Erreur permanente PermError SPF: la limite de recherche nulle de 2 a été dépassée

13

J'essaie de configurer SPF sur un serveur - le courrier fonctionne correctement et se valide selon mxtoolbox et d'autres vérifications en ligne, mais lorsque je le vérifie à l'aide de http://www.kitterman.com/spf/validate.html, j'obtiens une erreur:

PermError SPF Permanent Error: Void lookup limit of 2 exceeded

Je connais une limite de 10 recherches, mais je n'ai jamais vu cette erreur auparavant.

L'enregistrement SPF est:

v=spf1 a mx ip4:IP1 ip4:IP2 ip6:IP3 include:spf-a.outlook.com 
include:spf-b.outlook.com include:spf-c.outlook.com 
include:spf.messaging.microsoft.com include:_spf.zdsys.com 
include:spf.mail.intercom.io -all

À quoi se réfère la limite de recherche nulle?

domain-name-system  spf 
bhttoan
source

Réponses:

13

La limite de recherche vide a été introduite dans la RFC 7208 et fait référence aux recherches DNS qui renvoient soit une réponse vide (NOERROR sans réponse), soit une réponse NXDOMAIN. Il s'agit d'un décompte distinct du décompte global de 10 recherches DNS.

Comme décrit à la fin de la section 11.1 , il peut y avoir des cas où il est utile de limiter le nombre de "termes" pour lesquels les requêtes DNS renvoient soit une réponse positive (RCODE 0) avec un nombre de réponses de 0, soit une "erreur de nom" "(RCODE 3) réponse. Celles-ci sont parfois appelées collectivement «recherches nulles». Les implémentations SPF DEVRAIENT limiter les "recherches nulles" à deux. Une implémentation PEUT choisir de rendre une telle limite configurable. Dans ce cas, une valeur par défaut de deux est RECOMMANDÉE. Le dépassement de la limite produit un résultat "permerror".

Ceci est destiné à empêcher les enregistrements SPF erronés ou malveillants de contribuer à une attaque par déni de service basée sur DNS.

Dans votre cas, la partie problématique semble être:

include:spf.messaging.microsoft.com

Son record SPF est:

v=spf1 ptr:protection.outlook.com ptr:messaging.microsoft.com ptr:o365filtering.com -all

Ces trois enregistrements, s'ils sont recherchés, renvoient NOERROR sans enregistrement ou NXDOMAIN.

Étant donné que trois enregistrements n'ont retourné rien, vous avez dépassé la limite de recherche de 2 annulations et l'enregistrement SPF échoue.

Michael Hampton
source
Parfait merci, j'ai vérifié et obtenu un enregistrement SPF mis à jour pour Office 365 et en utilisant que l'erreur a disparu
bhttoan
Grande info. Quelle est la bonne façon de rechercher les enregistrements pour voir ce qu'ils retournent? Je dois déterminer lequel des miens est le problème.
mlissner
@mlissner Il existe de nombreux sites Web de validateur SPF en ligne que vous pouvez essayer.
Michael Hampton
J'ai constaté qu'au moins en cas de python-spfmise en œuvre, les recherches effectuées dépendent de l'adresse IP en cours de validation et donc le nombre de requêtes ne renvoyant aucun enregistrement varie. Étant donné que le propriétaire du domaine n'a aucun contrôle sur les adresses IP qui devront être validées, une conséquence de cela est que toute spécification aou mxdans l'enregistrement SPF doit pointer uniquement vers les noms de double pile afin d'éviter les erreurs parasites.
kasperd
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.