Defaults.Exposed

Defaults.Exposed › Zprávy

Zpráva o SPF PermError: 100× více domén překračuje limit 10 vyhledávání, než ukazují povrchní počty (2026)

Publikováno 2026-07-03

Údaje k 2026-06-29 · metodika v7, plus průchod oceňování řetězců provedený 2026-07-03. Z censu 261 milionů oceněných domén jsme vyřešili každý cíl SPF include: odkazovaný 100krát nebo více — 10,842 cílů pokrývajících 95.2 % všech odkazů include — a ocenili jsme udržovaný řetězec každé domény oproti této mapě. Nevyřešené koncové cíle byly počítány jako nula a obsah řetězců odráží den řešení, takže hlavní číslo je konzervativní, dolní hranicí zkreslená aproximace: říkáme „nejméně”. Pouze agregát; nikdy záznam jednotlivého podniku. Viz jak hodnotíme.

Kolik domén překračuje limit 10 vyhledávání SPF?

Nejméně 797,263 — protože SPF má sebedestrukci zabudovanou přímo do standardu a spouštěč se skrývá tam, kde ho vlastníci nevidí. RFC 7208 §4.6.4 omezuje kontrolu SPF na 10 DNS vyhledávání; po deseti se příjemce zastaví a vrátí PermError, a záznam s PermError nechrání nic. Počítejte jen vyhledávání viditelná v samotném záznamu — jak to dělá většina nástrojů a jak to dělal i náš vlastní census až do této zprávy — a najdete asi 8 000 provinilců (přesně 7,958). Oceňte řetězce include:, které tyto záznamy skutečně vtahují, a počet dosáhne 797,263: zhruba 100krát více.

Proč to vlastníci nevidí přicházet?

Protože rozpočet spotřebovávají cizí záznamy. include:onetool.example.com se ve vašem DNS panelu čte jako jeden řádek — ale příjemce musí načíst i tento záznam a rekurzivně počítat každý mechanismus vyhledávání, který on obsahuje. Záznam se třemi include může stát jedenáct. Ve vaší vlastní zóně se v den, kdy jste překročili limit, nic nezměnilo; poskytovatel vnořil o jeden include navíc a vaše SPF bez varování zemřelo.

Ještě hůř, DMARC považuje PermError za selhání SPF části — takže doména, která si takto rozbila SPF, nyní selhává v polovině vlastní autentizace.

Co oceňování řetězců zjistilo

ZjištěníDomény
Přes limit 10 vyhledávání, řetězce oceněny797,263
Přes limit při počítání jen viditelných mechanismů7,958
Přes limit, přičemž končí striktním -all112,215
Přesně na 9–10 vyhledáváních — hrana útesu2,119,539

Dva příběhy v této tabulce — třetí, hrana útesu, má vlastní sekci níže:

2.1 milionů domén je jeden nástroj od útesu

Číslo, které by mělo znepokojit čtenáře, kteří jsou momentálně v pořádku: 2,119,539 domén se řeší na přesně 9 nebo 10 vyhledávání — dnes pod limitem, mrtvé v den, kdy někdo připojí ještě jednu platformu. To je zhruba 1 z 66 všech vydavatelů SPF a odpovídá to tvaru rozdělení: záznam SPF na 99. percentilu už sedí na 9 vyhledáváních. Zaregistrujte se k dalšímu marketingovému nástroji, vložte jeho řádek „stačí přidat tento include” a záznam, který byl u snídaně pod limitem, je do oběda neplatný.

Čí je to vina? Stále víc je to vina technologického stacku

Největší poskytovatelé svá SPF potichu zploštili — Googleovo _spf.google.com a Microsoftovo spf.protection.outlook.com se teď rozbalují na prosté seznamy IP, které stojí nula interních vyhledávání (obojí jsme během této analýzy ověřili proti živému DNS). Přetečení pocházejí odjinud: řetězce hostingových panelů vnořené tři úrovně hluboko, regionální poskytovatelé, jejichž include sám o sobě stojí 7–10 vyhledávání, a poctivé hromadění SaaS — schránka plus newsletter plus CRM plus helpdesk, každý „jen jeden include”. Téměř nikdo nepřidává jedenácté vyhledávání záměrně. Přichází jako součet rozumných rozhodnutí.

Jak zkontrolovat a opravit to vaše — zdarma

  1. Spočítejte svůj skutečný celkový početnaše bezplatná kontrola vyřeší váš řetězec, nebo použijte libovolný počítač vyhledávání SPF.
  2. Prořezejte mrtvou zátěž: nástroje, které jste přestali používat, duplicitní include a zastaralý mechanismus ptr.
  3. Zploštěte jen to, co ovládáte. Nahrazení hlubokého include jeho IP bloky funguje pro vlastní infrastrukturu; IP třetích stran se mění bez upozornění.
  4. Dejte hromadným odesílatelům subdoménu. Newslettery z news.yourdomain.com dostanou vlastní záznam a vlastní rozpočet 10 vyhledávání.

Často kladené otázky

Co je limit 10 DNS vyhledávání SPF? RFC 7208 §4.6.4 povoluje nanejvýš 10 DNS vyhledávání k vyhodnocení jednoho záznamu SPF — počítaje rekurzivně vyhledávání uvnitř každého include:. Jeho překročení vrátí PermError: záznam je považován za neplatný a neposkytuje žádnou ochranu.

Co znamená SPF PermError? Trvalá chyba vyhodnocení — příjemce nedokázal zpracovat váš záznam (příliš mnoho vyhledávání, více záznamů nebo rozbitá syntaxe) a vaši doménu považuje za doménu bez použitelného SPF. DMARC to počítá jako selhání SPF části.

Kolik domén překračuje limit vyhledávání SPF? Nejméně 797,263 z 139 milionů vydavatelů SPF podle našeho průchodu oceňování řetězců — asi 100× více než 7,958 viditelných bez řešení řetězců. Dalších 2,119,539 sedí na 9–10 vyhledáváních, jeden include od limitu.

Zastaví PermError doručování mého e-mailu? Obvykle ne — příjemci pokračují bez SPF a vaše pošta jede na DKIM a reputaci. Co přestane fungovat, je ochrana: podvodníci už nejsou odmítáni a každá kontrola DMARC vaší pošty ztrácí svou SPF část. Je to neviditelné, dokud to nezačne být drahé.

Jak snížím počet svých vyhledávání SPF? Odstraňte nepoužívané include a ptr, zploštěte vlastní infrastrukturu na ip4:/ip6:, přesuňte hromadné odesílatele na subdomény a po každém novém nástroji přepočítejte. Návod na opravu vás tím provede.

Zjistěte své skutečné číslo

Mechanismy, které vidíte, nejsou váš počet vyhledávání — vyřešené číslo je to, které příjemci vypočítají, a je to 30sekundová kontrola.

Zkontrolujte svou doménu → · Opravit SPF → · Model zralosti SPF → · Dva záznamy SPF = žádný → · Past ptr → · Pouze agregovaná data. Data uložena a zpracována v EU.