Defaults.Exposed › التقارير
تقرير SPF PermError: عدد النطاقات التي تتجاوز حدّ العشر عمليات بحث أكبر بمقدار 100× مما تُظهره الإحصاءات السطحية (2026)
نُشر 2026-07-03
الأرقام حتى 2026-06-29 · المنهجية الإصدار v7، إضافةً إلى تمريرة تسعير السلاسل التي أُجريت في 2026-07-03. انطلاقًا من تعداد 261 مليون نطاق مُقيَّم، حلّلنا كل هدف SPF
include:مُشار إليه 100 مرة أو أكثر — 10,842 هدفًا تغطّي 95.2% من جميع مراجع include — وسعّرنا السلسلة المحتفَظ بها لكل نطاق مقابل تلك الخريطة. احتُسبت الأهداف الذيلية غير المُحلَّلة بقيمة صفر، وتعكس محتويات السلسلة يوم التحليل، لذا فالرقم الرئيسي تقريب متحفّظ منحاز نحو الحدّ الأدنى: نقول “ما لا يقل عن”. الأرقام إجمالية فقط؛ ولا تمثّل أبدًا سجلّ نشاط تجاري بعينه. راجع كيف نُقيّم.
كم عدد النطاقات التي تتجاوز حدّ العشر عمليات بحث في SPF؟
ما لا يقل عن 797,263 — لأن SPF يحمل آلية تدمير ذاتي مضمّنة في المعيار، والمُحفِّز يختبئ حيث لا يستطيع المالكون رؤيته. يحدّ RFC 7208 §4.6.4 فحص SPF بعشر عمليات بحث DNS؛ وبعد العشر، يتوقّف المُستقبِل ويُعيد PermError، وسجلّ PermError لا يحمي شيئًا. إن عددتَ فقط عمليات البحث الظاهرة في السجلّ نفسه — كما تفعل معظم الأدوات، وكما فعل تعدادنا حتى صدور هذا التقرير — فستجد نحو 8,000 مخالف (7,958 بالضبط). أمّا إذا سعّرت سلاسل include: التي تسحبها تلك السجلات فعليًا، فيصل العدد إلى 797,263: أي أكبر بنحو 100 أضعاف.
لماذا لا يستطيع المالكون توقّع حدوثه؟
لأن الميزانية تُستنزَف بواسطة سجلات أشخاص آخرين. يظهر include:onetool.example.com كسطر واحد في لوحة DNS خاصتك — لكن على المُستقبِل جلب ذلك السجلّ أيضًا، وعدّ كل آلية بحث يحتويها هو، بشكل تكراري. سجلّ فيه ثلاثة includes قد يكلّف إحدى عشرة عملية. لم يتغيّر شيء في نطاقك الخاص يوم تجاوزت الحدّ؛ بل قام مزوّد بتضمين include إضافي واحد، فمات SPF خاصتك دون سابق إنذار.
والأسوأ، أن DMARC يعامل PermError كفشل في شقّ SPF — فالنطاق الذي كسر SPF بهذه الطريقة يفشل الآن في نصف مصادقته الخاصة.
ماذا وجد تسعير السلاسل
| النتيجة | النطاقات |
|---|---|
| تجاوزت حدّ العشر عمليات بحث، بعد تسعير السلاسل | 797,263 |
| تجاوزت الحدّ بعدّ الآليات الظاهرة فقط | 7,958 |
تجاوزت الحدّ بينما تنتهي بـ -all الصارمة | 112,215 |
| عند 9–10 عمليات بحث بالضبط — على حافّة الهاوية | 2,119,539 |
قصّتان في ذلك الجدول — أمّا الثالثة، حافّة الهاوية، فلها قسمها الخاص أدناه:
- الإحصاءات السطحية تُغفِل نحو 99% من العطل. عدّ الآليات الظاهرة يجد 7,958؛ أمّا تسعير السلاسل فيجد 797,263. يكاد كل الضرر يكون موروثًا مما تحتويه الـ includes نفسها.
- 112,215 من السجلات المكسورة تنتهي بـ
-all. فعل أصحابها كل شيء بشكل صحيح — تسلّقوا الجدار، واختاروا الخاتمة الصارمة — و include واحد زائد أبطل كل ذلك. المظهر الصارم مع العطل هو أقسى أنماط الفشل في أمن البريد الإلكتروني.
2.1 مليون نطاق على بُعد أداة واحدة من الهاوية
الرقم الذي ينبغي أن يقلق القرّاء الذين بخير حاليًا: 2,119,539 نطاقًا تُحلّ إلى 9 أو 10 عمليات بحث بالضبط — تحت الحدّ اليوم، وميتة في اليوم الذي يربط فيه أحدهم منصّة إضافية واحدة. هذا نحو 1 من كل 66 من جميع ناشري SPF، وهو يطابق شكل التوزيع: سجلّ SPF عند المئين التاسع والتسعين يقع أصلًا عند 9 عملية بحث. سجّل في أداة تسويق إضافية واحدة، والصق سطرها “فقط أضف هذا الـ include”، فيصبح سجلّ كان تحت الحدّ وقت الإفطار باطلًا بحلول الغداء.
من الملام؟ بشكل متزايد، منظومة الأدوات
قام أكبر المزوّدين بـتسطيح SPF خاصتهم بهدوء — إذ صار _spf.google.com من غوغل وspf.protection.outlook.com من مايكروسوفت يتوسّعان الآن إلى قوائم IP خام لا تكلّف أي عمليات بحث داخلية (تحقّقنا من كليهما مقابل DNS الحيّ أثناء هذا التحليل). أمّا الانفجارات فتأتي من مكان آخر: سلاسل لوحات الاستضافة التي تتداخل ثلاث طبقات عميقة، والمزوّدون الإقليميون الذين يكلّف include خاصتهم 7–10 عمليات بحث بمفرده، والتراكم الصادق لخدمات SaaS — صندوق بريد زائد نشرة إخبارية زائد CRM زائد مكتب مساعدة، كلٌّ منها “مجرد include واحد”. لا أحد تقريبًا يضيف عملية البحث الحادية عشرة عن قصد. إنها تصل كمجموع قرارات معقولة.
كيف تتحقّق من رقمك وتُصلحه — مجانًا
- احسب إجماليك الحقيقي — فحصنا المجاني يحلّ سلسلتك، أو استخدم أي عدّاد لعمليات بحث SPF.
- قلّم الأوزان الميتة: الأدوات التي توقّفت عن استخدامها، وعمليات include المكرّرة، وآلية
ptrالمهجورة. - سطّح فقط ما تتحكّم به. استبدال include عميق بكتل IP خاصته يصلح لبنيتك التحتية الخاصة؛ أمّا عناوين IP للأطراف الثالثة فتتغيّر دون إشعار.
- امنح المرسِلين بالجملة نطاقًا فرعيًا. النشرات الإخبارية من
news.yourdomain.comتحصل على سجلّها الخاص وميزانية العشر عمليات بحث الخاصة بها.
الأسئلة الشائعة
ما هو حدّ العشر عمليات بحث DNS في SPF؟
يسمح RFC 7208 §4.6.4 بعشر عمليات بحث DNS كحدّ أقصى لتقييم سجلّ SPF واحد — مع عدّ عمليات البحث داخل كل include: بشكل تكراري. وتجاوز ذلك يُعيد PermError: يُعامَل السجلّ على أنه غير صالح ولا يوفّر أي حماية.
ماذا يعني SPF PermError؟ خطأ تقييم دائم — لم يتمكّن المُستقبِل من معالجة سجلّك (عدد كبير جدًا من عمليات البحث، أو سجلات متعدّدة، أو صياغة معطوبة) ويعامل نطاقك كأنه بلا SPF قابل للاستخدام. ويحتسبه DMARC كفشل في شقّ SPF.
كم عدد النطاقات التي تتجاوز حدّ عمليات البحث في SPF؟ ما لا يقل عن 797,263 من 139 مليون ناشر SPF، وفق تمريرة تسعير السلاسل — أي نحو 100× من الـ 7,958 الظاهرة دون حلّ السلاسل. وهناك 2,119,539 أخرى تقع عند 9–10 عمليات بحث، على بُعد include واحد من الحدّ.
هل يوقف PermError تسليم بريدي؟ عادةً لا — يمضي المُستقبِلون دون SPF، ويعتمد بريدك على DKIM والسمعة. ما يتوقّف عن العمل هو الحماية: لم يعد يُرفض المزوّرون، وكل فحص DMARC لبريدك يفقد شقّ SPF خاصته. إنه خفيّ حتى يصبح مكلّفًا.
كيف أقلّل عدد عمليات بحث SPF خاصتي؟
أزِل عمليات include غير المستخدَمة وptr، وسطّح بنيتك التحتية الخاصة إلى ip4:/ip6:، وانقل المرسِلين بالجملة إلى نطاقات فرعية، وأعِد العدّ بعد كل أداة جديدة. يشرح دليل الإصلاح ذلك خطوة بخطوة.
اعرف رقمك الحقيقي
الآليات التي يمكنك رؤيتها ليست عدد عمليات البحث خاصتك — الرقم المُحلَّل هو ما يحسبه المُستقبِلون، وهو فحص يستغرق 30 ثانية.
افحص نطاقك ← · أصلِح SPF ← · نموذج نضج SPF ← · سجلّا SPF = لا شيء ← · فخّ الـ ptr ← · بيانات إجمالية فقط. البيانات مُخزَّنة ومُعالَجة في الاتحاد الأوروبي.