Einleitung
In diesem Dokument wird beschrieben, wie der von Cisco für CES-gehostete Kunden empfohlene SPF-Datensatz funktioniert.
Anforderungen
- Grundlegendes Verständnis der Funktionsweise von DNS.
Bedeutung von SPF-Makros
Der von Cisco empfohlene Datensatz verwendet ein SPF-Makro, das in RFC 7208 Abschnitt 7 definiert ist. Das Makro wird in diesem Fall verwendet, um die Anzahl von DNS-Lookups zu reduzieren, die erforderlich wären, damit die CES-Appliances die SPF-Verifizierung bestehen können. Dies ist wichtig, da SPF die Anzahl der DNS-Lookups pro SPF-Verifizierung gemäß RFC7208 Abschnitt 4.6.4 auf 10 begrenzt. Wenn mehr als 10 DNS-Lookups erforderlich sind, wird als Ergebnis der SPF-Verifizierung ein Permerror angezeigt. Dies ist zwar kein Problem, aber wenn mehr gehostete ESAs bereitgestellt werden, sind mehr DNS-Lookups erforderlich.
Sie können dem SPF-Datensatz die IP-Adresse jeder gehosteten ESA hinzufügen. Dies erfordert keine zusätzlichen DNS-Lookups während der SPF-Verifizierung. Der Nachteil ist jedoch, dass Sie den SPF-Datensatz ändern müssen, wenn neue ESAs bereitgestellt werden oder wenn sich die IP-Adresse einer vorhandenen ESA ändert. Der von Cisco empfohlene SPF-Datensatz erfordert nach dem Hinzufügen des Datensatzes kein Management von Ihnen.
SPF-Datensatz erklärt
Das folgende Beispiel zeigt den SPF-Datensatz:
$ dig acme.com txt +short
"v=spf1 exists:%{i}.spf.acme.iphmx.com ~all"
Anmerkung: Der "acme"-Teil dieses SPF-Datensatzes gilt als Zuordnungsname. Ihr auf der CES gehosteter Cluster hat einen eindeutigen Zuweisungsnamen und sollte anstelle von "acme" verwendet werden, wenn Sie diesen SPF-Eintrag zu DNS hinzufügen.
In diesem SPF-Datensatz wird das Makro "%{i}" verwendet. Dieses Makro wird als Variable verwendet, die bei der SPF-Verifizierung durch die IP-Adresse des verbindenden Hosts ersetzt wird. Wenn beispielsweise 192.168.0.1 der sendende Host ist, würde der Hostname "%{i}.spf.acme.iphmx.com" zu "192.168.0.1.spf.acme.iphmx.com" erweitert.
Der "existiert"-Mechanismus ist in RFC7208 Abschnitt-5.7 definiert und stimmt überein, wenn der Hostname "%{i}.spf.acme.iphmx.com" einen A-Eintrag in DNS aufweist. Angenommen, 192.168.0.1 ist wieder der sendende Host. Der Hostname "%{i}.spf.acme.iphmx.com" wird auf "192.168.0.1.spf.acme.iphmx.com" erweitert, und der verifizierende Host führt die folgende DNS-Suche durch:
$ dig 192.168.0.1.spf.acme.iphmx.com a +short
127.0.0.2
Hinweis: Die Domäne iphmx.com wird von Cisco verwaltet. Aus diesem Grund kann nur Cisco DNS-Einträge für diese Domäne wie oben beschrieben hinzufügen/entfernen/ändern. Für Sie bedeutet dies, dass Sie diese Datensätze nicht jedes Mal hinzufügen müssen, wenn neue ESAs für Ihren CES-Cluster bereitgestellt werden. Es obliegt Cisco, sicherzustellen, dass diese Datensätze hinzugefügt und korrigiert werden.
Da die IP-Adresse 127.0.0.2 zurückgegeben wurde, stimmte der Mechanismus für das Vorhandensein überein, und das Ergebnis der SPF-Verifizierung wurde übergeben.
Angenommen, der sendende Host ist 10.0.0.1. Der Hostname "%{i}.spf.acme.iphmx.com" wird auf "10.0.0.1.spf.acme.iphmx.com" erweitert, und der verifizierende Host führt die folgende DNS-Suche durch:
$ dig 10.0.0.1.spf.acme.iphmx.com a +short
$
Da kein Ergebnis zurückgegeben wurde, stimmte der vorhandene Mechanismus nicht überein, und das Ergebnis der SPF-Verifizierung war softfail.
Zusätzliche Informationen
Die SPF-Technologie kann komplex sein, je nachdem, wie viele Hosts Sie autorisieren möchten, um E-Mails für Ihre Domäne weiterzuleiten. Wenn die CES gehosteten Appliances die einzigen Hosts sind, die autorisiert sind, E-Mails für Ihre Domäne weiterzuleiten, dann funktioniert der obige Datensatz hervorragend für Sie. Andernfalls müssen Sie den von uns bereitgestellten SPF-Datensatz so ändern, dass er alle Hosts autorisiert, für die Sie ihn benötigen.
Wenn Sie über einen vorhandenen SPF-Datensatz verfügen, kann diesem SPF-Datensatz die folgende Adresse hinzugefügt werden: %{i}.spf.acme.iphmx.com.
Feedback