Office365 SPF kaydında çok fazla arama var

Tamamen gülünç idari nedenlerden dolayı, Office365'de include:outlook.comSPF kaydımıza eklememizi gerektiren bir posta kutusuyla bölünmüş bir alanımız var . Buradaki sorun, yalnızca bu kuralın en fazla 10 olan dokuz DNS araması gerektirmesidir .

Cidden, bu korkunç. Sadece bak:

v=spf1
include:spf-a.outlook.com
include:spf-b.outlook.com
ip4:157.55.9.128/25
include:spfa.bigfish.com
include:spfb.bigfish.com
include:spfc.bigfish.com
include:spf-a.hotmail.com
include:_spf-ssg-b.microsoft.com
include:_spf-ssg-c.microsoft.com
~all

Biz kuralları olması gerekmez kendi büyük imsi posta sistemine sahip olduğu göz önüne alındığında a, mx, include:_spf1.mydomain.comve include:_spf2.mydomain.comhangi 13 DNS aramaları en koyar bize hangi nedenleri PERMERRORolmayan katı / kötü uygulanan doğrulayıcıları ile sıkı SPF doğrulayıcıları ve tamamen güvenilmez / öngörülemeyen doğrulama ile s .

Bu include:kurallardan 3'ünü şişirilmiş outlook.com kaydından bir şekilde ortadan kaldırmak mümkün , ancak yine de O365 tarafından kullanılan sunucuları kapsamak mümkün mü?

Düzenle:

Yorumcular daha kısa spf.protection.outlook.comrekoru kullanmamız gerektiğini söylemişlerdir . Bu benim için haber olsa da , daha kısa olsa da , sadece bir kayıt daha kısadır:

spf.protection.outlook.com
  include:spf-a.outlook.com
  include:spf-b.outlook.com
  include:spf-c.outlook.com
  include:spf.messaging.microsoft.com
    include:spfa.frontbridge.com
    include:spfb.frontbridge.com
    include:spfc.frontbridge.com

Edit²

Sanırım bunu teknik olarak inceleyebiliriz:

v=spf1 a mx include:_spf1.mydomain.com include:_spf2.mydomain.com include:spf-a.outlook.com include:spf-b.outlook.com include:spf-c.outlook.com include:spfa.frontbridge.com include:spfb.frontbridge.com include:spfc.frontbridge.com ~all

ancak bununla ilgili potansiyel sorunlar şunlardır:

1. Ebeveyn spf.protection.outlook.comve spf.messaging.microsoft.comkayıtlardaki değişiklikleri takip etmemiz gerekiyor . Bir şey değiştirilirse veya [tanrı yasaklı] eklenirse, bunu yansıtmak için kendimizi manuel olarak güncellememiz gerekir.
2. Gerçek alan adımızla kaydın uzunluğu 260 karakterdir, bu da TXT kaydı için 2 dizgi gerektirir ve dürüst olmak gerekirse, tüm DNS istemcilerinin ve SPF çözümleyicilerinin 255 bayttan daha uzun bir TXT kaydını düzgün bir şekilde kabul edeceğine güvenmiyorum. .

Son bir tarih itibariyle, Microsoft tüm alt kayıtlardan kurtularak ve bunun yerine 2 veya 3 "ptr" kaydı kullanarak bu sorunu "düzeltmiştir":

$ dig TXT spf.protection.outlook.com
spf.protection.outlook.com. IN  TXT "v=spf1 ptr:protection.outlook.com ptr:o365filtering.com -all"

$ dig TXT spf.messaging.microsoft.com
spf.messaging.microsoft.com. IN TXT "v=spf1 ptr:protection.outlook.com ptr:messaging.microsoft.com ptr:o365filtering.com -all"

Sorun şu: Bu, Office 365 istemcilerinin "Çok fazla arama" PermError altında kalmaktan kaçınmasına yardımcı olurken, dünyadaki her posta sunucusunu, onlara bağlanan her IP adresi için (pahalı) PTR aramaları yapmaya zorlayarak bunu yapar.

Başına SPF şartname :

Mümkünse, bu mekanizmayı SPF kaydınızda kullanmaktan kaçınmalısınız, çünkü daha fazla sayıda pahalı DNS aramasına neden olacaktır.

Bu sorunu da bulduk. Microsoft, artık yeni öğeler eklemek için yer olmadığı için Office 365'i yalnızca e-postanız için kullanmanızı teşvik ediyor.

Biz onu var yolu iki yönlü oldu.

İlk olarak, diğer girişleri açık IPv4 girişleri olarak ekleyerek DNS aramalarını azaltabiliriz. Bu, bizden önce birkaç açık IP eklememizi sağlar.include:outlook.com

İkinci olarak, Office 365 işleri için ana alan adımız altında ayrı bir alt alan adı oluşturduk. Bu şekilde, e-postalar @ foo.company.com Office 365 SPF'sini alır ve e-postalar @ comapny.com normal SPF'mizi alır. Mükemmel değil, ama neyse ki Office 365'i kullandığımız yerler, temel etki alanı yerine alt etki alanı içinde e-posta adreslerini kullanabiliyor.