Czym jest limit zapytań DNS (SPF)?
Limit zapytań DNS w SPF odnosi się do reguły, według której ocena SPF może wykonać najwyżej 10 mechanizmów i modyfikatorów odpytujących DNS podczas jednego sprawdzenia. Ograniczenie to istnieje, aby zapobiec nadmiernym lub rekurencyjnym zapytaniom DNS, które mogłyby spowolnić dostarczanie poczty lub stwarzać ryzyko nadużyć. Jeśli polityka SPF wymaga więcej niż 10 zapytań, przetwarzanie SPF kończy się wynikiem permerror, a odbiorcy zwykle traktują wiadomość jako niespełniającą weryfikacji SPF.
To ograniczenie wpływa na sposób tworzenia rekordu v=spf1. Niektóre mechanizmy wywołują zapytania DNS, a inne nie. Staranne planowanie utrzymuje rekord w granicach limitu i zapewnia niezawodne wyniki uwierzytelniania u różnych dostawców skrzynek pocztowych.
Podczas oceny SPF serwer odbiorcy rozwija Twoją politykę v=spf1. Za każdym razem, gdy rozwinięcie wymaga zewnętrznego zapytania DNS, liczy się ono do limitu 10. Licznik sumuje się w ramach wpisów include i redirect, nie tylko na najwyższym poziomie.
Mechanizmy i modyfikatory, które wywołują zapytania DNS:
Mechanizmy, które nie wywołują zapytań DNS:
Istnieje też osobny limit dla void lookups. Jeśli dwa lub więcej mechanizmów odpytujących DNS nie zwróci żadnych danych lub zwróci NXDOMAIN, ocena może zatrzymać się z wynikiem permerror. Chroni to odbiorców przed kosztownymi lub nadużywanymi politykami.
Przykład polityki zagrożonej przekroczeniem limitu:
v=spf1 include:_spf.vendor1.com include:_spf.vendor2.com include:_spf.vendor3.com include:_spf.vendor4.com include:_spf.vendor5.com mx a ~allNawet jeśli najwyższy poziom wydaje się mieć mniej niż 10 zapytań, każdy include może sam zawierać dodatkowe mechanizmy include, a lub mx. Łączna liczba w całym rozwiniętym drzewie musi pozostać na poziomie 10 lub niższym.
Jeśli Twoja polityka SPF przekroczy limit 10 zapytań, odbiorcy mogą zwrócić permerror i potraktować wiadomość tak, jakby SPF się nie powiódł. W zależności od polityki DMARC i wyrównania to niepowodzenie może obniżyć umieszczanie w skrzynce odbiorczej lub spowodować całkowite odrzucenie dla chronionych domen.
Ryzyka operacyjne związane z osiągnięciem limitu obejmują:
Utrzymywanie polityki w granicach limitu zapewnia stabilne wyniki uwierzytelniania, zmniejsza obciążenie wsparcia i chroni reputację domeny. Zabezpiecza też przed atakującymi, którzy tworzą polityki wymuszające kosztowną pracę resolvera po stronie odbiorców.
Projektuj polityki SPF tak, aby minimalizować liczbę zapytań DNS bez utraty dokładności. Skuteczne taktyki obejmują:
Uproszczony przykład, który mieści się w limicie:
v=spf1 ip4:203.0.113.0/24 include:_spf.mailhost.com ip6:2001:db8:abcd::/48 -allDMARCeye ocenia Twoją politykę SPF z pełnym rozwinięciem, aby oszacować łączną liczbę zapytań DNS i wskazać polityki, które zbliżają się do limitu lub go przekraczają. Platforma śledzi, które mechanizmy najbardziej zwiększają licznik, i ujawnia ryzykowne łańcuchy include i redirect.
DMARCeye flaguje też void lookups, przestarzałe użycie ptr i błędne konfiguracje, które mogłyby przepchnąć Twój rekord ponad próg po aktualizacji u dostawcy. Dzięki jasnym rekomendacjom i śledzeniu zmian zespoły mogą upraszczać polityki SPF, mieścić się w regule 10 zapytań i utrzymywać stałe wskaźniki zdawalności DMARC.
Sprawdź swój rekord SPF:
Wypróbuj DMARCeye za darmo i zabezpiecz swoją domenę e-mail.
Aby dowiedzieć się więcej o DMARC i powiązanych pojęciach, zajrzyj do Słownika pojęć DMARCeye.