重要提示:谷歌和雅虎将从 2024 年 4 月起要求使用 DMARC。
阅读更多
权力管理机构

修复SPF的错误:克服SPF过多的DNS查询限制

Maitham Al Lawati
SPF的错误 - SPF有太多的DNS查询
阅读时间 8 分钟

SPF 错误表示在处理域的 SPF 记录时遇到永久性错误。域名所有者可能会面临 SPF permerror,其原因有很多,例如: 

  1. 无效或不正确的 SPF 记录 
  2. DNS 查询次数过多,超过 SPF 查询限制
  3. 无效查找次数过多,超出 SPF 查找限制
  4. SPF 记录太长
  5. 为单个域发布一个以上 SPF 记录

要解决 SPF Permerror 问题,域名所有者需要确保将 SPF 的 DNS 查询次数限制在 10 次以内。他们还应保持最佳的 SPF 字符长度。检查其 SPF 记录是否存在语法和配置错误是检测 SPF 错误的一个重要起点。一旦 Permerror 问题得到解决,您就可以绕过假否定,防止 SPF 出错。

什么是SPF Permerror?

SPF=Permerror 表示 SPF 记录存在基本问题。这样就无法确定发送服务器是否获得授权。SPF Permerror 或 SPF 永久错误是在电子邮件验证过程中评估发件人策略框架 (SPF) 记录时遇到的。 

SPF失败和Permerror之间有什么区别?

SPF 失败与 Permerror 的区别在于 SPF 验证过程中遇到的错误的性质:

  1. SPF 故障:当电子邮件服务器检查发件人域名的 SPF 记录并确定发送服务器未被授权代表该域名发送电子邮件时,就会导致 SPF 失败.
  2. SPF Permerror:SPF Permerror 是 SPF 永久错误的简称,当 SPF 记录出现根本性问题,导致无法正确评估时,就会出现这种情况。Permerror 表示 SPF 记录无法准确处理,从而无法确定发送服务器是否获得授权。

什么是10个DNS的查询限制?

10次DNS查询限制是对发件人策略框架(SPF)记录的限制,这意味着当一个电子邮件服务器收到一封传入的电子邮件时,它最多只能进行10次DNS查询来检索与发送域相关的SPF记录。

这一限制有助于防止在电子邮件发送过程中出现过多的DNS查询和潜在的性能问题。如果一个域名的SPF记录超过了10次DNS查询的限制,一些电子邮件服务器可能会将SPF视为无效,或者完全拒绝该邮件。因此,仔细管理和优化SPF记录中的DNS查询次数,以确保电子邮件的正常发送和SPF验证是至关重要的。

为什么RFC为域名规定了如此严格的SPF域名查询限制?

虽然 SPF 记录限制看起来是相当不受欢迎的 SPF 限制,但也不一定是这样。SPF 的 DNS 查询限制是为了阻止 "拒绝服务 "的攻击(如 RFC 7208 中提到的)。 RFC 7208).

例如,威胁行为者在一个假域名上创建 SPF 记录,并参考合法的公司域名,向各种接收服务器批量发送电子邮件。由于 SPF 记录允许 10 次 DNS 查询的限制(即 ESP 每次可查询发件人的 DNS 共计 10 次 SPF 检查在这种情况下,SPF 记录有助于减少接收方的拒绝服务攻击。

ESP 何时返回 SPF Permerror 结果?

当一个电子邮件服务器收到一封邮件时,它会检查发件人域名的SPF记录,以验证发送邮件的服务器是否被授权。如果SPF记录有问题,使其不能被正确评估,就会发生Permerror(永久错误)。

接收服务器可能会以不同的方式处理SPF错误。一些服务器可能认为这是一个软故障,将邮件视为潜在的可疑邮件,但不直接拒绝它。其他服务器可能将其视为硬故障,导致邮件被拒绝或被标记为垃圾邮件。

修复 SPF 错误非常重要,可确保电子邮件的正常发送并维护 电子邮件安全.

哪些因素会导致SPF恐怖?

SPF Permerror 可能由多种因素造成,如 SPF DNS 查找次数过多,超过 SPF 限制、语法错误和配置问题。让我们来探讨一下它们是什么: 

语法错误

SPF 记录中不正确的格式或语法会触发 Permerror。引号或冒号等字符缺失或错位会导致解析问题。出现这些错误的原因可能是

  1. 缺失或错位的字符,如引号 (") 和冒号 (:)
  2. 格式不正确的机制或限定符
  3. 宏定义无效

例如

缺少冒号: v=spf1 include_spf.example.com -all

错置的限定符: v=spf1 +mx a:mail.example.com -all

DNS配置问题

DNS 配置问题涉及与 SPF 记录的域名系统 (DNS) 设置有关的问题。这些问题可能包括

不正确或不完整的DNS配置、无效的SPF记录位置、或与相应的域的不正确关联都会导致评估失败。

DNS查询限制

DNS 查询限制是 SPF 规范为防止 SPF 评估期间出现过多 DNS 查询而规定的约束条件。这些限制包括

超过这些限制会导致 Permerror。

例如

  1. SPF 记录包含多个包含机制,导致超过 10 次 DNS 查询。
  2. 连锁过多需要 DNS 查询的机制或修改器。

超大的SPF记录

当 SPF 记录的大小超过 RFC 规定的限制时,就会出现 SPF 记录过大的情况。RFC 规定 SPF 记录不得超过 255 个字符。造成 SPF 记录过大的原因包括

例如

  1. 包含大量 IP 地址、网络或第三方服务的单一 SPF 记录。
  2. SPF 记录中的多个冗余机制或限定符会不必要地增加记录的大小。

过多的 DNS 查询对您的电子邮件有何影响?

如果 SPF 记录中涉及过多的 DNS 查询,就会对您的电子邮件产生前所未有的影响。过多的 DNS 查询会导致送达不一致,并引发 SPF Permerror。 

1.可能导致交货延迟

过多的DNS查询会增加处理SPF记录的时间。这可能会导致电子邮件发送的延迟,因为接收服务器需要等待来自多个DNS服务器的响应。

2.可能导致超时错误 

DNS 查询涉及接收服务器和 DNS 服务器之间的通信。太多的DNS查询会增加超时错误的可能性,从而导致SPF评估失败或交付时间延长。

3.可能增加SPF的风险

如果SPF记录超过了这些查询限制,就会触发Permerror,表明SPF记录不能被准确处理。该邮件可以被标记为可疑或可能被拒绝。

4.可能导致不完整的SPF评估

如果接收服务器由于 SPF 过多的 DNS 查询而遇到 DNS 查询限制或超时错误,它可能会过早地终止 SPF 评估。 

我是否超出了 SPF 过多 DNS 查询的限制? 

如果你担心超过SPF的查询限制,你可以使用我们的 SPF记录检查器工具。最重要的是--它是免费的我们的工具有效地总结了你的SPF记录的所有问题,这样你就可以更快地排除问题了。如果你超过了DNS的查询限制--它会让你知道的

如何解决SPF的错误?

为了解决SPF错误,确保通过SPF扁平化有效地利用查询,这样你就可以优化你的SPF记录,在检查时保持在10次DNS查询限制之下。 

1.通过手动减少查找次数修复 Permerror

你可以用 IP 地址取代你的 SPF "包含 "和/或 "重定向 "机制。虽然这可以修复 SPF 漏洞,但这并不是一个理想的解决方案。这是因为在添加了长长的 IP 列表之后,你的记录的长度可能会超过字符限制,并引发更多的错误。 

例如,考虑以下具有多个 "包含 "机制的 SPF 记录:

v=spf1 include:_spf.example.com include:_spf.anotherexample.com -all

为减少 DNS 查询,可以用 IP 地址代替 "包含 "机制:

v=spf1 ip4:192.0.2.1 ip4:203.0.113.5 -all

在本例中,域名 _spf.example.com 和 _spf.anotherexample.com 被替换为相应的 IP 地址(分别为 192.0.2.1 和 203.0.113.5)。

虽然这种手动减少 DNS 查询的方法可以减少 SPF Permerror,但必须考虑潜在的限制。一个重要的问题是 SPF 记录的字符限制。添加长长的 IP 地址列表可能会超过这一限制,从而导致更多错误。因此,有必要进行仔细规划和优化,以确保 SPF 记录保持在允许的字符数范围内。

2.使用 SPF 自动优化工具修复 Permerror

避免 SPF 错误的更有效方法是部署 SPF 扁平化工具或更好的 SPF 宏.PowerSPF 是一种自动、省事的托管服务解决方案。这不仅能确保您的 DNS 查询次数不超过 10 次,还能让您随时了解电子邮件服务提供商和经常添加或更改 IP 地址的供应商所做的任何更改。

更棒的是,只需点击几下即可完成!使用该工具的步骤如下: 

1. 注册 免费注册 PowerDMARC

2.转到 PowerSPF

 

3.按照工具提供的说明创建 SPF 记录

4.单击启用 PowerSPF 按钮

5.在 DNS 上发布 PowerSPF 自定义 SPF 记录,然后将 "待定 "状态转换为 "已启用 "状态

然后就大功告成了!这是防止 SPF 过量的最快速、最简单、最有效的方法。 

修复 SPF 错误,提高邮件发送量邮件发送能力

由于几个原因,修复SPF错误是最重要的。它极大地影响了电子邮件的可送达性,因为SPF错误会导致合法的电子邮件被标记为垃圾邮件或被接收邮件的服务器拒绝,从而导致到达收件人收件箱的机会减少。此外,SPF作为一个重要的发件人认证机制,使电子邮件收件人能够验证发件人域名的合法性。 

通过解决SPF错误,你可以确保你的合法邮件得到正确的认证,减少你的域名被利用来进行电子邮件欺骗或网络钓鱼攻击的风险。解决SPF错误有助于维护你的品牌声誉,因为持续的发送失败和垃圾邮件标记会损害对你的品牌的可信赖性和可信度的看法。

Maitham Al Lawati发表的最新文章(查看全部)
退出手机版