Ceea ce mă derutează e că serverul lor public, ăla cu 8.8.8.8, a
înregistrat deja modificarea, dar probabil că nu au o politică uniformă.
Schimbările - au fost doar una care s-a lăsat cu eroarea de sintaxă, am
vrut să adaug noul ip de transport în SPF și probabil am vrut de două
ori pentru că era o dată cu ip4: valoare , corect, și încă o dată ip4:
Dar dacă zici că se ia după ttl, chiar dacă am incrementat serialul,
totul capătă o logică, pentru că asta se petrecea ieri iar problema a
fost raportată azi, după 24 de ore.
La partea asta cu DNS nu prea am avut ocazia să sap așa că aici pot să
îmi recunosc deschis incompetența...
On 4/9/24 17:42, Petru Rațiu wrote:
As zice ca esti paranoic dar domeniul cu care am eu treaba day-to-day
se intampla sa aiba mailboxurile la gmail si ca atare ma descalific,
las pe altii sa-ti zica. :)
Dar valorile alea pe care le-ai dat acolo sunt cele din SOA care afaik
afecteaza mai mult transferul de zona si alte scheme cu replicarea (mi
se par putin exagerate numerele dar aia e alta discutie). Ce conteaza
e TTL-ul de pe recordul ala de spf (care e fie explicit pus pe el in
bind, fie mai probabil directiva de $TTL din zona). Cel mai simplu
afli cat e dand dig in serverul autoritar, dar dpdv propagare conteaza
cat era valoarea veche in caz ca ai schimbat-o (ie. daca aveai ttl de
2 saptamani si o schimbi la 5 minute, tot 2 saptamani astepti sa stii
ca noul record s-a propagat).
Dand un pas inapoi, se pare ca gmailul se plange ca n-a mers nici spf
nici dkim si ar fi vrut macar una. SPF se refera la ip-ul de pe care a
primit, dkim la cheia cu care s-a semnat. Acum tu stii ce a fost
inainte si ce schimbari ai facut da' daca le-ai schimbat recent pe
toate, e de inteles de ce e problematic. Vezi ca poti avea si dmarc
policy publicat in dns unde sa-ti dea aggregate reports cu ce nu i-a
placut (dar recunosc ca n-am folosit niciodata mecanismul ala si
probabil implica si mai multa rabdare anyway, cred ca e daily report).
Te-as fi intrebat domeniul sa ma uit in diverse scule de dns ce si cum
s-a propagat, dar cred ca am facut destul community work pe ziua de
azi, pot sa-mi petrec restul zilei cu chestii mai productive.
--
P.
On Tue, Apr 9, 2024 at 5:26 PM Mihai Badici <mi...@badici.ro> wrote:
Nu îmi e rușine să dau domeniul pe listă dar e un domeniu al unui
client, nu vreau să îl implic.
Asta am în bind:
200 ; refresh (3 minutes 20 seconds)
7200 ; retry (2 hours)
120 ; expire (2 minutes)
240 ; minimum (4 minutes)
Nici de voodoo nu e vorba ci de faptul că gmail are mai multe
servere și probabil nu toate interoghează același DNS și/sau
eventual fiecare are cache-ul lui.
SPF-ul e :
v=spf1 include:_spf.google.com <http://spf.google.com>
ip4:777.120.69.42/32 mx ip4:777.120.69.40/27 ip4:777.2.148.84/32
ip4:777.2.145.246/32 ~all
(am pus și google.com <http://google.com> ca să văd dacă e vreo
schimbare, Am schimbat prima grupă cu 777 ca să fie totuși un pic
anonimizat.)
Hai să punem problema altfel: ai un domeniu altundeva decât la
gmail? care nu include spf,google.com <http://google.com> ? Dacă
poți trimite la gmail înseamnă că sunt eu paranoic și trebuie doar
să aștept și am închis theradul.
On 4/9/24 17:16, Petru Rațiu wrote:
Am făcut o eroare de sintaxă (ieri) în SPF, în sensul că am
lăsat un ip4: ( fără IP completat) îsă am corectat-o de cel
puțin două ore. Știu că oficial DNS-ul se propagă în timp mai
mult dar în practică probabil că sunt 10 ani de când nu mi
s-a mai întâmplat să facă mai mult de 10 ore.
Mai aștept.
Hai ca nici aici nu e vreun mare mister. "propagarea" dns-ului nu
inseamna in cat timp se misca, ci in cat timp se invalideaza
cache-urile cu recordul vechi. I.e. in general dureaza "up to"
ttl-ul de la recordul care era inainte. Vad ca la badici.ro
<http://badici.ro> ai (acum) 1h, dar banuiesc ca la domeniul cu
pricina era ceva mai mult. Mai sunt niste stelute cu posibile
cache-uri care nu tin cont de ttl, dar n-am mai vazut de-alea de
mult.
Sorry de spam dar ma triggereaza speculatii de-astea de "naiba
stie ce voodoo fac aia acolo" in special de la oameni care ar
trebui sa stie mai bine.
Also, daca ti-e rusine sa dai numele domeniului pe lista, hai pe
irc si discutam acolo (cu amendamentul ca iti iei si mistocareala
proportional :) ).
--
P.
_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
