從 SPF 記錄中獲取 IP 列表

我們在我們的郵件伺服器上進行 SPF 檢查，我有一個事件，來自 MimeCast 的郵件有時會通過，然後其他郵件無法通過 SPF 檢查。

有問題的域的 spf 記錄狀態

v=spf1 include:spf.protection.outlook.com include:_netblocks.mimecast.com -all

如果我在 IP 上進行 whois，則它是 Mimecast IP

我的問題是如何查詢_netblocks.mimecast.com以獲取 IP 列表以便進行故障排除

您發現許多組織提供 SPF 記錄，這些記錄本身由 SPF 記錄組成。當我們這樣做時，dig txt _netblocks.mimecast.com我們得到

;; ANSWER SECTION:
_netblocks.mimecast.com. 300    IN      TXT     "v=spf1 include:eu._netblocks.mimecast.com include:us._netblocks.mimecast.com include:za._netblocks.mimecast.com include:au._netblocks.mimecast.com ~all"

然後可以類似地查找其中的每一個，例如dig txt eu._netblocks.mimecast.com獲取原始 IP 數據：

;; ANSWER SECTION:
eu._netblocks.mimecast.com. 300 IN      TXT     "v=spf1 ip4:195.130.217.0/24 ip4:91.220.42.0/24 ip4:146.101.78.0/24 ip4:207.82.80.0/24 ip4:213.167.81.0/24 ip4:213.167.75.0/24 ip4:185.58.84.0/22 ~all"

Outlook 的記錄有點煩人（令人驚訝），因為它是嵌套的：

[me@risby ~]$ dig txt spf.protection.outlook.com
[...]
spf.protection.outlook.com. 586 IN      TXT     "v=spf1 ip4:207.46.101.128/26 ip4:207.46.100.0/24 ip4:207.46.163.0/24 ip4:65.55.169.0/24 ip4:157.56.110.0/23 ip4:157.55.234.0/24 ip4:213.199.154.0/24 ip4:213.199.180.128/26 include:spfa.protection.outlook.com -all"

spfa輪流includes spfb，但這是最後一個，所以你可以停止探勘。

更大的問題是這個組織，無論它是誰，都危險地接近十次查詢的限制。我數了 1 為原始記錄，3 為前景部分，5 為 mimecast 部分；總共，九個。如果 Outlook 和 mimecast 各增加一個，這個組織就完蛋了。它可能很清楚這一點，但我發現大多數組織完全沒有意識到他們自己的 SPF 記錄的細節。

這讓我更重要的一點是：如果您正在考慮發布 SPF 記錄，請確保您控制自己的電子郵件基礎設施。如果您將其外包，其他人遲早可能會擊中您的腳，並且您的公司電子郵件將由於您沒有進行且不知道的更改而無法投遞。如果您不控制自己的所有電子郵件，那麼 SPF 可能不適合您。

引用自：https://serverfault.com/questions/884630