชื่อมต่อกับพวกเขา

ตามข้อกำหนด SPF :

หากเป็นไปได้ทั้งหมดคุณควรหลีกเลี่ยงการใช้กลไกนี้ในระเบียน SPF ของคุณเพราะจะทำให้การค้นหา DNS แพงขึ้นเป็นจำนวนมาก

เราพบปัญหานี้เช่นกัน Microsoft ขอแนะนำให้คุณใช้ Office 365 โดยเฉพาะสำหรับอีเมลของคุณเนื่องจากไม่มีพื้นที่เพิ่มรายการใหม่ในขณะนี้

วิธีที่เราได้รับมันเป็นสองเท่า

อันดับแรกเราสามารถตัดการค้นหา DNS โดยเพิ่มรายการอื่น ๆ เป็นรายการ IPv4 อย่างชัดเจน วิธีนี้ช่วยให้เราเพิ่ม IP ที่ชัดเจนจำนวนหนึ่งก่อนหน้าเราinclude:outlook.com

ประการที่สองเราตั้งค่าโดเมนย่อยแยกต่างหากภายใต้โดเมนหลักของเราสำหรับข้อมูล Office 365 ด้วยวิธีนี้อีเมล @ foo.company.com ได้รับ Office 365 SPF และอีเมล @ comapny.com จะได้รับค่า SPF ปกติของเรา มันไม่สมบูรณ์แบบ แต่โชคดีที่สถานที่ที่เราใช้ Office 365 นั้นสามารถใช้ที่อยู่อีเมลภายในโดเมนย่อยแทนที่จะเป็นโดเมนหลัก