Quale quantificatore SPF si applica quando viene utilizzato un indice SPF?

Naviga le tue risposte
0

Un record SPF ha diversi tag di cui uno può essere il tag include , e il record SPF termina con un quantificatore come + , ? , ~ o - .

Quando viene utilizzato un tag include , il record SPF incluso ha il proprio quantificatore SPF. Chiamiamo il quantificatore dal record SPF incluso "child-quantifier".

Quel "quantificatore di bambini" si applica agli host che definisce solo e al "quantifilo-genitore" su tutto tranne gli host definiti dai bambini? O il genitore-quantificatore ha sempre la priorità su tutti i quantificatori inclusi (figli)?

Ad esempio:

  1. example1.com (diciamo genitore) contiene il seguente record SPF: %codice%
  2. example2.com (diciamo child) contiene il seguente record SPF: v=spf1 a include:example2.com -all

Ora il v=spf1 a ip4:1.2.3.4 ?all (child-) quantificatore o il ?all (parent-) quantificatore si applicano su -all ?

Il record SPF incluso potrebbe includere anche, e quindi può raggiungere una profondità di più livelli su cui si applica anche la mia domanda.

    
posta Bob Ortiz 06.02.2018 - 23:27
fonte

2 risposte

1

Con il meccanismo include l'istruzione SPF "inclusa" non è letteralmente inclusa in quella originale, ma viene utilizzato solo il risultato di essa. Dalla sezione 5.2 di RFC 7208 :

In hindsight, the name "include" was poorly chosen. Only the evaluated result of the referenced SPF record is used, rather than literally including the mechanisms of the referenced record in the first. For example, evaluating a "-all" directive in the referenced record does not terminate the overall processing and does not necessarily result in an overall "fail".

Questo significa che il risultato dell'istruzione SPF "inclusa" viene trattato come match , not match o permerror simile a ogni altra istruzione SPF. Lo standard contiene anche esplicitamente una tabella su come il risultato dell'istruzione SPF "incluso" influisce sull'istruzione principale: 

+---------------------------------+---------------------------------+
| A recursive check_host() result | Causes the "include" mechanism  |
| of:                             | to:                             |
+---------------------------------+---------------------------------+
| pass                            | match                           |
|                                 |                                 |
| fail                            | not match                       |
|                                 |                                 |
| softfail                        | not match                       |
|                                 |                                 |
| neutral                         | not match                       |
|                                 |                                 |
| temperror                       | return temperror                |
|                                 |                                 |
| permerror                       | return permerror                |
|                                 |                                 |
| none                            | return permerror                |
+---------------------------------+---------------------------------+
    
risposta data 07.02.2018 - 04:06
fonte
0

Traduzione dell'esempio documentation :

Nell'esempio seguente, l'IP del client è 1.2.3.4 e il dominio corrente è example1.com.

v=spf1 include:example2.com -all

Se example2.com non ha record SPF, il risultato è PermError.

Supponiamo che il record SPF di example2.com sia v=spf1 a -all .

Cerca il record A per example2.com. Se corrisponde a 1.2.3.4, restituisci Pass.

Se non c'è corrispondenza, ad eccezione di -all di example2.com, l'inclusione nel suo complesso non corrisponde; il risultato finale è ancora Fail dalla direttiva outer impostata in questo esempio.

Relazioni di fiducia: il meccanismo include: è destinato a superare i confini amministrativi. È necessario prestare la massima attenzione per garantire che i meccanismi di include: non mettano a rischio i domini per fornire i risultati SPF Pass ai messaggi derivanti dalla contraffazione degli utenti. A meno che non siano previsti meccanismi tecnici nell'altro dominio specificato per evitare la contraffazione degli utenti, i meccanismi di include: dovrebbero fornire un risultato Neutro piuttosto che Pass. Questo viene fatto aggiungendo ? davanti a include: . L'esempio sopra sarebbe:

v=spf1 ?include:example.com -all

Quindi, la fiducia viene trasferita al dominio "figlio" (e ci sono meccanismi per limitare tale impatto).

    
risposta data 07.02.2018 - 00:19
fonte

Leggi altre domande sui tag

Qual è la differenza tra escalation di privilegi e bypass di autorizzazione? Revisione dell'algoritmo di archiviazione dei dati crittografati