Limit zapytań DNS (SPF)
Ocena SPF może wykonać najwyżej 10 zapytań DNS. Przekroczenie limitu daje permerror i powoduje niepowodzenie SPF.
Czym jest limit zapytań DNS (SPF)?
Limit zapytań DNS w SPF odnosi się do reguły, według której ocena SPF może wykonać najwyżej 10 mechanizmów i modyfikatorów odpytujących DNS podczas jednego sprawdzenia. Ograniczenie to istnieje, aby zapobiec nadmiernym lub rekurencyjnym zapytaniom DNS, które mogłyby spowolnić dostarczanie poczty lub stwarzać ryzyko nadużyć. Jeśli polityka SPF wymaga więcej niż 10 zapytań, przetwarzanie SPF kończy się wynikiem permerror, a odbiorcy zwykle traktują wiadomość jako niespełniającą weryfikacji SPF.
To ograniczenie wpływa na sposób tworzenia rekordu v=spf1. Niektóre mechanizmy wywołują zapytania DNS, a inne nie. Staranne planowanie utrzymuje rekord w granicach limitu i zapewnia niezawodne wyniki uwierzytelniania u różnych dostawców skrzynek pocztowych.
Jak działa limit zapytań DNS
Podczas oceny SPF serwer odbiorcy rozwija Twoją politykę v=spf1. Za każdym razem, gdy rozwinięcie wymaga zewnętrznego zapytania DNS, liczy się ono do limitu 10. Licznik sumuje się w ramach wpisów include i redirect, nie tylko na najwyższym poziomie.
Mechanizmy i modyfikatory, które wywołują zapytania DNS:
- a
- mx
- ptr
- exists
- include
- redirect
Mechanizmy, które nie wywołują zapytań DNS:
- all
- ip4
- ip6
- exp
Istnieje też osobny limit dla void lookups. Jeśli dwa lub więcej mechanizmów odpytujących DNS nie zwróci żadnych danych lub zwróci NXDOMAIN, ocena może zatrzymać się z wynikiem permerror. Chroni to odbiorców przed kosztownymi lub nadużywanymi politykami.
Przykład polityki zagrożonej przekroczeniem limitu:
v=spf1 include:_spf.vendor1.com include:_spf.vendor2.com include:_spf.vendor3.com include:_spf.vendor4.com include:_spf.vendor5.com mx a ~allNawet jeśli najwyższy poziom wydaje się mieć mniej niż 10 zapytań, każdy include może sam zawierać dodatkowe mechanizmy include, a lub mx. Łączna liczba w całym rozwiniętym drzewie musi pozostać na poziomie 10 lub niższym.
Dlaczego limit jest ważny dla dostarczalności i bezpieczeństwa
Jeśli Twoja polityka SPF przekroczy limit 10 zapytań, odbiorcy mogą zwrócić permerror i potraktować wiadomość tak, jakby SPF się nie powiódł. W zależności od polityki DMARC i wyrównania to niepowodzenie może obniżyć umieszczanie w skrzynce odbiorczej lub spowodować całkowite odrzucenie dla chronionych domen.
Ryzyka operacyjne związane z osiągnięciem limitu obejmują:
- Sporadyczne niepowodzenia SPF, gdy dostawcy zmieniają swoje wpisy include
- Trudne do zdiagnozowania problemy z dostarczaniem u różnych odbiorców
- Nieoczekiwane niepowodzenia DMARC z powodu niewyrównania SPF
- Zwiększoną kruchość przy dodawaniu nowych usług wysyłkowych
Utrzymywanie polityki w granicach limitu zapewnia stabilne wyniki uwierzytelniania, zmniejsza obciążenie wsparcia i chroni reputację domeny. Zabezpiecza też przed atakującymi, którzy tworzą polityki wymuszające kosztowną pracę resolvera po stronie odbiorców.
Praktyczne sposoby, aby pozostać poniżej limitu
Projektuj polityki SPF tak, aby minimalizować liczbę zapytań DNS bez utraty dokładności. Skuteczne taktyki obejmują:
- Preferuj ip4 i ip6, gdy to możliwe, aby zakodować znane zakresy bezpośrednio
- Konsoliduj nakładające się wpisy include dostawców i usuwaj nieużywane usługi
- Unikaj ptr i używaj a oraz mx tylko wtedy, gdy to konieczne
- Używaj zbiorczych wpisów include dostarczanych przez dostawcę, gdy są dostępne, zamiast łączyć wiele wpisów specyficznych dla marek
- Spłaszczaj ostrożnie, rozwiązując wpisy include do adresów IP, gdy zakresy są stabilne, z procesem ponownej weryfikacji przy zmianach u dostawcy
- Używaj redirect raz dla czystego dziedziczenia zamiast wielu warstwowych przekierowań
- Monitoruj void lookups i naprawiaj literówki lub wycofane nazwy hostów
Uproszczony przykład, który mieści się w limicie:
v=spf1 ip4:203.0.113.0/24 include:_spf.mailhost.com ip6:2001:db8:abcd::/48 -allLimit zapytań DNS a DMARCeye
DMARCeye ocenia Twoją politykę SPF z pełnym rozwinięciem, aby oszacować łączną liczbę zapytań DNS i wskazać polityki, które zbliżają się do limitu lub go przekraczają. Platforma śledzi, które mechanizmy najbardziej zwiększają licznik, i ujawnia ryzykowne łańcuchy include i redirect.
DMARCeye flaguje też void lookups, przestarzałe użycie ptr i błędne konfiguracje, które mogłyby przepchnąć Twój rekord ponad próg po aktualizacji u dostawcy. Dzięki jasnym rekomendacjom i śledzeniu zmian zespoły mogą upraszczać polityki SPF, mieścić się w regule 10 zapytań i utrzymywać stałe wskaźniki zdawalności DMARC.
Sprawdź swój rekord SPF:
Wypróbuj DMARCeye za darmo i zabezpiecz swoją domenę e-mail.
Aby dowiedzieć się więcej o DMARC i powiązanych pojęciach, zajrzyj do Słownika pojęć DMARCeye.