メールサーバーでSPFチェックを行っていますが、MimeCastからのメールが時々通過し、他の人がSPFチェックに失敗するという事件があります。
問題のドメインのspfレコードの状態
v=spf1 include:spf.protection.Outlook.com include:_netblocks.mimecast.com -all
IPでwhoisを実行すると、MimecastIPになります
私の質問は、トラブルシューティングできるように_netblocks.mimecast.com
にクエリしてIPのリストを取得する方法です。
多くの組織が、それ自体がSPFレコードで構成されているSPFレコードを提供していることを発見しました。 Dig txt _netblocks.mimecast.com
を実行すると、
;; ANSWER SECTION:
_netblocks.mimecast.com. 300 IN TXT "v=spf1 include:eu._netblocks.mimecast.com include:us._netblocks.mimecast.com include:za._netblocks.mimecast.com include:au._netblocks.mimecast.com ~all"
次に、それらのそれぞれを検索できます同様に、たとえばDig txt eu._netblocks.mimecast.com
を使用して、生のIPデータを取得します。
;; ANSWER SECTION:
eu._netblocks.mimecast.com. 300 IN TXT "v=spf1 ip4:195.130.217.0/24 ip4:91.220.42.0/24 ip4:146.101.78.0/24 ip4:207.82.80.0/24 ip4:213.167.81.0/24 ip4:213.167.75.0/24 ip4:185.58.84.0/22 ~all"
Outlookのレコードは、ネストされているという点でもう少し厄介です(驚きがあります)。
[me@risby ~]$ Dig txt spf.protection.Outlook.com
[...]
spf.protection.Outlook.com. 586 IN TXT "v=spf1 ip4:207.46.101.128/26 ip4:207.46.100.0/24 ip4:207.46.163.0/24 ip4:65.55.169.0/24 ip4:157.56.110.0/23 ip4:157.55.234.0/24 ip4:213.199.154.0/24 ip4:213.199.180.128/26 include:spfa.protection.Outlook.com -all"
spfa
順番にinclude
s spfb
ですが、これが最後なので、掘るのをやめることができます。
より大きな問題は、この組織が誰であれ、危険なに 10回のルックアップ制限 に近づいていることです。元のレコードに1つ、Outlookの部分に3つ、mimecastの部分に5つを数えます。合計9つ。 Outlookとmimecastの両方がそれぞれもう1つ追加すると、この組織は詰め込まれます。これはよく知っているかもしれませんが、ほとんどの組織は、独自のSPFレコードのより細かい点に気づいていません。
これが私の大きなポイントになります:SPFレコードの公開を考えている場合は、必ず自分の電子メールインフラストラクチャを制御してください。あなたがそれを外注すると、遅かれ早かれ誰かがあなたを足で撃ち殺すかもしれません、そしてあなたがしなかったそして知らない変更のためにあなたの会社の電子メールは配達不能になるでしょう。自分の電子メールをすべて管理していない場合、SPFはおそらく適切ではありません。