Introduction
Ce document décrit le fonctionnement de l'enregistrement SPF recommandé par Cisco pour les clients hébergés par CES.
Exigences
- Compréhension de base du fonctionnement du DNS.
Importance des macros SPF
L'enregistrement recommandé par Cisco utilise une macro SPF définie dans la section 7 du document RFC7208. Dans ce cas, la macro est utilisée pour réduire le nombre de recherches DNS nécessaires pour permettre aux appliances CES de passer la vérification SPF. Ceci est important parce que SPF limite le nombre de recherches DNS par vérification SPF à 10 selon RFC7208 Section 4.6.4. Si plus de 10 recherches DNS sont requises, le résultat de la vérification SPF est permerror. Cela n'est peut-être pas un problème, mais si davantage d'ESA hébergés sont provisionnés, davantage de recherches DNS seront nécessaires.
Vous pouvez ajouter l'adresse IP de chaque ESA hébergé à l'enregistrement SPF. Cela ne nécessite aucune recherche DNS supplémentaire lors de la vérification SPF. Cependant, l'inconvénient est que vous devez modifier l'enregistrement SPF chaque fois que de nouveaux ESA sont provisionnés ou lorsque l'adresse IP d'un ESA existant change. L'enregistrement SPF recommandé par Cisco ne nécessite aucune gestion de votre part après l'ajout de l'enregistrement.
Enregistrement SPF expliqué
Voici un exemple d'enregistrement SPF :
$ dig acme.com txt +short
"v=spf1 exists:%{i}.spf.acme.iphmx.com ~all"
Remarque : La partie « acme » de cet enregistrement SPF est considérée comme le nom de l'allocation. Votre cluster hébergé CES a un nom d'allocation unique et doit être utilisé à la place de « acme » si vous ajoutez cet enregistrement SPF au DNS.
Dans cet enregistrement SPF, la macro « %{i} » est utilisée. Cette macro est utilisée comme variable remplacée par l'adresse IP de l'hôte de connexion lors de la vérification SPF. Par exemple, si 192.168.0.1 est l'hôte émetteur, le nom d'hôte « %{i}.spf.acme.iphmx.com » se développerait en « 192.168.0.1.spf.acme.iphmx.com ».
Le mécanisme « existe » est défini à la Section-5.7 de RFC7208 et correspondra si le nom d'hôte « %{i}.spf.acme.iphmx.com » a un enregistrement A dans DNS. Par exemple, supposons que 192.168.0.1 soit à nouveau l'hôte émetteur. Le nom d'hôte « %{i}.spf.acme.iphmx.com » se développerait en « 192.168.0.1.spf.acme.iphmx.com » et l'hôte de vérification effectuerait la recherche DNS suivante :
$ dig 192.168.0.1.spf.acme.iphmx.com a +short
127.0.0.2
Remarque : le domaine iphmx.com est géré par Cisco. Pour cette raison, seul Cisco peut ajouter/supprimer/modifier des enregistrements DNS pour ce domaine comme l'enregistrement ci-dessus. Cela signifie pour vous que vous n'avez pas besoin d'ajouter ces enregistrements chaque fois que de nouveaux ESA sont provisionnés dans votre cluster CES. Il incombe à Cisco de s'assurer que ces enregistrements sont ajoutés et corrects.
Comme l'adresse IP 127.0.0.2 a été renvoyée, le mécanisme Existe correspond et le résultat de la vérification SPF est réussi.
Supposons que l’hôte émetteur est 10.0.0.1. Le nom d'hôte « %{i}.spf.acme.iphmx.com » se développerait en « 10.0.0.1.spf.acme.iphmx.com » et l'hôte de vérification effectuerait la recherche DNS suivante :
$ dig 10.0.0.1.spf.acme.iphmx.com a +short
$
Comme aucun résultat n'a été renvoyé, le mécanisme existe ne correspondrait pas et le résultat de la vérification SPF serait softfail.
Additional Information
La technologie SPF peut être complexe en fonction de la quantité d’hôtes que vous souhaitez autoriser à relayer le courrier pour votre domaine. Si les appliances hébergées CES sont les seuls hôtes autorisés à relayer le courrier pour votre domaine, l'enregistrement ci-dessus est idéal pour vous. Sinon, vous devrez modifier l'enregistrement SPF que nous fournissons afin qu'il autorise tous les hôtes auxquels vous en avez besoin.
Si vous disposez d'un enregistrement SPF existant, « existe : %{i}.spf.acme.iphmx.com » peut être ajouté à cet enregistrement SPF.
Commentaires