SPF: A-Record mit mehreren IPs?
Hallo,
ich habe ein paar Verständnisfragen zu SPF. Wäre nett, wenn mir jemand weiterhelfen könnte.
1. Wenn ein SPF-Record einen A-Record enthält, der auf eine IPV4 und eine IPV6-Adresse auflöst, werden dann automatisch beide Adressen autorisiert?
2. Wenn ein SPF-Record einen A-Record enthält, der auf mehrere IP-Adressen (IPv4 und/oder IPv6) auflöst, werden dann sämtliche IP-Adressen autorisiert?
Oder kann man das ggf. gar nicht global beantworten, weil es von der Implementierung abhängt?
Danke!
Viele Grüße, Jörn Bredereck
Jörn Bredereck schrieb:
Hallo,
ich habe ein paar Verständnisfragen zu SPF. Wäre nett, wenn mir jemand weiterhelfen könnte.
Wenn ein SPF-Record einen A-Record enthält, der auf eine IPV4 und eine IPV6-Adresse auflöst, werden dann automatisch beide Adressen autorisiert?
Wenn ein SPF-Record einen A-Record enthält, der auf mehrere IP-Adressen (IPv4 und/oder IPv6) auflöst, werden dann sämtliche IP-Adressen autorisiert?
A-Records können nur eine IPv4 enthalten.
Gruß Patrick
Hi,
On 10.06.2016 13:28, Patrick Westenberg wrote:
Jörn Bredereck schrieb:
Wenn ein SPF-Record einen A-Record enthält, der auf eine IPV4 und eine IPV6-Adresse auflöst, werden dann automatisch beide Adressen autorisiert?
Wenn ein SPF-Record einen A-Record enthält, der auf mehrere IP-Adressen (IPv4 und/oder IPv6) auflöst, werden dann sämtliche IP-Adressen autorisiert?
A-Records können nur eine IPv4 enthalten.
Falsch, SPF a: records werden sowohl nach A und AAAA DNS records aufglöst, siehe https://tools.ietf.org/html/rfc7208#section-5.3
Gruss André
André Keller schrieb:
On 10.06.2016 13:28, Patrick Westenberg wrote:
A-Records können nur eine IPv4 enthalten.
Falsch, SPF a: records werden sowohl nach A und AAAA DNS records aufglöst, siehe https://tools.ietf.org/html/rfc7208#section-5.3
Achso, ja. Ich dachte an den DNS-A-Record
Gruß Patrick
Am 10.06.2016 um 13:47 schrieb Patrick Westenberg pw@wk-serv.de:
André Keller schrieb:
On 10.06.2016 13:28, Patrick Westenberg wrote:
A-Records können nur eine IPv4 enthalten.
Falsch, SPF a: records werden sowohl nach A und AAAA DNS records aufglöst, siehe https://tools.ietf.org/html/rfc7208#section-5.3
Achso, ja. Ich dachte an den DNS-A-Record
Sorry für die Verwirrung. Ich hatte mich da mißverständlich ausgedrückt.
Und danke für die Antwort. Demnach werden also auch die AAAA-Records von „a: bla.fasel.tld“ im SPF-Record berücksichtigt.
Bleibt allerdings die Frage was mit A-Records ist, die auf mehrere IPs auflösen. Matchen dann ALLE IPs für den SPF-Lookup?
Salü,
On 10.06.2016 13:58, Jörn Bredereck wrote:
Bleibt allerdings die Frage was mit A-Records ist, die auf mehrere IPs auflösen. Matchen dann ALLE IPs für den SPF-Lookup?
sofern sich die entsprechende Implementation RFC-konform verhält, ja.
This mechanism matches if <ip> is one of the <target-name>'s IP addresses. For clarity, this means the "a" mechanism also matches AAAA records.
a = "a" [ ":" domain-spec ] [ dual-cidr-length ]
An address lookup is done on the <target-name> using the type of lookup (A or AAAA) appropriate for the connection type (IPv4 or IPv6). The <ip> is compared to the returned address(es). If any address matches, the mechanism matches.
Das sagt es eigentlich ziemlich genau. Wenn die eingehende Verbindung via IPv6 kommt macht er ein AAAA-Lookup und falls die Verbindungs-IP auf mindestens eine Adresse welcher der AAAA-Lookup zurückgibt, match die Regel. Analog zu IPv4, da macht er dann halt ein A-Lookup.
Gruss André
Hallo,
Das sagt es eigentlich ziemlich genau. Wenn die eingehende Verbindung via IPv6 kommt macht er ein AAAA-Lookup und falls die Verbindungs-IP auf mindestens eine Adresse welcher der AAAA-Lookup zurückgibt, match die Regel. Analog zu IPv4, da macht er dann halt ein A-Lookup.
super, dann weiss ich bescheid. Danke Euch!
Viele Grüße, Jörn
Am 10.06.2016 um 14:34 schrieb Jörn Bredereck:
Hallo,
Das sagt es eigentlich ziemlich genau. Wenn die eingehende Verbindung via IPv6 kommt macht er ein AAAA-Lookup und falls die Verbindungs-IP auf mindestens eine Adresse welcher der AAAA-Lookup zurückgibt, match die Regel. Analog zu IPv4, da macht er dann halt ein A-Lookup.
super, dann weiss ich bescheid. Danke Euch!
Viele Grüße, Jörn
geht auch so
dig -t txt schetterer.org
; <<>> DiG 9.9.5-3ubuntu0.8-Ubuntu <<>> -t txt schetterer.org ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33746 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 6
;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;schetterer.org. IN TXT
;; ANSWER SECTION: schetterer.org. 600 IN TXT "v=spf1 ip4:144.76.176.142 ip6:2a01:4f8:200:5497::2 ~all"
Best Regards MfG Robert Schetterer
On 10.06.2016 13:47, Patrick Westenberg wrote:
Achso, ja. Ich dachte an den DNS-A-Record
und davon kannst mehrere auf verschiedene Adressen haben ...
mail.domain.tld. IN A 1.1.1.10 mail.domain.tld. IN A 1.1.1.11 domain.tld. IN MX 10 mail.domain.tld.
oder wäre das hier nicht zulässig?
Walter H.
Am 10.06.2016 um 13:28 schrieb Patrick Westenberg pw@wk-serv.de:
Jörn Bredereck schrieb:
Hallo,
ich habe ein paar Verständnisfragen zu SPF. Wäre nett, wenn mir jemand weiterhelfen könnte.
Wenn ein SPF-Record einen A-Record enthält, der auf eine IPV4 und eine IPV6-Adresse auflöst, werden dann automatisch beide Adressen autorisiert?
Wenn ein SPF-Record einen A-Record enthält, der auf mehrere IP-Adressen (IPv4 und/oder IPv6) auflöst, werden dann sämtliche IP-Adressen autorisiert?
A-Records können nur eine IPv4 enthalten.
Das stimmt natürlich. Abr heisst das auch, dass bei
v=spf1 a:foo.bar.tld ?all
der AAAA-Record für foo.bar.tld ignoriert wird?
Oder anders gefragt: Wie müsste der SPF-Record lauten um auf einen AAAA-Record zu matchen?
Viele Grüße, Jörn
participants (5)
-
André Keller -
Jörn Bredereck -
Patrick Westenberg -
Robert Schetterer -
Walter H.