Defaults.Exposed › Αναφορές
Η Αναφορά SPF PermError: 100× Περισσότερα Domains Σπάνε το Όριο των 10 Αναζητήσεων Απ' Ό,τι Δείχνουν οι Επιφανειακές Μετρήσεις (2026)
Δημοσιεύτηκε 2026-07-03
Στοιχεία με ημερομηνία 2026-06-29 · μεθοδολογία v7, συν ένα πέρασμα τιμολόγησης αλυσίδων που εκτελέστηκε 2026-07-03. Από την απογραφή 261 εκατομμυρίων βαθμολογημένων domains, επιλύσαμε κάθε στόχο SPF
include:που αναφέρεται 100 ή περισσότερες φορές — 10,842 στόχους που καλύπτουν το 95.2% όλων των αναφορών include — και τιμολογήσαμε τη διατηρούμενη αλυσίδα κάθε domain έναντι αυτού του χάρτη. Οι μη επιλυμένοι στόχοι της ουράς μετρήθηκαν ως μηδέν και τα περιεχόμενα της αλυσίδας αντικατοπτρίζουν την ημέρα επίλυσης, οπότε ο τίτλος είναι μια συντηρητική προσέγγιση με τάση προς το κατώτατο όριο: λέμε “τουλάχιστον”. Μόνο συγκεντρωτικά· ποτέ η εγγραφή μιας μεμονωμένης επιχείρησης. Δείτε πώς βαθμολογούμε.
Πόσα domains σπάνε το όριο των 10 αναζητήσεων του SPF;
Τουλάχιστον 797,263 — επειδή το SPF έχει έναν μηχανισμό αυτοκαταστροφής ενσωματωμένο στο πρότυπο, και ο πυροκροτητής κρύβεται εκεί όπου οι ιδιοκτήτες δεν μπορούν να τον δουν. Το RFC 7208 §4.6.4 περιορίζει έναν έλεγχο SPF σε 10 αναζητήσεις DNS· πέρα από τις δέκα, ο παραλήπτης σταματάει και επιστρέφει PermError, και μια εγγραφή PermError δεν προστατεύει τίποτα. Μετρήστε μόνο τις αναζητήσεις που είναι ορατές στην ίδια την εγγραφή — όπως κάνουν τα περισσότερα εργαλεία, και όπως έκανε και η δική μας απογραφή μέχρι αυτή την αναφορά — και θα βρείτε περίπου 8.000 παραβάτες (7,958, ακριβώς). Τιμολογήστε τις αλυσίδες include: που πραγματικά εισάγουν αυτές οι εγγραφές, και ο αριθμός φτάνει τα 797,263: περίπου 100 φορές μεγαλύτερος.
Γιατί οι ιδιοκτήτες δεν μπορούν να το δουν να έρχεται;
Επειδή ο προϋπολογισμός καταναλώνεται από τις εγγραφές άλλων ανθρώπων. Το include:onetool.example.com διαβάζεται ως μία γραμμή στον πίνακα DNS σας — αλλά ο παραλήπτης πρέπει να ανακτήσει και εκείνη την εγγραφή, και να μετρήσει κάθε μηχανισμό αναζήτησης που αυτή περιέχει, αναδρομικά. Μια εγγραφή με τρία includes μπορεί να κοστίσει έντεκα. Τίποτα στη δική σας ζώνη δεν άλλαξε την ημέρα που ξεπεράσατε το όριο· ένας πάροχος εμφώλευσε ένα ακόμη include, και το SPF σας πέθανε χωρίς προειδοποίηση.
Ακόμη χειρότερα, το DMARC αντιμετωπίζει ένα PermError ως αποτυχία στο σκέλος του SPF — οπότε ένα domain που έσπασε το SPF του με αυτόν τον τρόπο τώρα αποτυγχάνει στο μισό του δικού του ελέγχου ταυτότητας.
Τι βρήκε η τιμολόγηση αλυσίδων
| Εύρημα | Domains |
|---|---|
| Πάνω από το όριο των 10 αναζητήσεων, αλυσίδες τιμολογημένες | 797,263 |
| Πάνω από το όριο μετρώντας μόνο ορατούς μηχανισμούς | 7,958 |
Πάνω από το όριο ενώ καταλήγουν σε αυστηρό -all | 112,215 |
| Ακριβώς στις 9–10 αναζητήσεις — στο χείλος του γκρεμού | 2,119,539 |
Δύο ιστορίες σε αυτόν τον πίνακα — η τρίτη, το χείλος του γκρεμού, έχει τη δική της ενότητα παρακάτω:
- Οι επιφανειακές μετρήσεις χάνουν περίπου το 99% της βλάβης. Η μέτρηση ορατών μηχανισμών βρίσκει 7,958· η τιμολόγηση των αλυσίδων βρίσκει 797,263. Σχεδόν όλη η ζημιά κληρονομείται από αυτά που περιέχουν τα includes.
- 112,215 από τις σπασμένες εγγραφές καταλήγουν σε
-all. Οι ιδιοκτήτες τους έκαναν τα πάντα σωστά — ανέβηκαν τον τοίχο, επέλεξαν την αυστηρή κατάληξη — και ένα include παραπάνω ακύρωσε τα πάντα. Το να φαίνεσαι αυστηρός και να είσαι σπασμένος είναι ο πιο σκληρός τρόπος αποτυχίας στην ασφάλεια email.
2.1 εκατομμύρια domains απέχουν ένα εργαλείο από τον γκρεμό
Ο αριθμός που θα έπρεπε να ανησυχεί τους αναγνώστες που είναι αυτή τη στιγμή εντάξει: 2,119,539 domains επιλύονται σε ακριβώς 9 ή 10 αναζητήσεις — κάτω από το όριο σήμερα, νεκρά την ημέρα που κάποιος συνδέσει μία ακόμη πλατφόρμα. Αυτό είναι περίπου 1 στα 66 όλων των εκδοτών SPF, και ταιριάζει με το σχήμα της κατανομής: η εγγραφή SPF του 99ου εκατοστημορίου βρίσκεται ήδη στις 9 αναζητήσεις. Εγγραφείτε σε ένα ακόμη εργαλείο marketing, επικολλήστε τη γραμμή του “απλώς προσθέστε αυτό το include”, και μια εγγραφή που ήταν κάτω από το όριο το πρωί είναι άκυρη μέχρι το μεσημέρι.
Ποιος φταίει; Όλο και περισσότερο, η στοίβα
Οι μεγαλύτεροι πάροχοι έχουν διακριτικά ισοπεδώσει το SPF τους — το _spf.google.com της Google και το spf.protection.outlook.com της Microsoft πλέον επεκτείνονται σε απλές λίστες IP που κοστίζουν μηδέν εσωτερικές αναζητήσεις (επαληθεύσαμε και τα δύο έναντι ζωντανού DNS κατά τη διάρκεια αυτής της ανάλυσης). Οι εκρήξεις προέρχονται από αλλού: αλυσίδες πινάκων φιλοξενίας που εμφωλεύονται τρία επίπεδα βαθιά, περιφερειακοί πάροχοι των οποίων το include κοστίζει από μόνο του 7–10 αναζητήσεις, και η ειλικρινής συσσώρευση SaaS — γραμματοκιβώτιο συν newsletter συν CRM συν helpdesk, το καθένα “απλώς ένα include”. Σχεδόν κανείς δεν προσθέτει την ενδέκατη αναζήτηση επίτηδες. Φτάνει ως το άθροισμα λογικών αποφάσεων.
Πώς να ελέγξετε και να διορθώσετε το δικό σας — δωρεάν
- Μετρήστε το πραγματικό σας σύνολο — ο δωρεάν έλεγχός μας επιλύει την αλυσίδα σας, ή χρησιμοποιήστε οποιονδήποτε μετρητή αναζητήσεων SPF.
- Κλαδέψτε το νεκρό βάρος: εργαλεία που σταματήσατε να χρησιμοποιείτε, διπλότυπα includes, και τον καταργημένο μηχανισμό
ptr. - Ισοπεδώστε μόνο ό,τι ελέγχετε. Η αντικατάσταση ενός βαθιού include με τα μπλοκ IP του λειτουργεί για τη δική σας υποδομή· οι IP τρίτων αλλάζουν χωρίς προειδοποίηση.
- Δώστε στους μαζικούς αποστολείς ένα subdomain. Τα newsletters από το
news.yourdomain.comαποκτούν τη δική τους εγγραφή και τον δικό τους προϋπολογισμό 10 αναζητήσεων.
Συχνές ερωτήσεις
Τι είναι το όριο των 10 αναζητήσεων DNS του SPF;
Το RFC 7208 §4.6.4 επιτρέπει το πολύ 10 αναζητήσεις DNS για την αξιολόγηση μιας εγγραφής SPF — μετρώντας τις αναζητήσεις μέσα σε κάθε include: αναδρομικά. Η υπέρβασή του επιστρέφει PermError: η εγγραφή αντιμετωπίζεται ως άκυρη και δεν παρέχει καμία προστασία.
Τι σημαίνει το SPF PermError; Ένα μόνιμο σφάλμα αξιολόγησης — ο παραλήπτης δεν μπόρεσε να επεξεργαστεί την εγγραφή σας (πάρα πολλές αναζητήσεις, πολλαπλές εγγραφές, ή κατεστραμμένη σύνταξη) και αντιμετωπίζει το domain σας σαν να μην έχει χρησιμοποιήσιμο SPF. Το DMARC το μετράει ως αποτυχία στο σκέλος του SPF.
Πόσα domains ξεπερνούν το όριο αναζητήσεων του SPF; Τουλάχιστον 797,263 από 139 εκατομμύρια εκδότες SPF, σύμφωνα με το πέρασμα τιμολόγησης αλυσίδων μας — περίπου 100× τα 7,958 που είναι ορατά χωρίς την επίλυση των αλυσίδων. Ένα επιπλέον 2,119,539 βρίσκονται στις 9–10 αναζητήσεις, ένα include μακριά από το όριο.
Σταματάει ένα PermError την παράδοση του email μου; Συνήθως όχι — οι παραλήπτες προχωράνε χωρίς SPF, και η αλληλογραφία σας στηρίζεται στο DKIM και στη φήμη. Αυτό που σταματάει να λειτουργεί είναι η προστασία: οι πλαστογράφοι δεν απορρίπτονται πλέον, και κάθε έλεγχος DMARC της αλληλογραφίας σας χάνει το σκέλος του SPF. Είναι αόρατο μέχρι να γίνει ακριβό.
Πώς μειώνω τον αριθμό αναζητήσεων SPF μου;
Αφαιρέστε τα includes που δεν χρησιμοποιούνται και το ptr, ισοπεδώστε τη δική σας υποδομή σε ip4:/ip6:, μετακινήστε τους μαζικούς αποστολείς σε subdomains, και επαναμετρήστε μετά από κάθε νέο εργαλείο. Ο οδηγός διόρθωσης το εξηγεί βήμα βήμα.
Μάθετε τον πραγματικό σας αριθμό
Οι μηχανισμοί που μπορείτε να δείτε δεν είναι ο αριθμός αναζητήσεών σας — ο επιλυμένος αριθμός είναι αυτός που υπολογίζουν οι παραλήπτες, και είναι ένας έλεγχος 30 δευτερολέπτων.
Ελέγξτε το domain σας → · Διορθώστε το SPF → · Το μοντέλο ωριμότητας SPF → · Δύο εγγραφές SPF = καμία → · Η παγίδα ptr → · Μόνο συγκεντρωτικά δεδομένα. Τα δεδομένα αποθηκεύονται και επεξεργάζονται στην ΕΕ.