Inleiding
In dit document wordt beschreven hoe de SPF-record die door Cisco wordt aanbevolen voor CES-gehoste klanten werkt.
Vereisten
- Basisbegrip van hoe DNS werkt.
Belang van SPF-macro's
De record die door Cisco wordt aanbevolen, maakt gebruik van een SPF-macro die in RFC7208 Section 7 is gedefinieerd. De macro wordt in dit geval gebruikt om de hoeveelheid DNS-lookups te verminderen die nodig zou zijn om de CES-applicaties te laten doorlopen SPF-verificatie. Dit is belangrijk omdat SPF de hoeveelheid DNS-lookups per SPF-verificatie beperkt tot 10 volgens RFC7208 Section 4.6.4. Als er meer dan 10 DNS-lookups nodig zijn, is het SPF-verificatieresultaat fout. Dit hoeft geen probleem te zijn, maar als er meer gehoste ESA's worden geleverd, zullen er meer DNS-lookups nodig zijn.
U kunt het IP-adres van elke gehoste ESA toevoegen aan de SPF-record. Dit zal geen extra DNS raadplegingen tijdens SPF controle vereisen. Het nadeel hiervan is echter dat je de SPF record moet wijzigen wanneer er nieuwe ESA's zijn voorzien of wanneer het IP-adres van een bestaande ESA verandert. De SPF-record die Cisco aanbeveelt, vereist geen beheer van u nadat de record is toegevoegd.
SPF-record toegelicht
Het volgende is een voorbeeld van de SPF record:
$ dig acme.com txt +short
"v=spf1 exists:%{i}.spf.acme.iphmx.com ~all"
Opmerking: Het "top"-gedeelte van dit SPF-record wordt beschouwd als de toewijzingsnaam. Uw CES-gehoste cluster heeft een unieke toewijzingsnaam en moet worden gebruikt in plaats van "acme" als u deze SPF-record aan DNS toevoegt.
In dit SPF verslag, wordt de macro "% {i}" gebruikt. Deze macro wordt gebruikt als een variabele die wordt vervangen door het IP-adres van de verbindende host wanneer de SPF-verificatie plaatsvindt. Bijvoorbeeld, als 192.168.0.1 de verzendende gastheer is, zou de hostname "% {i}.spf.acme.iphmx.com"aan "192.168.0.1.spf.acme.iphmx.com."uitbreiden
Het "bestaat"mechanisme wordt bepaald bij RFC7208 sectie-5.7 en zal aanpassen als hostname "% {i}.spf.acme.iphmx.com"een A- verslag in DNS heeft. Bijvoorbeeld, laten we zeggen 192.168.0.1 is de verzendende gastheer opnieuw. De hostname "% {i}.spf.acme.iphmx.com" zou uitbreiden naar "192.168.0.1.spf.acme.iphmx.com" en de controlerende host zou de volgende DNS-lookup doen:
$ dig 192.168.0.1.spf.acme.iphmx.com a +short
127.0.0.2
Opmerking: het domein iphmx.com wordt beheerd door Cisco. Daarom kan alleen Cisco DNS-records voor dat domein, zoals de record hierboven, toevoegen/verwijderen/wijzigen. Dit betekent voor u dat u deze records niet hoeft toe te voegen wanneer er nieuwe ESA's worden geleverd aan uw CES-cluster. Het is de verantwoordelijkheid van Cisco om ervoor te zorgen dat deze records worden toegevoegd en correct zijn.
Omdat het IP-adres 127.0.0.2 werd teruggegeven, zou het bestaande mechanisme overeenkomen en zou het SPF-verificatieresultaat worden doorgegeven.
Laten we zeggen dat de verzendende gastheer 10.0.0.1 is. De hostname "% {i}.spf.acme.iphmx.com" zou uitbreiden naar "10.0.0.1.spf.acme.iphmx.com" en de controlerende host zou de volgende DNS-lookup doen:
$ dig 10.0.0.1.spf.acme.iphmx.com a +short
$
Omdat geen resultaat werd teruggegeven, zou het bestaande mechanisme niet aanpassen en het SPF verificatieresultaat zou softfail zijn.
Aanvullende informatie
SPF-technologie kan complex zijn, afhankelijk van de hoeveelheid hosts die u wilt autoriseren om e-mail af te geven voor uw domein. Als de CES-gehoste apparaten de enige hosts zijn die zijn geautoriseerd om e-mail voor uw domein door te geven, dan werkt de bovenstaande record prima voor u. Anders, zult u de SPF record die wij verstrekken moeten wijzigen zodat het alle gastheren zal machtigen dat u het aan nodig hebt.
Als u een bestaande SPF record hebt, "bestaat:% {i}.spf.acme.iphmx.com" kan worden toegevoegd aan die SPF record.
Feedback