Defaults.Exposed › Αναφορές
Γιατί αποτυγχάνει το SPF μου; Το πρόβλημα των 10 αναζητήσεων SaaS για αποστολείς στο Ηνωμένο Βασίλειο και την ΕΕ (2026)
Δημοσιεύτηκε 2026-07-09
Στοιχεία από 2026-06-29 · μεθοδολογία v7. Συγκεντρωτικά δεδομένα απογραφής για 261 εκατομμύρια βαθμολογημένους τομείς. Δείτε πώς βαθμολογούμε.
Όταν το SPF αποτυγχάνει για μια επιχείρηση που χρησιμοποιεί εργαλεία SaaS στο Ηνωμένο Βασίλειο ή την ΕΕ, η πιο πιθανή αιτία είναι ένας μόνο κανόνας RFC που δεν χρειάστηκε ποτέ να σκεφτείτε: πέρα από τα 10 DNS lookups, το SPF δεν επιστρέφει “fail” — επιστρέφει PermError, που σημαίνει ότι η εγγραφή αντιμετωπίζεται σαν να μην υπάρχει. Τουλάχιστον 797,263 τομείς έχουν ήδη ξεπεράσει αυτή τη γραμμή. Άλλοι 2,119,539 βρίσκονται ακριβώς στα 9–10 lookups — ένα νέο εργαλείο μακριά από τον ίδιο γκρεμό.
Γιατί σταματά να λειτουργεί το SPF όταν προσθέτετε ένα εργαλείο SaaS;
Το SPF λειτουργεί καταγράφοντας τους εξυπηρετητές αλληλογραφίας που είναι εξουσιοδοτημένοι να στέλνουν εκ μέρους του τομέα σας. Οι σύγχρονες επιχειρήσεις δεν διαχειρίζονται τους δικούς τους εξυπηρετητές — χρησιμοποιούν Google Workspace για εσωτερικό email, Mailchimp για καμπάνιες, HubSpot για ακολουθίες πωλήσεων, Pipedrive για επικοινωνίες CRM. Κάθε πλατφόρμα σάς δίνει μια γραμμή include: για να επικολλήσετε στο DNS σας.
Το πρόβλημα: κάθε include: αποτελεί αυτό καθ’ εαυτό ένα DNS lookup. Και κάθε εγγραφή μέσα σε αυτό το include μπορεί να ενεργοποιήσει περισσότερα lookups αναδρομικά. Το RFC 7208 §4.6.4 ορίζει αυστηρό ανώτατο όριο δέκα. Μετά τα δέκα, ο παραλήπτης εξυπηρετητής σταματά την αξιολόγηση και επιστρέφει PermError — και ένα PermError δεν είναι μαλακή αποτυχία που καταλήγει στα ανεπιθύμητα. Σημαίνει ότι η εγγραφή SPF σας αντιμετωπίζεται ως απούσα. Ο έλεγχος ταυτότητας email αποτυγχάνει στο σκέλος SPF.
Δεν θα το δείτε αυτό στον πίνακα DNS σας. Ο μετρητής ενεργοποιείται μόνο κατά την αξιολόγηση σε πραγματικό χρόνο. Μπορείτε να έχετε τρεις γραμμές include: στην ορατή εγγραφή σας και να βρίσκεστε δώδεκα lookups βαθιά, επειδή η εγγραφή SPF κάθε προμηθευτή ενσωματώνει τα δικά του sub-includes.
Πόσοι τομείς είναι ήδη πάνω από το όριο;
Τουλάχιστον 797,263. Αυτός είναι ο αριθμός αφού επιλύσαμε κάθε SPF include: στόχο που αναφέρεται 100 ή περισσότερες φορές — 10,842 διακριτοί στόχοι που καλύπτουν 95.2% όλων των αναφορών include — και υπολογίσαμε κόστος για την πλήρη αλυσίδα κάθε τομέα. Ο επιφανειακός αριθμός (αυτό που θα βρίσκατε μετρώντας μόνο τις ορατές γραμμές σε μια εγγραφή) βρίσκει περίπου 7,958. Ο αριθμός με αλυσιδωτή τιμολόγηση είναι 100 φορές μεγαλύτερος, επειδή σχεδόν όλη η βλάβη είναι αόρατη μέσα στους στόχους include.
Η κατάσταση που πιθανότερα επηρεάζει μια ευρωπαϊκή επιχείρηση:
| Σενάριο | Τι συμβαίνει |
|---|---|
| Google Workspace + Mailchimp + HubSpot + ένα ακόμα | Πιθανώς στα ή πάνω από τα 10 lookups |
| Φιλοξενία IONOS + τρία εργαλεία SaaS | Υψηλός κίνδυνος: ο ίδιος στόχος SPF του IONOS προσθέτει πολλά hops |
| Φιλοξενία OVH + δύο εργαλεία συναλλαγών + CRM | Ο κίνδυνος εξαρτάται από το βάθος SPF του OVH κατά την αξιολόγηση |
| Microsoft 365 μόνο του | Χαμηλός κίνδυνος: το SPF της Microsoft είναι συμπαγές και καλά συντηρημένο |
Ευρωπαίοι πάροχοι φιλοξενίας και αδύναμες προεπιλογές SPF
Ο πάροχος φιλοξενίας με τον οποίο ξεκινήσατε έχει σημασία — επειδή ορισμένοι ορίζουν προεπιλογές SPF που καταναλώνουν ήδη αρκετά από τα δέκα lookups σας πριν συνδέσετε ένα μόνο εργαλείο SaaS.
Μεταξύ των μεγαλύτερων παρόχων φιλοξενίας που χρησιμοποιούνται από ευρωπαϊκούς τομείς στην απογραφή μας:
| Πάροχος | Τομείς που τον χρησιμοποιούν | SPF αυστηρό (-all) | DMARC εφαρμόζεται |
|---|---|---|---|
| IONOS (EU) | 4,346,526 | 0.3% | 1.0% |
| OVH | 2,132,049 | 43.7% | 2.2% |
| Microsoft 365 | 10,205,070 | 85.0% | 21.7% |
| Google Workspace | 12,145,313 | 8.0% | 18.5% |
Το IONOS ξεχωρίζει: 1.0% των τομέων που φιλοξενεί το IONOS έχουν DMARC με επιβολή, που σημαίνει ότι η συντριπτική πλειονότητα δεν έχει καμία ουσιαστική πιστοποίηση αποστολέα. Οι τομείς OVH τα πάνε καλύτερα στη ρύθμιση αυστηρού SPF (43.7%) αλλά πέφτουν στο 2.2% στην εφαρμογή DMARC — το SPF χωρίς DMARC που το συνδέει με την κεφαλίδα From: προστατεύει μόνο τον φάκελο, όχι αυτό που βλέπει ο παραλήπτης.
Το Microsoft 365 είναι η εξαίρεση με θετική έννοια: 85.0% των τομέων που φιλοξενεί η Microsoft χρησιμοποιούν αυστηρό SPF, κυρίως επειδή ο οδηγός ροής email της Microsoft ορίζει το -all ως προεπιλογή. Το Google Workspace ορίζει ~all (softfail) ως προεπιλογή, αφήνοντας το 92% των τομέων του χωρίς αυστηρή προστασία.
Πώς να διαγνώσετε την αποτυχία SPF σε λιγότερο από 60 δευτερόλεπτα
Ο πιο γρήγορος έλεγχος είναι ένα δωρεάν εργαλείο που αξιολογεί ολόκληρη την αλυσίδα lookups — όχι μόνο την ορατή εγγραφή. Εκτελέστε nslookup -type=TXT τομεας-σας.com στη γραμμή εντολών και μετρήστε κάθε include: που βλέπετε. Στη συνέχεια αναζητήστε κάθε μία από αυτές τις εγγραφές και μετρήστε τις δικές τους. Αν σας τελειώσουν τα δάχτυλα πριν σας τελειώσουν τα includes, βρίσκεστε σε επικίνδυνη ζώνη.
Μια πιο αξιόπιστη προσέγγιση: ελέγξτε τον τομέα σας εδώ — ο σαρωτής αξιολογεί ολόκληρη την επιλυμένη αλυσίδα, επισημαίνει PermError και σας δείχνει ποιοι μηχανισμοί καταναλώνουν τον προϋπολογισμό lookups σας.
Τρία διαγνωστικά αποτελέσματα:
- PermError — είστε ήδη πάνω από δέκα. Κάθε email που στέλνετε αποτυγχάνει στον έλεγχο SPF στον παραλήπτη.
- Στα 9–10 lookups — βρίσκεστε στο χείλος. Η επόμενη ενσωμάτωση SaaS θα σας ρίξει πέρα.
- Softfail (~all) αντί για hardfail (-all) — είστε κάτω από το όριο αλλά η εγγραφή είναι πολύ επιτρεπτική για να παρέχει πραγματική προστασία. Δείτε την αναφορά εσφαλμένης διαμόρφωσης SPF για την πλήρη εικόνα του
-allέναντι~all.
Πώς να διορθώσετε το SPF όταν χρησιμοποιείτε πολλά εργαλεία SaaS
Υπάρχουν τρεις προσεγγίσεις, με σειρά μονιμότητας:
1. Έλεγχος και περικοπή. Ξεκινήστε καταγράφοντας κάθε include: στην τρέχουσα εγγραφή σας. Αφαιρέστε κάθε πλατφόρμα που δεν χρησιμοποιείτε πλέον — παλιοί ESP, εργαλεία CRM από προηγούμενα συμβόλαια, πλατφόρμες που δοκιμάσατε αλλά εγκαταλείψατε. Αυτό είναι δωρεάν και συχνά ανακτά αρκετά lookups. Κάθε αφαιρεμένο include: μπορεί να εξαλείψει 1–3 sub-lookups.
2. Ισοπέδωση της εγγραφής SPF σας. Το SPF flattening επιλύει όλους τους στόχους include: στα υποκείμενα εύρη IP τους και τα γράφει απευθείας στην εγγραφή σας ως μηχανισμούς ip4: και ip6:. Οι μηχανισμοί IP δεν ενεργοποιούν lookups, οπότε μια ισοπεδωμένη εγγραφή μπορεί να παραθέτει δεκάδες πηγές αποστολής και να παραμένει στα μηδέν lookups. Το μειονέκτημα: πρέπει να επαναλάβετε την ισοπέδωση κάθε φορά που ένας προμηθευτής ενημερώνει τις IPs αποστολής του, κάτι που συμβαίνει χωρίς προειδοποίηση. Οι περισσότερες επιχειρήσεις χρησιμοποιούν μια επί πληρωμή υπηρεσία SPF flattening (PowerDMARC, EasyDMARC, Dmarcian και άλλοι προσφέρουν αυτό) ή δημιουργούν ροή εργασίας παρακολούθησης.
3. Χρησιμοποιήστε μακροεντολές SPF. Οι μακροεντολές RFC 7208 σάς επιτρέπουν να δημιουργείτε εγγραφές που εκτελούν ένα μόνο DNS lookup ανά έλεγχο και απαντούν δυναμικά, αντί για μια αλυσίδα includes. Οι μακροεντολές απαιτούν υποστήριξη φιλοξενίας DNS και κάποια προσπάθεια υλοποίησης, αλλά είναι η αρχιτεκτονικά καθαρή λύση για οργανισμούς με πολλούς αποστολείς SaaS.
Αφού διορθώσετε το SPF, συνδυάστε το με εφαρμογή DMARC — το SPF χωρίς DMARC πιστοποιεί μόνο τον αποστολέα του φακέλου, όχι τη διεύθυνση κεφαλίδας From: που βλέπουν οι παραλήπτες.
Συχνές ερωτήσεις
Γιατί η εγγραφή SPF μου περνά το εργαλείο DNS μου αλλά εξακολουθεί να αποτυγχάνει στις κεφαλίδες email;
Τα περισσότερα εργαλεία DNS αναζήτησης μετρούν μόνο τους μηχανισμούς που είναι ορατοί στη δική σας εγγραφή, όχι τα sub-lookups που αυτοί οι μηχανισμοί ενεργοποιούν. Μπορείτε να έχετε δύο γραμμές include: και να είστε πάνω από το όριο αν η εγγραφή κάθε προμηθευτή περιέχει αρκετά ακόμα. Μόνο ένα εργαλείο αλυσιδωτής τιμολόγησης (ή ένας εξυπηρετητής λήψης email) μετρά το πλήρες βάθος. Ελέγξτε τον τομέα σας για να δείτε τον πραγματικό αριθμό αλυσίδας.
Σημαίνει η αποτυχία SPF ότι τα email μου πηγαίνουν στα ανεπιθύμητα;
Το PermError (πολλά lookups) σημαίνει ότι το σκέλος SPF της πιστοποίησης επιστρέφει μη-αποτέλεσμα — ουσιαστικά απόν. Το DMARC αξιολογεί τόσο το SPF όσο και το DKIM· αν το DKIM περνά, το DMARC μπορεί ακόμα να περάσει παρά το SPF PermError. Αν κανένα από τα δύο δεν περνά, το DMARC αποτυγχάνει, και το αποτέλεσμα εξαρτάται από την πολιτική DMARC σας. Με p=none, το email εξακολουθεί να παραδίδεται αλλά η αποτυχία καταγράφεται. Με p=quarantine ή p=reject, το email φιλτράρεται ή επιστρέφεται. Διορθώστε το SPF ώστε να μην βασίζεστε αποκλειστικά στο DKIM.
Πόσα lookups χρησιμοποιεί μια τυπική στοίβα SaaS; Η εγγραφή SPF p99 στην απογραφή μας βρίσκεται ήδη στα 9 lookups — ακριβώς στο όριο — πριν προστεθεί οτιδήποτε. Μια εγγραφή Google Workspace προσθέτει 3–4 lookups· το Mailchimp προσθέτει 1–2· το HubSpot προσθέτει 1–3 ανάλογα με την τρέχουσα διαμόρφωσή του. Τρία κύρια εργαλεία συν την προεπιλογή του παρόχου φιλοξενίας σας συχνά αρκεί για να υπερβείτε τα δέκα.
Είναι το SPF flattening ασφαλές;
Ναι, υπό την προϋπόθεση ότι το διατηρείτε ενημερωμένο. Το flattening μετατρέπει τις αλυσίδες include: σε στατικά εύρη IP — αν ένας προμηθευτής ανακυκλώσει τις IPs αποστολής του και δεν επαναλάβετε την ισοπέδωση, θα αρχίσετε να απορρίπτετε τα email του. Οι περισσότεροι οργανισμοί χρησιμοποιούν μια διαχειριζόμενη υπηρεσία flattening που παρακολουθεί τις αλλαγές IP αντί να το συντηρούν χειροκίνητα.
Το SPF μου είναι έτσι εδώ και χρόνια — γιατί αποτυγχάνει ξαφνικά; Επειδή οι προμηθευτές σας ενημέρωσαν τις εγγραφές SPF τους, όχι τις δικές σας. Κάθε φορά που μια πλατφόρμα SaaS προσθέτει ένα νέο εύρος IPs αποστολής ή φωλιάζει ένα άλλο include, το κόστος αλυσίδας σας αυξάνεται χωρίς καμία αλλαγή από την πλευρά σας. Το όριο των 10 lookups αξιολογείται σε πραγματικό χρόνο κατά τη λήψη μηνυμάτων, οπότε μια αλλαγή προμηθευτή ένα πρωί Τρίτης μπορεί να σπάσει το SPF σας μέχρι το απόγευμα της Τρίτης.
Βελτιώνει τη δυνατότητα παράδοσης email η διόρθωση του SPF; Αφαιρεί μια πηγή αποτυχίας πιστοποίησης, η οποία είναι προϋπόθεση για συνεπή παράδοση — ειδικά από τότε που η Google και το Yahoo επιβάλλουν πλέον ευθυγράμμιση DMARC για μαζικούς αποστολείς. Το SPF μόνο του δεν είναι η πλήρης εικόνα: συνδυάστε το με DKIM και DMARC για πλήρη πιστοποίηση email.
Ελέγξτε το SPF σας δωρεάν
Αν δεν είστε σίγουροι αν η εγγραφή SPF σας υπερβαίνει το όριο lookups — ή αν είναι ρυθμισμένη πολύ αδύναμα για να προστατεύει τον τομέα σας — εκτελέστε έναν δωρεάν έλεγχο. Αξιολογεί ολόκληρη την επιλυμένη αλυσίδα και σας δείχνει ακριβώς πού δαπανάται ο προϋπολογισμός.
Ελέγξτε τον τομέα σας → · Διορθώστε SPF → · Η αναφορά SPF PermError → · Αναφορά εσφαλμένης διαμόρφωσης SPF → · Το μοντέλο ωριμότητας υιοθέτησης SPF → · Διορθώστε DMARC → · Μόνο συγκεντρωτικά δεδομένα. Τα δεδομένα αποθηκεύονται και επεξεργάζονται στην ΕΕ.