înregistrare Logare
Puncte:1
Pascal Ognibene avatar Server

Cum să configurați înregistrările DNS SPF pentru multe subdomenii

drapel cn
Pascal Ognibene

Am un nume de domeniu, să spunem example.com, și multe servere (potențial sute), fiecare cu un IP public și un subdomeniu (sub1.example.com, sub2.example.com etc.). Fiecare server găzduiește o instalare Postfix. Scopul aici este de a putea trimite e-mailuri de pe orice server (nu de a primi e-mailuri). Cu toate acestea, nu există niciun server de e-mail atașat domeniului principal în sine (example.com)

Acum încerc să configurez intrările SPF în DNS, dar sunt puțin blocat. Am încercat multe combinații, dar se termină întotdeauna cu un SPF SOFTFAIL atunci când încerc să trimit un e-mail la gmail. De asemenea, nu îmi este clar cum să rezolv limitările privind lungimea înregistrării SPF cu atât de multe servere/IP.

Adăugând mai mult context (chiar dacă am acceptat răspunsul lui Bob).

Ideea este de a avea o arhitectură foarte redundantă, în care orice server poate eșua și sistemul în ansamblu va continua să funcționeze (cel puțin pentru trimiterea de e-mail).Nu am control asupra intervalului de adrese IP: serverele vor fi furnizate în mai multe țări și cu mai mulți furnizori. Am încercat să definesc o intrare SPF numai pentru numele de domeniu principal.

                     600 IN TXT "v=spf1 mx ~all"

La trimiterea către Gmail primesc o eroare SOFTFAIL pentru validarea SPF, e-mailul fiind trimis dintr-un subdomeniu (cum ar fi sub1.domain.com)

Apoi am încercat să adaug adresa IP a expeditorului în înregistrare:

                      600 IN TXT "v=spf1 mx ip4:server_ip ~all"

Dar ajung cu aceeași eroare SOFTFAIL. De asemenea, am încercat să adaug o altă intrare SPF pentru subdomeniu, dar din câte am înțeles, ar trebui creată o singură intrare SPF :-/ Am încercat să includ și: numele de domenii, cu același rezultat.

Orice ajutor sau îndrumare ar fi apreciat :-)

243
0 + 0
SPF
anx avatar
drapel fr
anx
„am încercat multe combinații” -- vă rugăm să [editați] întrebarea dvs. pentru a fi precis despre ceea ce doriți să realizați, ce ați încercat și de ce specificarea blocurilor dvs. de IP depășește limitările.
1
Răspunde
Puncte:2
avatar Server
drapel td
bob

Depinde puțin de obiectivele tale și de problemele cu care te confrunți.

Există mai multe mecanisme SPF pentru a potrivi clasele de gazde fără a enumera toate gazdele direct în înregistrarea SPF, de exemplu:

  • cel ip4 mecanism și echivalent ip6 mecanism pentru a potrivi subrețelele atunci când toate serverele dvs. aparțin unuia sau mai multor intervale de adrese IP care sunt exclusiv ale dvs.:

    ip4:<ip4-network>/<prefix-length>
ip6:<ip6-network>/<prefix-length>

  • puteți crea o singură înregistrare A (de exemplu bob.example.com) care conține toate înregistrările IPv4 A și/sau IPv6 AAAA (în mod round-robin) ale serverelor pe care doriți să le permiteți să trimită e-mail direct prin IPv4 resp. IPv6 și consultați-l în înregistrarea dvs. SPF:

    âv=spf1 a:bob.example.com. ~toateâ

bob.example.com. ÎN A 10.0.0.1
bob.example.com. ÎN A 192.168.0.1
bob.example.com. ÎN A 172.16.0.2
bob.example.com. ÎN AAAA 2001:db8:ffff:ffff:ffff:ffff:ffff:fff1

  • cel include cuvântul cheie poate fi folosit atunci când înregistrarea dvs. SPF devine prea lungă pentru a se încadra într-o singură înregistrare DNS. De exemplu, înregistrarea curentă Gmail/Google SPF nu include în mod direct niciun interval de IP, dar le include pe cele din trei înregistrări suplimentare:

    _spf.google.com. 300 IN TXT „v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all”

_netblocks.google.com. 300 IN TXT "v=spf1 ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20 ip4:66.249.80.0/20 ip4:72.14.192.0/20 ip4:72.14.192.14:07/10 ip4. :108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~toate"

_netblocks2.google.com. 300 IN TXT "v=spf1 ip6:2001:4860:4000::/36 ip6:2404:6800:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2800:3f0:4000::/36 ip6:2800:3f0:4000:: 36 ip6:2a00:1450:4000::/36 ip6:2c0f:fb50:4000::/36 ~toate"

_netblocks3.google.com. 300 IN TXT "v=spf1 ip4:172.217.0.0/19 ip4:172.217.32.0/20 ip4:172.217.128.0/19 ip4:172.217.160.0/20 ip4:172.217.32.0/20 ip4:172.217.128.0/19 ip4:172.217.160.0/20 ip4:172.217.2192.172.192. :172.253.112.0/20 ip4:108.177.96.0/19 ip4:35.191.0.0/16 ip4:130.211.0.0/22 ​​~toate"

O alternativă este să NU permiteți tuturor gazdelor să trimită e-mail direct. Configurați unul sau mai multe servere ca relee de e-mail dedicate și autorizați numai pe cele din SPF. Toate celelalte servere pe care le configurați apoi să utilizeze acele gazde relee.

0 + 0
Pascal Ognibene avatar
drapel cn
Pascal Ognibene
Bună, Bob, mulțumesc pentru răspuns, acest lucru aruncă o lumină asupra posibilelor soluții.Având în vedere că în cele din urmă aș putea avea până la 200 de servere, se pare că cea mai bună alternativă este ultima: să nu le permit tuturor să trimită e-mail direct - altfel voi ajunge probabil în limitări cu dimensiunea înregistrării SPF, chiar și atunci când se utilizează înregistrări suplimentare. Mulțumesc din nou, asta a fost de mare ajutor. Pascal
0
Răspunde
Puncte:1
avatar Server
drapel us
glts

Descrierea dvs. a cazului dvs. de utilizare nu este suficient de completă. Dar dacă scopul tău este să trimiți e-mail de la *@example.com de la oricare dintre acele servere, apoi SPF ptr mecanismul este proiectat tocmai pentru acest caz de utilizare.

Veți configura un DNS invers 1.2.3.4 â sub1.example.com â 1.2.3.4, pentru fiecare dintre serverele de subdomeniu.

Apoi veți instala următoarea înregistrare SPF la domeniul principal example.com:

v=spf1 ptr -all

Asta e tot.

Avantajul acestui lucru față de alte abordări este că este ușor de configurat, nu intră în limitele de căutare și se scalează la un număr arbitrar de gazde subdomenii.

Dezavantajul este că este oarecum în contradicție cu prescripțiile SPF RFC: RFC 7208 descurajează utilizarea ptr mecanism. Cu toate acestea, se poate argumenta că formularea de acolo este prea severă și având în vedere utilizarea de către dumneavoastră a cazului de utilizare ptr este acceptabil. Vezi si intrebarea mea 1063826.

0 + 0
Pascal Ognibene avatar
drapel cn
Pascal Ognibene
Scopul meu este într-adevăr să pot trimite e-mail de pe orice server atașat la un subdomeniu, cum ar fi sub1.example.com, sub2.example.com. Cu toate acestea, destinatarul e-mailului ar trebui să vadă doar example.com ca expeditor (chiar dacă expeditorul real este vizibil în e-mailul brut). Am configurat DNS invers atât pentru ipv4, cât și pentru ipv6 și am adăugat intrări A și AAAA în DNS pentru subdomeniul meu (să-i spunem sub1.example.com). Am incercat sugestia ta cu ``` v=spf1 ptr -all ``` Și într-adevăr acum trec verificarea SPF pe Gmail :-)
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.