La spécification SPF limite le nombre de recherches DNS à 10. Cette limite permet de réduire le nombre de ressources utilisées par les opérateurs de messagerie lors de la vérification des SPF records. Si vous dépassez cette limite, vous échouerez à une vérification SPF. Une recherche DNS requiert que l'opérateur de messagerie demande des informations concernant un domaine à partir du DNS, ce qui entraîne des périodes de traitements plus lentes et l'utilisation de davantage de ressources informatiques. Ces problèmes expliquent l'existence de cette limite.
Voici les mécanismes et processus de modification qui effectuent des recherches DNS :
- include
- a
- MX
- ptr (ne pas utiliser)
- exists
- redirect
Il existe différents moyens pour éviter d'atteindre la limite de 10 recherches DNS. Voici quelques pratiques fréquentes :
Éviter les instructions d'inclusion inutiles
Une instruction d'inclusion est un mécanisme dans votre SPF record qui redirige la recherche DNS vers un SPF record d'un autre domaine pour vérifier ses adresses IP autorisées. Chaque instruction d'inclusion, dans le SPF record d'origine et dans tous les SPF records de redirection, est comptabilisée dans la limite de 10.
Par exemple, le SPF record d'ABC Corp contient une instruction d'inclusion faisant référence au SPF record du site d'exemple.com, qui contient une instruction d'inclusion faisant référence au SPF record de Google.com. Ceci conduirait à deux recherches comptabilisées dans la limite de 10 recherches d'ABC Corp.
Afin de ne pas dépasser la limite de 10 recherches, assurez-vous que chaque instruction d'inclusion de votre SPF record est nécessaire et ne peut pas être remplacée par un autre mécanisme, comme les mécanismes ip4 et ip6.
Utiliser les mécanismes ip4 et ip6
L'une des méthodes permettant de réduire le nombre de recherches DNS consiste à remplacer votre instruction d'inclusion par le mécanisme ip4 ou ip6 lorsque cette option est disponible. Les mécanismes ip4 et ip6 sont utilisés pour répertorier une plage d'adresses IP statique dans votre SPF record. Ceci élimine le besoin d'une instruction d'inclusion qui fait référence au SPF record d'un autre domaine.
Par exemple, voici un SPF record avec une instruction d'inclusion :
example.com
v=spf1 ip4:192.168.0.1/16 include:mail.example.com ~all
mail.example.com
v=spf1 ip4:198.155.0.1/24 ~all
Dans cet exemple, le SPF record de mail.example.com contient une plage d'adresses IP statique (198.155.0.1/24). Cette plage ne changera pas constamment, donc le SPF record pour example.com n'a pas besoin d'instruction d'inclusion. Il peut également être remplacé par le mécanisme ip4.
Voyez la différence ci-dessous :
example.com
v=spf1 ip4:192.168.0.1/16 ip4:198.155.0.1/24 ~all
Le nouveau SPF record n'effectue aucune recherche, car il ne contient plus d'instruction d'inclusion. Ceci peut vous permettre de limiter le nombre de recherches DNS si vous utilisez d'autres instructions d'inclusion.
Supprimer les mécanismes qui établissent une corrélation avec un même domaine
Une autre méthode permettant d'éviter des recherches DNS inutiles est de supprimer les mécanismes de votre SPF record qui établissent une corrélation avec le même domaine.
Par exemple, le SPF Record de la société ABC fait référence aux SPF record de gmail.com et d'example.com. Toutefois, le SPF record d'example.com a déjà une instruction d'inclusion pour gmail.com. Cela signifie que la société ABC a uniquement besoin d'une instruction d'inclusion pour exemple.com.
Éviter les mécanismes ptr
Le protocole SPF vous recommande de ne pas utiliser le mécanisme ptr dans votre SPF record. Le mécanisme ptr est un type de DNS record qui établit une correspondance entre une adresse IP et un domaine ou nom d'hôte.
Il est conseillé d'éviter l'utilisation du mécanisme ptr, car il peut entraîner un nombre important de recherches DNS, ce qui vous fera atteindre rapidement la limite de 10.
Supprimer les domaines d'anciens partenaires ou fournisseurs
Il est conseillé de supprimer toutes les instructions d'inclusion qui redirigent la vérification SPF vers le SPF record de fournisseurs ou de partenaires qui n'envoient plus de messages en votre nom. Les supprimer élimine des recherches DNS inutiles.
Les expéditeurs utilisent des instructions d'inclusion pour rediriger la vérification SPF vers le SPF record d'un fournisseur ou partenaire dont les adresses IP changent souvent. Utiliser l'instruction d'inclusion d'un partenaire ou fournisseur signifie que l'expéditeur n'a pas besoin de constamment mettre à jour ces plages d'adresses IP fluctuantes dans son propre SPF record.
Référencer uniquement les domaines d'envoi actifs
Vous devriez également vous assurer que les domaines que vous référencez établissent une correspondance avec un SPF record actif. Dans le cas contraire, vous devriez les supprimer.
Vérifier votre SPF record
Si vous voulez savoir si votre SPF record dépasse la limite de 10 recherches ou que vous voulez voir combien il lui en reste à un moment précis, utilisez l'outil de vérification SPF de Proofpoint.