PermError SPF Error permanente: se ha excedido el límite de búsqueda nulo de 2

13

Estoy tratando de configurar SPF en un servidor: el correo funciona bien y se valida de acuerdo con mxtoolbox y otras comprobaciones en línea, pero cuando lo verifico usando http://www.kitterman.com/spf/validate.html aparece un error:

PermError SPF Permanent Error: Void lookup limit of 2 exceeded

Soy consciente de un límite de 10 búsquedas, pero no he visto este error antes.

El registro SPF es:

v=spf1 a mx ip4:IP1 ip4:IP2 ip6:IP3 include:spf-a.outlook.com 
include:spf-b.outlook.com include:spf-c.outlook.com 
include:spf.messaging.microsoft.com include:_spf.zdsys.com 
include:spf.mail.intercom.io -all

¿A qué se refiere el límite de búsqueda nula?

domain-name-system  spf 
bhttoan
fuente

Respuestas:

13

El límite de búsqueda nula se introdujo en RFC 7208 y se refiere a búsquedas DNS que devuelven una respuesta vacía (NOERROR sin respuestas) o una respuesta NXDOMAIN. Este es un recuento separado del recuento general de búsqueda de 10 DNS.

Como se describe al final de la Sección 11.1 , puede haber casos en los que sea útil limitar el número de "términos" para los cuales las consultas DNS devuelven una respuesta positiva (RCODE 0) con un conteo de respuestas de 0 o un "Error de nombre "(RCODE 3) respuesta. En ocasiones, se denominan colectivamente "búsquedas nulas". Las implementaciones de SPF DEBEN limitar las "búsquedas nulas" a dos. Una implementación PUEDE elegir hacer que dicho límite sea configurable. En este caso, se RECOMIENDA un valor predeterminado de dos. Exceder el límite produce un resultado de "permerror".

Esto está destinado a ayudar a evitar que los registros SPF erróneos o malintencionados contribuyan a un ataque de denegación de servicio basado en DNS.

En su caso, la parte problemática parece ser:

include:spf.messaging.microsoft.com

Su registro SPF es:

v=spf1 ptr:protection.outlook.com ptr:messaging.microsoft.com ptr:o365filtering.com -all

Los tres registros, si se buscan, devuelven NOERROR sin registros o NXDOMAIN.

Como tres registros no devolvieron nada, excedió el límite de búsqueda nula de 2 y el registro SPF falla.

Michael Hampton
fuente
Perfecto gracias, he comprobado y consiguieron un registro actualizado SPF para Office 365 y en el uso que el error ha ido
bhttoan
Gran información ¿Cuál es una buena manera de buscar los registros para ver qué devuelven? Necesito averiguar cuál de los míos es el problema.
mlissner
@mlissner Hay muchos sitios web de validación SPF en línea que puede probar.
Michael Hampton
He descubierto que al menos en el caso de la python-spfimplementación, las búsquedas realizadas dependen de la dirección IP que se valida y, por lo tanto, el número de consultas que devuelven ningún registro varía. Dado que el propietario del dominio no tiene control sobre lo que tendrá que ser validado consecuencia de esto es que cualquier direcciones IP ao mxespecificación en el registro SPF debe apuntar sólo a los nombres de pila dual con el fin de evitar errores falsos.
kasperd
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.