Seguir

Como posso evitar falhas de SPF se estiver atingindo o limite de pesquisa de DNS?

A especificação SPF limita o número de pesquisas de DNS a 10. Esse limite reduz a quantidade de recursos usados pelos provedores de mailbox ao verificar registros SPF. Se você exceder esse limite, haverá falha na verificação de SPF. Uma pesquisa de DNS exige que o provedor de mailbox solicite informações de um domínio DNS, o que leva a tempos de processamento mais lentos e ao uso de mais recursos do computador. Esses problemas são a razão da limitação.

Os mecanismos e modificadores que fazem pesquisas de DNS são:

  • include
  • a
  • MX
  • ptr (não usar)
  • exists
  • redirect

Existem diferentes maneiras para evitar o limite de pesquisa de 10 para DNS. Algumas práticas comuns são:

Evitar declarações "include" desnecessárias

Declaração "include" é um mecanismo no seu registro SPF que redireciona a pesquisa de DNS para o registro SPF de outro domínio para verificar qualquer um dos seus IPs autorizados. Cada declaração "include" no registro SPF original e em qualquer um dos registros SPF redirecionados é contada no limite de 10.

Por exemplo, o registro SPF da Return Path tem uma declaração "include" referenciando o registro SPF de exemplo.com, que possui uma declaração "include" para o registro SPF de Google.com. Isso resultaria em duas pesquisas contadas no limite de pesquisa de 10 da Return Path.

Para não exceder o limite de 10, garanta que cada declaração "include" no seu registro SPF seja necessária e não possa ser substituída por outro mecanismo, como os mecanismos ip4 e ip6.

Usar mecanismos ip4 e ip6

Uma maneira de reduzir a quantidade de pesquisas DNS é substituir sua declaração "include" pelo mecanismo ip4 ou ip6, quando possível. Os mecanismos ip4 e ip6 são usados para listar um intervalo de IP estático no seu registro SPF. Isso elimina a necessidade de uma declaração "include" que faça referência ao registro SPF de outro domínio.

Veja um exemplo de registro SPF com declaração "include":

exemplo.com

v=spf1 ip4:192.168.0.1/16 include:mail.exemplo.com ~all

mail.exemplo.com

v=spf1 ip4:198.155.0.1/24 ~all

Nesse exemplo, o registro SPF de mail.exemplo.com contém um intervalo de IP estático (198.155.0.1/24). Como esse intervalo não mudará constantemente, o registro SPF de exemplo.com não precisa da declaração "include". Além disso, ela pode ser substituída com o mecanismo ip4.

Veja a diferença abaixo:

exemplo.com

v=spf1 ip4:192.168.0.1/16 ip4:198.155.0.1/24 ~all

O novo registro SPF realiza zero pesquisa porque não possui mais a declaração "include". Isso limita o número de pesquisas de DNS se você estiver usando outras declarações "include".

Excluir mecanismos que resolvam para o mesmo domínio

Outra maneira de evitar pesquisas de DNS desnecessárias é excluir todos os mecanismos do registro SPF resolvidos para o mesmo domínio.

Por exemplo, o registro SPF da Return Path faz referência ao registro SPF de gmail.com e exemplo.com. No entanto, o registro SPF de exemplo.com já possui uma declaração "include" para gmail.com. Isso significa que a Return Path só precisa de uma declaração "include" para exemplo.com.

Evitar mecanismos ptr

A especificação SPF recomenda não usar o mecanismo ptr no registro SPF. O mecanismo ptr é um tipo de registro DNS que resolve um endereço IP para um domínio ou nome de host.

Evite o uso do mecanismo ptr, pois isso resulta em um grande número de pesquisas de DNS, o que fará com que o limite de 10 seja atingido rapidamente.

Excluir parceiro e domínios de fornecedores antigos

Você deve excluir todas as declarações "include" que redirecionam a verificação de SPF para um registro SPF de fornecedores ou parceiros que não envia mais e-mails em seu nome. Essa exclusão elimina pesquisas de DNS desnecessárias.

Os remetentes usam declarações para redirecionar a verificação SPF para um registro SPF de um fornecedor ou parceiro cujos IPs mudam com frequência. Usar a declaração "include" de um parceiro ou fornecedor significa que o remetente não precisa atualizar regularmente os intervalos de IP de alteração no próprio registro SPF deles.

Referenciar somente domínios com envios ativos

Veja também se os domínios referenciados se resolvem para um registro SPF ativo; caso contrário, eles devem ser excluídos.

Conferir o registro SPF

Para saber se o registro SPF está acima do limite de 10 pesquisas ou para ver o limite atual, use a Ferramenta de Verificação de SPF da Proofpoint.

 

Esse artigo foi útil?
Usuários que acharam isso útil: 0 de 0
Tem mais dúvidas? Envie uma solicitação