Defaults.Exposed › الإصلاحات › Guides
SPF يفشل لأدوات SaaS لديك؟ لماذا يحدث ذلك وترتيب الإصلاح — إصدار أوروبا (2026)
نُشر 2026-07-08
الأرقام بتاريخ 2026-06-29 · المنهجية v7. بيانات إحصاء مجمّعة عبر 261 مليون نطاق مُصنَّف. اطلع على طريقة التصنيف.
حين “تفشل أداة SaaS في SPF”، سجلك عادةً ليس المشكلة: البريد يفشل في توافق DMARC، أو سلسلة includes الخاصة بك تجاوزت حد SPF البالغ 10 عمليات بحث DNS. 2,119,539 من 138,927,207 نطاق ينشر SPF يقف على 9-10 عمليات بحث — على بعد include SaaS واحد من الهاوية — وفقاً لإحصاء Defaults.Exposed لـ 261,086,232 نطاق.
أدناه: كيف تعرف أي المشكلتَين لديك، ثم ترتيب الإصلاح — الفحص أولاً، ابحث عن النطاق الذي ترسل منه الأداة فعلاً، حوّل المورد إلى DKIM بنطاق مخصص، وأضف include لـ SPF فقط حيث يُفيد فعلاً — بالإضافة إلى التفاصيل لـ HubSpot وSalesforce وMailchimp وSendGrid.
لماذا يفشل البريد من أداة SaaS في SPF؟
ثلاثة أنماط تُغطي تقريباً كل الحالات:
| ما تقوله التقرير أو الارتداد | ما الخطأ فعلاً | الإصلاح |
|---|---|---|
| SPF ينجح، DMARC لا يزال يفشل | التوافق: الأداة نجحت في SPF على نطاق ارتدادها هي، لا نطاقك | شغّل DKIM بنطاق مخصص للمورد (CNAMEs) |
SPF permerror | سلسلة includes الخاصة بك تتجاوز حد SPF البالغ 10 عمليات بحث DNS | قلِّم الـ includes؛ انظر إصلاح عمليات البحث الزائدة |
SPF fail / softfail | الأداة فعلاً ترسل بـ Return-Path الخاصة بك وليست في سجلك | أضف include المورد أو فعّل نطاق الارتداد المخصص له |
البيانات بتاريخ 2026-06-29.
السطر بالخط العريض هو حيث يقف معظم الناس. إضافة أسطر include: لكل أداة لا تلمسه — وكل سطر يُقرِّبك من السطر الثاني: ما لا يقل عن 797,263 نطاق تجاوز بالفعل حد عمليات البحث العشر، وSPF الخاص بها يُعيد الآن PermError لا يحمي شيئاً. الأرقام الكاملة في تقرير SPF PermError.
أي نطاق يفحصه SPF فعلاً؟
ليس الذي في ترويسة From. يُقيِّم المستقبِلون SPF مقابل نطاق Return-Path (RFC5321.MailFrom، يُسمى أيضاً نطاق الارتداد أو envelope-from) — ترويسة From التي يراها متلقّيك لا دور لها في فحص SPF نفسه.
هذه الحقيقة الواحدة تُفسِّر معظم “إخفاقات SPF لـ SaaS”. منصة التسويق الخاصة بك ترسل بـ Return-Path مثل [email protected]؛ يُفحَص SPF مقابل vendor.com وينجح بنظافة. ثم يسأل DMARC هل النطاق الذي اجتاز SPF يتطابق مع نطاق From. لا يتطابق، فتفشل ركيزة SPF في DMARC وتقول لوحتك “SPF يفشل”. تحرير سجل SPF الخاص بك لا يُصلح ذلك — سجلك لم يُستشر أصلاً.
ما ترتيب الإصلاح؟
- شغّل الفحص المجاني أولاً. يُخبرك في جولة واحدة هل SPF مفقود أو مكرر أو متجاوز لحد عمليات البحث أو سليم، وأين يقف DMARC — قبل أن تلمس DNS.
- ابحث عن Return-Path التي تستخدمها الأداة فعلاً. أرسل لنفسك اختباراً من الأداة واقرأ ترويسة Return-Path (وAuthentication-Results) في الرسالة الخام. ذلك يُخبرك في أي سطر من الجدول أعلاه أنت.
- شغّل DKIM بنطاق مخصص للمورد. كل أداة SaaS جادة تقدم “مصادقة النطاق”: بضعة سجلات CNAME تتيح لها التوقيع بـ DKIM كنطاقك. يتوافق هذا التوقيع مع نطاق From، فيجتاز DMARC عبر DKIM — بشكل دائم، وحتى حين يُوجَّه البريد. هذا هو الإصلاح الذي يثبت.
- أضف include SPF للمورد فقط إن كان يستخدم Return-Path الخاصة بك — فعّلت نطاق ارتداده المخصص، أو يرسل فعلاً بنطاقك في الغلاف. include لمورد يرتد عبر نطاقه الخاص لا يُفيد شيئاً ويستهلك ميزانية عمليات البحث.
- عُدّ عمليات بحث DNS قبل الحفظ. الحد 10 عمليات بحث محلولة، الـ includes تُحتسب بصورة تعاودية، و2,119,539 نطاق يقف بالفعل على 9-10 — المئين 99 في الإحصاء هو 9. قرب الحافة؟ أزل أولاً includes الأدوات التي لم تعد تستخدمها. بدّلت مزوّد البريد مؤخراً؟ ابحث عن سجل ثانٍ متبقٍّ — سجلان SPF يعنيان PermError.
- أعد الفحص وأكّد. SPF ينجح على النطاق الصحيح، DKIM متوافق، DMARC ناجح. المرجع الكامل في كيف تُصلح SPF؛ أدلة المزوّدين مثل SPF على GoDaddy وDMARC على IONOS تُغطي نقرات لوحة DNS.
ماذا تفعل مع HubSpot وSalesforce وMailchimp وSendGrid؟
HubSpot. صِل نطاق الإرسال في إعدادات HubSpot وانشر CNAME الخاصَين بـ DKIM التي تُصدرهما (hs1-… / hs2-…). هذا يُوافق DKIM مع نطاق From. لا تحتاج include SPF لـ HubSpot ما لم تُهيِّئ HubSpot لاستخدام نطاق ارتدادك الخاص.
Salesforce. أنشئ مفتاح DKIM في إعداد Salesforce وانشر زوج CNAME الذي يُنشئه. إن كان Salesforce يرسل بـ Return-Path لمؤسستك، أضف include:_spf.salesforce.com وهيِّئ نطاق الارتداد — هذا هو CRM الكبير الوحيد الذي يكون فيه include SPF مطلوباً فعلاً كثيراً.
Mailchimp. صادق نطاقك وانشر CNAME الخاصَين بـ DKIM k2 / k3. التوافق في Mailchimp عبر DKIM فقط — لا include SPF لإضافته بعد الآن، وإضافته من برنامج تعليمي قديم يهدر عمليات البحث فحسب.
SendGrid. أكمل مصادقة النطاق (“automated security”): ثلاثة CNAMEs تتعامل مع DKIM وReturn-Path على نطاقك الفرعي الخاص. لا include SPF مطلوب. من 740,321 نطاق تُفوِّض SPF لـ sendgrid.net، 18.0% فقط لديه DMARC مُطبَّق (البيانات بتاريخ 2026-06-29) — معظم مرسِلي SendGrid يتوقفون خطوة واحدة قبل الكمال.
Zendesk وكل شيء آخر: نفس النمط. ابحث عن صفحة “مصادقة النطاق” للأداة، انشر CNAMEs الخاصة بـ DKIM، ولا تلمس SPF إلا إن وثّقت الأداة أنها تستخدم Return-Path الخاصة بك.
هل SPF مختلف للشركات الأوروبية؟
لا — SPF وDKIM وDMARC تعمل بشكل متطابق في كل مكان. ما يختلف في أوروبا هو السياق: من يسأل، وما فعله جيرانك بالفعل.
ccTLD الخاص بك يُحدِّد المعيار المحلي. ccTLDs الأوروبية تنشر SPF بمعدلات أعلى بكثير من .com، لكن النطاقات التي تُكمل المهمة — سياسة DMARC مُطبَّقة فوق ذلك — هي الأقلية في كل مكان:
| TLD | اعتماد SPF (من النطاقات المُصنَّفة) | DMARC مُطبَّق (من النطاقات المُصنَّفة) |
|---|---|---|
| .nl | 75.91% | 29.43% |
| .ie | 70.89% | 8.79% |
| .de | 64.67% | 21.38% |
| .dk | 50.42% | 19.88% |
| .com | 54.14% | 9.50% |
البيانات بتاريخ 2026-06-29. فرنسا: 13.65% تُطبِّق DMARC؛ إيطاليا: 5.24%.
الافتراضي لمضيفك الأوروبي مهم. 4,346,526 نطاق يُفوِّض خوادم بريد IONOS الأوروبية (_spf-eu.ionos.com) في SPF — و0.3% فقط ينتهي بـ -all الصارم، مع 1.0% مُطبَّق في DMARC. 2,132,049 لـ OVH يُظهرون أداءً أفضل في الصرامة (43.7%) لكن 2.2% فقط يُطبِّق DMARC (البيانات بتاريخ 2026-06-29). إن لم تلمس سجلك قط، أنت تقف على تلك الافتراضيات.
المنظِّمون يُسمّون ذلك الآن. تشترط المادة 21(2)(ي) من NIS2 أن تُؤمِّن الجهات الخاضعة لنطاقها اتصالاتها، وتوضح لائحة التنفيذ (EU) 2024/2690 تدابير أمن البريد الإلكتروني وDNS. مصادقة البريد هي الجزء الملموس القابل للفحص — وبشكل استثنائي في مجال الامتثال، إصلاحه مجاني.
بشأن إقامة البيانات: ماسح Defaults.Exposed والإحصاء يعملان على AWS eu-west-1، ننشر أرقاماً إجمالية فقط، والفحص يفحص النطاق الذي تسأل عنه وحده.
الأسئلة الشائعة
أداة فحص SPF الخاصة بي تقول “pass” لكن لوحة الأداة تقول SPF يفشل — لماذا؟ المدقِّق اختبر سجلك؛ المستقبِل اختبر نطاق Return-Path الذي استخدمته الأداة فعلاً، ثم قارنه DMARC بنطاق From. هذا إخفاق توافق لا إخفاق سجل — يُصلح بـ DKIM بنطاق مخصص للمورد، لا بتحرير SPF.
هل أُضيف include لـ SPF لكل أداة نستخدمها؟ لا. كل include يستهلك جزءاً من ميزانية SPF البالغة 10 عمليات بحث، بصورة تعاودية: 2,119,539 من 138,927,207 نطاق ينشر SPF يقف على 9-10 عمليات بحث، وما لا يقل عن 797,263 تجاوز — SPF الخاص بها يُعيد PermError ولا يحمي شيئاً (البيانات بتاريخ 2026-06-29).
هل include يُصلح DMARC أيضاً؟ فقط إن كانت الأداة ترسل بـ Return-Path الخاصة بك، فيجتاز SPF ويتوافق. لمعظم أدوات SaaS لا يكون كذلك — ولهذا DKIM المتوافق، لا SPF، هو الركيزة التي تجعل DMARC ينجح لبريد SaaS.
هل هذا متطلب قانوني في الاتحاد الأوروبي؟ للجهات في نطاق NIS2، تجعل المادة 21(2)(ي) ولائحة التنفيذ (EU) 2024/2690 أمن البريد التزاماً. حتى خارج النطاق، تسأل شركات التأمين واستبيانات العملاء عنه بصورة متزايدة — وبتاريخ 2026-06-29، لا ccTLD أوروبي يحصل حتى على ثلث نطاقاته على سياسة DMARC مُطبَّقة (29.43% في .nl كأفضل حال؛ 5.24% في .it).
أرسل للمالك التقرير
بمجرد أن تكون CNAMEs حية، أعد الفحص وأرسل التقرير المُصنَّف لصاحب العمل أو العميل. يُظهر، بلغة بسيطة، ما كان يفشل، وما أصلحته، وأين يقف النطاق الآن — بالضبط الدليل الذي يحتاجه لتجديد التأمين أو استبيان أمان العميل، خطياً لا على كلمتك.
افحص نطاقك مجاناً
اعرف بالضبط أي ركيزة من SPF وDKIM وDMARC تفشل — بخصوصية تامة ومقتصرة على المالك.
افحص نطاقك ← · إصلاح SPF ← · SPF PermError: “عمليات بحث DNS كثيرة جداً” ← · طريقة التصنيف ← · بيانات إجمالية فقط. البيانات مخزّنة ومعالَجة في الاتحاد الأوروبي.