Estou adicionando um domínio (xero.com) ao nosso registro SPF existente, para permitir que e-mails de marketing sejam enviados de um sistema externo e apareçam como se fossem nossos.
O registro SPF para xero.com é grande e incluí-lo levaria nosso próprio registro SPF acima do limite de 10 pesquisas, resultando em erroPermanent Error: Too many DNS lookup
Isso é lamentável, mas que efeito, se houver, esse erro realmente tem (para falhas difíceis e suaves)? Isso impedirá que qualquer e-mail seja enviado, ou permitirá todos, ou apenas ignorará este domínio incluído?
Além disso, aconselhamos alguns de nossos clientes a incluir nosso domínio em seus registros SPF para que possamos enviar e-mails em seu nome.
O aumento dos domínios incluídos em nosso registro SPF poderia ter um impacto negativo no deles?
Por outro lado, se eu contornar esse problema configurando nosso registro SPF v=spf1 +allpara permitir tudo, isso também poderia ter um efeito indesejado para nossos clientes que podem usar nosso domínio em seu registro SPF?
O efeito é que seu registro SPF é ignorado. Por favor, faça o seguinte. Seu registro SPF requer 6 pesquisas, excluindo quaisquer registros MX e A incluídos no registro. (Uma pesquisa de registro MX pode resultar em 2 ou mais pesquisas.)
include:_spf.google.comentrada. Você não precisa da especificação MX.Considere configurar o DMARC com um endereço de relatório para determinar se você pode definir uma
-allpolítica. Você receberá relatórios sobre o quão bem você está seguindo sua política e as taxas de falha. Use umareportdisposição até que os únicos relatórios de falhas que você receba sejam para e-mails que não se originam do seu domínio. Não defina sua política SPF-allaté ter certeza de que listou todos os remetentes válidos em seu registro SPF.Pare com isso agora mesmo! :)
1) nunca forneça ao cliente seu registro SPF para seu marketing, sempre use um subdomínio.
_spf.example.compor exemplo, são os intervalos de IP que você controla e fornece aos clientes.2) limite sua exposição ou remova o SPF completamente.
+all(na prática é provavelmente ignorado) diz que você autenticou todos os intervalos de IP, enquanto?allé muito mais seguro.3) os sistemas de marketing não precisam do seu domínio de e-mail comercial. Se você tiver vários back-ends de marketing, deverá ter vários subdomínios. Normalmente eles (ESPs) pressionam por isso,
sg.example.compor sendgrid,mg.example.compor mailgun, etc ...4) remova pesquisas redundantes
aemxprovavelmente são endereços que você conhece.A especificação SPF exige que o número de mecanismos e modificadores que fazem pesquisas de DNS não deve exceder 10 por verificação de SPF, incluindo quaisquer pesquisas causadas pelo uso do mecanismo "incluir" ou do modificador "redirecionar". Caso contrário, um SPF PermError, mais especificamente "SPF PermError: muitas pesquisas de DNS", é retornado.
O problema SPF PermError: muitas pesquisas de DNS é interpretado pelo DMARC como falha. Portanto, quando seu registro SPF não atingir esse limite e o DKIM também falhar, seus e-mails falharão na autenticação DMARC, o que significa que seus e-mails não são autenticados corretamente e podem não chegar à caixa de entrada.
Eu criei uma postagem no blog sobre este tópico: SPF PermError: muitas pesquisas de DNS