A especificação SPF limita o número de pesquisas de DNS a 10. Esse limite reduz a quantidade de recursos usados pelos provedores de mailbox ao verificar registros SPF. Se você exceder esse limite, haverá falha na verificação de SPF. Uma pesquisa de DNS exige que o provedor de mailbox solicite informações de um domínio DNS, o que leva a tempos de processamento mais lentos e ao uso de mais recursos do computador. Esses problemas são a razão da limitação.
Os mecanismos e modificadores que fazem pesquisas de DNS são:
- include
- a
- MX
- ptr (não usar)
- exists
- redirect
Existem diferentes maneiras para evitar o limite de pesquisa de 10 para DNS. Algumas práticas comuns são:
Evitar declarações "include" desnecessárias
Declaração "include" é um mecanismo no seu registro SPF que redireciona a pesquisa de DNS para o registro SPF de outro domínio para verificar qualquer um dos seus IPs autorizados. Cada declaração "include" no registro SPF original e em qualquer um dos registros SPF redirecionados é contada no limite de 10.
O registro SPF da ABC Corp, por exemplo, tem uma declaração "include" referenciando o SPF de exemplo.com, que possui uma declaração "include" para o SPF record de Google.com. Isso resulta em duas pesquisas contadas no limite de 10 pesquisas da ABC Corp.
Para não exceder o limite de 10, garanta que cada declaração "include" no seu registro SPF seja necessária e não possa ser substituída por outro mecanismo, como os mecanismos ip4 e ip6.
Usar mecanismos ip4 e ip6
Uma maneira de reduzir a quantidade de pesquisas DNS é substituir sua declaração "include" pelo mecanismo ip4 ou ip6, quando possível. Os mecanismos ip4 e ip6 são usados para listar um intervalo de IP estático no seu registro SPF. Isso elimina a necessidade de uma declaração "include" que faça referência ao registro SPF de outro domínio.
Veja um exemplo de registro SPF com declaração "include":
exemplo.com
v=spf1 ip4:192.168.0.1/16 include:mail.exemplo.com ~all
mail.exemplo.com
v=spf1 ip4:198.155.0.1/24 ~all
Nesse exemplo, o registro SPF de mail.exemplo.com contém um intervalo de IP estático (198.155.0.1/24). Como esse intervalo não mudará constantemente, o registro SPF de exemplo.com não precisa da declaração "include". Além disso, ela pode ser substituída com o mecanismo ip4.
Veja a diferença abaixo:
exemplo.com
v=spf1 ip4:192.168.0.1/16 ip4:198.155.0.1/24 ~all
O novo registro SPF realiza zero pesquisa porque não possui mais a declaração "include". Isso limita o número de pesquisas de DNS se você estiver usando outras declarações "include".
Excluir mecanismos que resolvam para o mesmo domínio
Outra maneira de evitar pesquisas de DNS desnecessárias é excluir todos os mecanismos do registro SPF resolvidos para o mesmo domínio.
Por exemplo: os SPF records da ABC Corp se referem tanto ao SPF record do gmail.com quanto ao do exemplo.com. No entanto, o SPF record de exemplo.com já possui uma declaração "include" para gmail.com. Assim, a ABC Corp só precisa de uma declaração "include" para exemplo.com.
Evitar mecanismos ptr
A especificação SPF recomenda não usar o mecanismo ptr no registro SPF. O mecanismo ptr é um tipo de registro DNS que resolve um endereço IP para um domínio ou nome de host.
Evite o uso do mecanismo ptr, pois isso resulta em um grande número de pesquisas de DNS, o que fará com que o limite de 10 seja atingido rapidamente.
Excluir parceiro e domínios de fornecedores antigos
Você deve excluir todas as declarações "include" que redirecionam a verificação de SPF para um registro SPF de fornecedores ou parceiros que não envia mais e-mails em seu nome. Essa exclusão elimina pesquisas de DNS desnecessárias.
Os remetentes usam declarações para redirecionar a verificação SPF para um registro SPF de um fornecedor ou parceiro cujos IPs mudam com frequência. Usar a declaração "include" de um parceiro ou fornecedor significa que o remetente não precisa atualizar regularmente os intervalos de IP de alteração no próprio registro SPF deles.
Referenciar somente domínios com envios ativos
Veja também se os domínios referenciados se resolvem para um registro SPF ativo; caso contrário, eles devem ser excluídos.
Conferir o registro SPF
Para saber se o registro SPF está acima do limite de 10 pesquisas ou para ver o limite atual, use a Ferramenta de Verificação de SPF da Proofpoint.
