將 DNS 從 Route53 移動到 Cloudflare 后了解 TXT 記錄

Question

我正在將現有網站的 DNS 條記錄從 Amazon Route53 移動到 Cloudflare，並將 AWS 負載均衡器引入其中。

當前架構

Route53 DNS --> EC2 Instance

新架構

Cloudflare DNS --> AWS Load Balancer --> EC2 Instance

---

在一些 DNS 記錄中，有對分配給 AWS 實例的彈性 IP 的引用（這在下面顯示為 11.22.33.44）。 我之前沒有設置記錄。

TXT 記錄#1

v=spf1 mx include:_SPF.google.com a:ec2-11-22-33-44.eu-west-1.compute.amazonaws.com include:servers.mcsv.net ~all

TXT 記錄 #2

include:spf.protection.outlook.com  include:spf.mandrillapp.com  ip4:11.22.33.44

---

我在這里有幾個問題：

1. Cloudflare 代理或負載均衡器是否影響 TXT 記錄中現有的 IP？ 我應該保持原樣，對嗎？
2. 這些是否需要是兩個單獨的 TXT 記錄？ 我可以將它們組合起來嗎？如果可以，語句的順序是否重要？

Answer 1

Cloudflare 代理或負載均衡器是否影響 TXT 記錄中現有的 IP？ 我應該保持原樣，對嗎？

正確的。 那些不影響服務器的 IP。

這些是否需要是兩個單獨的 TXT 記錄？ 我可以將它們組合起來嗎？如果可以，語句的順序是否重要？

擁有多個 SPF 記錄違反了 RFC。

重復的 SPF TXT 記錄。 另一個經常違反 SPF 的方面是一個域可能只有一個 SPF 記錄。 這意味着您只能擁有一條以“v=spf1”開頭的 DNS TXT 記錄。

參見https://www.socketlabs.com/blog/best-practices-sender-policy-framework-spf/

背景：

如您所知，這些是 SPF 郵件域驗證記錄。 它們應始終反映代表給定域發送 email 的任何郵件服務器的 IP 地址或域。

我要指出的是，由於您現在有一個負載均衡器，假設您有一些 Auto Scaling 組控制實例，如果實例 IP 被替換，它的編號可能會隨着時間的推移而改變。 每次實例重新啟動時，其 IP 地址都可能發生變化，具體取決於您的設置。 這會使您的 SPF 記錄失效，我們需要更新以維持正確的郵件投遞。

出於這個原因，我建議您考慮將 AWS SES 用於出站 email，無論您的實例 IP 更改如何，它始終是正確的。 該服務提供固定的 MX 服務器名稱，您可以在 SPF 記錄中使用這些名稱。