AWS Route53 中超過 255 個字元的 SPF 記錄

我看到這裡有幾個問題問同樣的事情。但是，就個人而言，我不理解提供的提示。是的，我看過https://kb.isc.org/docs/aa-00356，它只會讓事情變得更糟。我將 AWS Route53 用於我們的 DNS/TXT 記錄。請幫助我了解如何使用“include:”範例而不是 IP 地址將 include:spf.mandrillapp.com 添加到我的 TXT 記錄中。在此先感謝抱歉，我是 DNS 新手。

"v=spf1 ip4:206.190.89.129/27 ip4:54.86.80.254/32 ip4:13.111.0.56/32" include:mail.zendesk.com include:stspg-customer.com include:_spf.google.com include:et._spf.pardot.com include:sendgrid.net include:spf.mandrillapp.com include:mailsenders.netsuite.com ~all"

這通常通過創建多個 TXT 記錄來處理。你可以看到_spf.google.com做。

"v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all"

在您的情況下，您將創建新的 TXT 記錄，類似於…

spf1.example.com  300  IN  TXT  "v=spf1 include:mail.zendesk.com include:stspg-customer.com include:_spf.google.com ~all"
spf2.example.com  300  IN  TXT  "v=spf1 include:et._spf.pardot.com include:sendgrid.net include:spf.mandrillapp.com include:mailsenders.netsuite.com ~all"

並將您的 SPF 記錄設置為…

"v=spf1 ip4:206.190.89.129/27 ip4:54.86.80.254/32 ip4:13.111.0.56/32 include:spf1.example.com include:spf2.example.com ~all"

記錄這麼大的危險在於 SPF RFC 7208在第 4.6.4 節中說，只有 10 個需要 DNS 查找的修飾符會被系統執行 SPF 檢查。我引用的 google SPF 記錄包括大量的網路塊列表，專門用於避免達到這個限制，其餘的包括所有指向網路塊的列表。您引用的 SPF 記錄本身就是 7，而 google 包括增加了 3 個（他們有很多網路塊）。

你已經10歲了。不幸的是，使用我在這裡提到的方法會再增加兩個，並讓您進入郵件接收者可能無法完全查詢您所有授權網路塊的區域。您正在快速接近 SPF 不再是可行的控制方法的區域，您需要執行dmarc 之類的操作才能獲得所需的不可否認性。在這種情況下，您將使用 SPF 記錄"v=spf1 +all"來告訴郵件發送者您實際上並不關心誰發送了您的電子郵件，而您正在使用其他東西。與dkim和 DMARC搭配使用時，您將獲得所需的不可否認性功能。

引用自：https://serverfault.com/questions/969535