Domain-Name-System
AWS Route53 中超過 255 個字元的 SPF 記錄
我看到這裡有幾個問題問同樣的事情。但是,就個人而言,我不理解提供的提示。是的,我看過https://kb.isc.org/docs/aa-00356,它只會讓事情變得更糟。我將 AWS Route53 用於我們的 DNS/TXT 記錄。請幫助我了解如何使用“include:”範例而不是 IP 地址將 include:spf.mandrillapp.com 添加到我的 TXT 記錄中。在此先感謝抱歉,我是 DNS 新手。
"v=spf1 ip4:206.190.89.129/27 ip4:54.86.80.254/32 ip4:13.111.0.56/32" include:mail.zendesk.com include:stspg-customer.com include:_spf.google.com include:et._spf.pardot.com include:sendgrid.net include:spf.mandrillapp.com include:mailsenders.netsuite.com ~all"
這通常通過創建多個 TXT 記錄來處理。你可以看到
_spf.google.com
做。"v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all"
在您的情況下,您將創建新的 TXT 記錄,類似於…
spf1.example.com 300 IN TXT "v=spf1 include:mail.zendesk.com include:stspg-customer.com include:_spf.google.com ~all" spf2.example.com 300 IN TXT "v=spf1 include:et._spf.pardot.com include:sendgrid.net include:spf.mandrillapp.com include:mailsenders.netsuite.com ~all"
並將您的 SPF 記錄設置為…
"v=spf1 ip4:206.190.89.129/27 ip4:54.86.80.254/32 ip4:13.111.0.56/32 include:spf1.example.com include:spf2.example.com ~all"
記錄這麼大的危險在於 SPF RFC 7208在第 4.6.4 節中說,只有 10 個需要 DNS 查找的修飾符會被系統執行 SPF 檢查。我引用的 google SPF 記錄包括大量的網路塊列表,專門用於避免達到這個限制,其餘的包括所有指向網路塊的列表。您引用的 SPF 記錄本身就是 7,而 google 包括增加了 3 個(他們有很多網路塊)。
你已經10歲了。不幸的是,使用我在這裡提到的方法會再增加兩個,並讓您進入郵件接收者可能無法完全查詢您所有授權網路塊的區域。您正在快速接近 SPF 不再是可行的控制方法的區域,您需要執行dmarc 之類的操作才能獲得所需的不可否認性。在這種情況下,您將使用 SPF 記錄
"v=spf1 +all"
來告訴郵件發送者您實際上並不關心誰發送了您的電子郵件,而您正在使用其他東西。與dkim和 DMARC搭配使用時,您將獲得所需的不可否認性功能。