Как правильно объединить ip в подсеть для SPF?

Question

[visoVV]

Имеется некоторое кол-во ip адресов, к примеру:
178.250.241.53 / 78.108.88.230 / 95.46.8.104 / 93.170.123.88 / 31.148.99.245
178.250.242.29 / 78.108.91.180 / 93.170.123.209 / 78.108.88.184 / 178.250.246.80
185.209.28.111

Их нужно все прописать в SPF для 1 домена
Мы можем указать только 10 значений в записи.

Требуется объеденить все адреса и прописать подсетью, по какому значению и в какого обьема сети /16,24 можно прописать.

Возможно ли указать "большущий" диапазон (весь мир)

178.250.241.53 / 178.250.242.29 как я понимаю это уже отдельные подсетки 241 и 242
их прописывать как разные подсетки или можно объеденить в сетку?

Answer 1

[Владимир Дубровин]

Не надо так делать (указывать большие диапазоны, тем более содержащие неизвестно какие ресурсы), лучше сделайте несколько записей и включите их в основную через include, только не допускайте большой вложенности, т.к. SPF по стандарту должен разрешаться за 10 запросов.

Comments

[visoVV]

они все могут быть в отправителе
вот и думаю как попаст в диапазон 10
v spf.....include._1 include._2 ~all
include._1 = 10 записям
include._2 = 10 записям
Это же будет 20 запросов по максимуму, так не как

или считается 1 на переход инклуде и 1 ищет в записе на которую инклудит?

[Владимир Дубровин]

для разрешения этой политики требуется 3 запроса (один на основную политику и по одному на каждый include), записи типа ip4 не требуют каких-либо разрешений имен.

[visoVV]

Владимир Дубровин, последний вопрос, тяжк опнимаю эту логику.
К примеру (грубо) если домену проспиать

v spf.....include._1 include._2 include._3 include._4 include._5 include._6 include._7 include._8 include._9 ~all
и на каждом include._1,2,3 / 9 - будет по 9 ip - то проверка пройдет корректно?
Это для понимания образно как считаются эти цифры от 1 до 10 (до сих пор не доходит)

[Владимир Дубровин]

Единственное ограничение - это размер пакета с ответом DNS, если он будет превышать 512 байт, то будет переключаться на TCP и с этим бывают проблемы, ограничьте размер одной записи ~300 символами.

[Владимир Дубровин]

Нужно одно разрешение имени для самой политики и по одному для каждого include.

Но что мешает засунуть больше 10 ip4: в одину политику? В SPF нет таких ограничений.

[visoVV]

Владимир Дубровин, я про запросы не понимаю, не удобно уже говорить.. :((
Для меня (я так понимаю) каждый ip или mx, а - это как запрос я думаю
или запрос все таки это (обращения к записи ДНС) -теперь мне кажется Вы пишите про это

[Владимир Дубровин]

В SPF нет ограничения на количество элементов в политике SPF, есть ограничение на количество DNS запросов, которые нужно сделать для применения политики.

a: требует одно разрешение имени
mx: требует одно разрешение для получения mx + по одному разрешению для каждого сервера, на который указывает mx
ip4: требует 0 разрешений (т.к. это уже IP адрес). Поэтому ограничений на количество элементов ip4: в SPF нет (кроме технологических ограничений DNS).
вот тут есть достаточно подробно:
https://habr.com/en/company/mailru/blog/338700/
там раздел "Заблуждение: чем больше всего (a, mx, ptr, include) я включу в SPF-запись, тем лучше, потому что меньше вероятность ошибиться"

Answer 2

[Яков Светский]

Добрый день!
SPF запись имеет два ограничения:
Длину 256 байт
И количество модификаторов, вызывающих DNS-запросы - не более 10.
Модификаторы ip4 и ip4 запросы не вызывают.
То есть если у Вас 11 IP адресов, можно сделать запись вида
v=spf1 ip4:178.250.241.153 ip4:178.250.241.153 ip4:178.250.241.153 ip4:178.250.241.153 ip4:178.250.241.153 ip4:178.250.241.153 ip4:178.250.241.153 ip4:178.250.241.153 ip4:178.250.241.153 ip4:178.250.241.153 ip4:178.250.241.153 -all - разумеется с разными IP. Длина этой записи 231 байт.
Или можно сделать эту запись для поддомена, например для spf.mycompany.ru и включить ее в основную через модификатор include: v=spf1 include:spf.mycompany.ru -all
Если IP адреса не влезают в одну запись (именно по длине записи), сделайте две - spf1.mycompany.ru и spf2.mycompany.ru и основную v=spf1 include:spf1.mycompany.ru include:spf2.mycompany.ru -all
Наглядный пример:
Яндекс, запись _spf.yandex.ru - v=spf1 include:_spf-ipv4.yandex.ru include:_spf-ipv6.yandex.ru ~all
В свою очередь _spf-ipv4.yandex.ru - v=spf1 ip4:213.180.223.192/26 ip4:37.9.109.0/24 ip4:37.140.128.0/18 ip4:5.45.192.0/19 ip4:5.255.192.0/18 ip4:77.88.0.0/18 ip4:87.250.224.0/19 ip4:93.158.136.48/28 ip4:95.108.130.0/23 ip4:95.108.192.0/18 ip4:141.8.132.0/24 ip4:5.45.254.0/25 ~all (12 диапазонов, модификаторов ip4)
_spf-ipv6.yandex.ru - v=spf1 ip6:2a02:6b8:0::/52 ip6:2a02:6b8:0:1a2d::/64 ip6:2a02:6b8:0:2519::/64 ip6:2a02:6b8:0:1000::/52 ip6:2a02:6b8:b030::/64 ip6:2a02:6b8:b030:1000::/64 ip6:2a02:6b8:b011:900::/56 ip6:2a02:6b8:b010:3046::/64 ip6:2a02:6b8:b010:7600::/56 ~all
Кстати, что важно, добавление в SPF запись include:_spf.yandex.ru вызывает 3 DNS-запроса, а include:_spf.yandex.net (v=spf1 redirect=_spf.yandex.ru) - уже 4