Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DNSルックアップの回数制限でハマった話

Ken Kato
July 16, 2024
Technology
1
190

 DNSルックアップの回数制限でハマった話

Ken Kato

July 16, 2024
Tweet

More Decks by Ken Kato

See All by Ken Kato
入社後初めてのタスクでk8sアップグレードした話.pdf
kkato1
1
550

Other Decks in Technology

See All in Technology
データウェアハウス製品のSnowflakeでPythonが動くって知ってました?
foursue
1
150
Azure SQL Database Hyperscale HA レプリカの監視
sansantech
PRO
0
190
音声AIエージェントの世界とRetell AI入門 / Introduction to the World of Voice AI Agents and Retell AI
rkaga
3
270
脆弱星に導かれて
nishimunea
1
1.5k
[RSJ24] Object Segmentation from Open-Vocabulary Manipulation Instructions Based on Optimal Transport Polygon Matching with Foundation Models
keio_smilab
PRO
0
120
[RSJ24] Task Success Prediction for Open-Vocabulary Manipulation Based on Multi-Level Aligned Representations
keio_smilab
PRO
0
200
エンジニアリングマネージャーが紐解く、事業視点から組織文化まで、包括的アプローチの探求 / READYFOR
9ma3r
13
2.1k
実践的なバグバウンティ入門
scgajge12
4
2k
標準最高!標準はださくないぞ! at fukuoka.ts #1
yoiwamoto
0
150
デジタル化・DX推進あるある
y150saya
0
200
Dojo 20240830 COBOL to Java on Z
ichikawayasuhisa
0
240
リクルート新人研修2024​ テキスト生成AI活用
recruitengineers
PRO
10
410

Featured

See All Featured
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
109
6.9k
Become a Pro
speakerdeck
PRO
22
4.8k
Testing 201, or: Great Expectations
jmmastey
35
6.9k
How GitHub (no longer) Works
holman
309
140k
We Have a Design System, Now What?
morganepeng
48
7.1k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
35
6.8k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
230
17k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
42
2k
Bootstrapping a Software Product
garrettdimon
PRO
304
110k
The Cult of Friendly URLs
andyhume
76
5.9k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
278
13k
BBQ
matthewcrist
83
9.1k

Transcript

  1. © 2024 Wantedly, Inc. DNSルックアップの回数制限で ハマった話 令和最新版 メールの技術LT会 / yabaibuki.dev

    #1 July 16 2024 - Ken Kato

  2. © 2024 Wantedly, Inc. 自己紹介 加藤 健 所属:ウォンテッドリー株式会社 職種:インフラエンジニア 趣味:ボルダリング

    🧗 X: @kkato25

  3. © 2024 Wantedly, Inc. はじめに

  4. © 2024 Wantedly, Inc. SPFレコードとは? 送信サーバーのIPアドレスとDNS上のIPアドレス(SPFレコード)を比較して、 一致していることを確認する。 送信サーバー 受信サーバー SPFレコード

    問い合わせ DNSサーバー

  5. © 2024 Wantedly, Inc. DNSルックアップの回数制限とは? DNSルックアップ:DNSを使用して必要な情報を検索すること • ドメイン名 -> IPアドレス

    (正引き) • IPアドレス -> ドメイン名 (逆引き) wantedly.com 3.113.203.192 DNSルックアップの上限は10回と決まっている。 • 制限の対象:「a」「 mx」「 include」「 redirect」 • 制限の対象外:「ip4」「ip6」

  6. © 2024 Wantedly, Inc. 対策前 $ dig TXT +short wantedly.com

    | grep spf | ggrep -oP 'include:\K[\-_a-z0-9.]+' _spf.google.com 1 email-wantedly2.wantedly.com 2 mail.zendesk.com 3 mktomail.com 4 _spf.salesforce.com 5 servers.mcsv.net 6 aspmx.pardot.com 7 cust-spf.exacttarget.com 8 $ dig TXT +short _spf.google.com | grep spf | ggrep -oP 'include:\K[\-_a-z0-9.]+' _netblocks.google.com 9 _netblocks2.google.com 10 _netblocks3.google.com 11 $ dig TXT +short aspmx.pardot.com | grep spf | ggrep -oP 'include:\K[\-_a-z0-9.]+' et._spf.pardot.com 12 $ dig TXT +short _spf.salesforce.com | grep spf | ggrep -oP exists:%{i.}.\K[\-_a-z0-9.]+' _spf.mta.salesforce.com 13 「include」に加えて「a」も 設定しているので、合計で 14回 DNSルックアップしている

  7. © 2024 Wantedly, Inc. 対策案 対策案は以下の2つ • 使用していないSPFレコードを削除する ◦ 全て使用していて、これ以上削除できるものがない

    • SPFレコードをフラット化する ◦ こちらを実施した SPFレコードのフラット化とは、includeの中身をあらかじめ展開すること。 $ dig TXT +short email-wantedly2. wantedly.com | grep spf | ggrep -oP ip[4|6]:[\-_:a-z0-9./]+' ip4:167.89.73.92 # この値をwantedly.com直下に「ip4」として持ってくる

  8. © 2024 Wantedly, Inc. ハマったところ フラット化しすぎて、SPFレコードの文字数制限(1000文字)に引っかかった... なので、一部だけフラット化することにした

  9. © 2024 Wantedly, Inc. 対策後 $ dig TXT +short wantedly.com

    | grep spf | ggrep -oP 'include:\K[\-_a-z0-9.]+' _spf.google.com 1 _spf.salesforce.com 2 aspmx.pardot.com 3 cust-spf.exacttarget.com 4 $ dig TXT +short _spf.google.com | grep spf | ggrep -oP 'include:\K[\-_a-z0-9.]+' _netblocks.google.com 5 _netblocks2.google.com 6 _netblocks3.google.com 7 $ dig TXT +short _spf.salesforce.com | grep spf | ggrep -oP exists:%{i.}.\K[\-_a-z0-9.]+' _spf.mta.salesforce.com 8 $ dig TXT +short aspmx.pardot.com | grep spf | ggrep -oP 'include:\K[\-_a-z0-9.]+' et._spf.pardot.com 9 「a」も設定しているので、 合計で10回DNSルックアップして いる

  10. © 2024 Wantedly, Inc. まとめ DNSルックアップの回数制限はハマりポイントが多くてヤバい • 回数制限は10回 • SPFレコードをフラット化することで回避できる

    • 但しフラット化しすぎると、SPFレコードの文字数制限に引っかかる

  11. © 2024 Wantedly, Inc. We are hiring! https://www.wantedly.com/projects/522096