PermError SPF Постоянная ошибка: превышен предел поиска по пустоте 2

13

Я пытаюсь настроить SPF на сервере - почта работает нормально и проверяется в соответствии с mxtoolbox и другими онлайн-проверками, но когда я проверяю его с помощью http://www.kitterman.com/spf/validate.html, я получаю сообщение об ошибке:

PermError SPF Permanent Error: Void lookup limit of 2 exceeded

Мне известно ограничение в 10 поисков, но я не видел эту ошибку раньше.

SPF-запись:

v=spf1 a mx ip4:IP1 ip4:IP2 ip6:IP3 include:spf-a.outlook.com 
include:spf-b.outlook.com include:spf-c.outlook.com 
include:spf.messaging.microsoft.com include:_spf.zdsys.com 
include:spf.mail.intercom.io -all 

На что ссылается предел поиска пустот?

bhttoan
источник

Ответы:

13

Предел поиска пустот был введен в RFC 7208 и относится к поискам DNS, которые либо возвращают пустой ответ (NOERROR без ответов), либо ответ NXDOMAIN. Это отдельное количество от общего количества поиска в 10 DNS.

Как описано в конце Раздела 11.1 , могут быть случаи, когда полезно ограничить количество «терминов», для которых DNS-запросы возвращают либо положительный ответ (RCODE 0) со счетчиком ответов 0, либо «Ошибка имени». "(RCODE 3) ответ. Они иногда все вместе упоминаются как "пустые поиски". Реализации SPF ДОЛЖНЫ ограничивать число «пустых поисков» двумя. Реализация МОЖЕТ сделать такой предел настраиваемым. В этом случае значение по умолчанию два РЕКОМЕНДУЕТСЯ. Превышение лимита дает результат «permerror».

Это должно помочь предотвратить ошибочные или вредоносные записи SPF, способствующие атаке отказа в обслуживании на основе DNS.

В вашем случае проблемной частью кажется:

include:spf.messaging.microsoft.com

Его запись SPF:

v=spf1 ptr:protection.outlook.com ptr:messaging.microsoft.com ptr:o365filtering.com -all

Все три из этих записей при поиске возвращают либо NOERROR без записей, либо NXDOMAIN.

Поскольку три записи ничего не возвращали, вы превысили предел поиска пустот 2, и запись SPF не удалась.

Майкл Хэмптон
источник
Прекрасное спасибо, я проверил и получил обновленную запись SPF для Office 365, и после использования эта ошибка исчезла
bhttoan
Отличная информация Какой хороший способ поиска записей, чтобы увидеть, что они возвращают? Мне нужно выяснить, какая у меня проблема.
mlissner
@mlissner Есть много онлайн-сайтов валидаторов SPF, которые вы можете попробовать.
Майкл Хэмптон
Я обнаружил, что, по крайней мере, в случае python-spfреализации выполненные поиски зависят от проверяемого IP-адреса и, следовательно, количество запросов, возвращающих ни одной записи, не меняется. Поскольку владелец домена не контролирует, какие IP-адреса необходимо будет проверять, следствием этого является то, что любая aили mxспецификация в записи SPF должна указывать только на имена из двух стеков, чтобы предотвратить ложные ошибки.
Касперд