Defaults.Exposed › Διορθώσεις › Guides
SPF Αποτυγχάνει για τα SaaS Εργαλεία σας; Γιατί Συμβαίνει και η Σειρά Διόρθωσης — Έκδοση Ευρώπης (2026)
Δημοσιεύτηκε 2026-07-08
Στοιχεία ως 2026-06-29 · μεθοδολογία v7. Συγκεντρωτικά στοιχεία απογραφής για 261 εκατομμύρια βαθμολογημένα domains. Δείτε πώς βαθμολογούμε.
Όταν ένα SaaS εργαλείο “αποτυγχάνει στον SPF”, η εγγραφή σας συνήθως δεν είναι το πρόβλημα: το email αποτυγχάνει στην ευθυγράμμιση DMARC, ή η αλυσίδα include έχει υπερβεί το όριο 10 DNS lookups του SPF. 2,119,539 από τα 138,927,207 domains που δημοσιεύουν SPF βρίσκονται σε 9–10 lookups — ένα SaaS include μακριά από τον γκρεμό — σύμφωνα με την απογραφή Defaults.Exposed των 261,086,232 domains.
Παρακάτω: πώς να πείτε ποιο από τα δύο προβλήματα έχετε, στη συνέχεια η σειρά διόρθωσης — σαρώστε πρώτα, βρείτε το domain από το οποίο αποστέλλει πραγματικά το εργαλείο, μεταβείτε τον πωλητή σε DKIM προσαρμοσμένου-domain, και μόνο προσθέστε SPF include όπου βοηθά πραγματικά — καθώς και τα ειδικά για HubSpot, Salesforce, Mailchimp και SendGrid.
Γιατί αποτυγχάνει το email από SaaS εργαλείο στον SPF;
Τρία μοτίβα καλύπτουν σχεδόν κάθε περίπτωση:
| Τι λέει η αναφορά ή το bounce | Τι είναι πραγματικά λάθος | Η διόρθωση |
|---|---|---|
| SPF περνά, DMARC εξακολουθεί να αποτυγχάνει | Ευθυγράμμιση: το εργαλείο πέρασε SPF στο δικό του bounce domain, όχι δικό σας | Ενεργοποιήστε τον DKIM προσαρμοσμένου-domain του πωλητή (CNAMEs) |
SPF permerror | Η αλυσίδα include σας υπερβαίνει το όριο 10 DNS lookups του SPF | Κλαδέψτε includes· δείτε τη διόρθωση too-many-lookups |
SPF fail / softfail | Το εργαλείο αποστέλλει πραγματικά με το return-path σας και δεν βρίσκεται στη εγγραφή σας | Προσθέστε το include του πωλητή ή ενεργοποιήστε το προσαρμοσμένο bounce domain |
Δεδομένα ως 2026-06-29.
Η γραμμή με έντονη γραφή είναι εκεί που στέκονται οι περισσότεροι. Η προσθήκη γραμμών include: για κάθε εργαλείο δεν την αγγίζει — και κάθε γραμμή σας φέρνει πιο κοντά στη δεύτερη γραμμή: τουλάχιστον 797,263 domains έχουν ήδη ξεπεράσει το όριο 10 lookups, και ο SPF τους τώρα επιστρέφει PermError που δεν προστατεύει τίποτα. Πλήρη στοιχεία στην αναφορά SPF PermError.
Σε ποιο domain ελέγχει πραγματικά ο SPF;
Όχι σε αυτό που βλέπετε στην κεφαλίδα From. Οι παραλήπτες αξιολογούν τον SPF έναντι του domain Return-Path (το RFC5321.MailFrom, που ονομάζεται επίσης bounce ή envelope-from address) — η κεφαλίδα From που βλέπει ο παραλήπτης σας δεν παίζει κανέναν ρόλο στον ίδιο τον έλεγχο SPF.
Αυτό το μόνο γεγονός εξηγεί τις περισσότερες “αποτυχίες SPF SaaS”. Η πλατφόρμα marketing σας αποστέλλει με Return-Path όπως [email protected]· ο SPF ελέγχεται έναντι vendor.com και περνά ευθέως. Στη συνέχεια το DMARC ρωτά αν αυτό το domain ελεγμένο-από-SPF ταιριάζει με το domain From σας. Δεν ταιριάζει, οπότε το σκέλος SPF του DMARC αποτυγχάνει και το dashboard σας λέει “SPF αποτυγχάνει”. Η επεξεργασία της δικής σας εγγραφής SPF δεν μπορεί να το διορθώσει — η εγγραφή σας δεν συμβουλεύτηκε ποτέ.
Ποια είναι η σειρά διόρθωσης;
- Εκτελέστε πρώτα τη δωρεάν σάρωση. Σας λέει σε ένα πέρασμα αν ο SPF σας λείπει, έχει διπλωθεί, ξεπερνά το όριο lookups ή είναι εντάξει, και πού βρίσκεται το DMARC — πριν αλλάξετε DNS.
- Βρείτε το Return-Path που χρησιμοποιεί πραγματικά το εργαλείο. Στείλτε στον εαυτό σας δοκιμή από το εργαλείο και διαβάστε την κεφαλίδα Return-Path (και Authentication-Results) στο ακατέργαστο μήνυμα. Αυτό σας λέει σε ποια γραμμή του πίνακα παραπάνω βρίσκεστε.
- Ενεργοποιήστε τον DKIM προσαρμοσμένου-domain του πωλητή. Κάθε σοβαρό SaaS εργαλείο προσφέρει “επικύρωση domain”: μερικές εγγραφές CNAME που του επιτρέπουν να DKIM-υπογράφει ως το domain σας. Αυτή η υπογραφή ευθυγραμμίζεται με το domain From σας, οπότε το DMARC περνά μέσω DKIM — ανθεκτικά, και ακόμα και όταν το email προωθείται. Αυτή είναι η διόρθωση που διαρκεί.
- Προσθέστε το SPF include του πωλητή μόνο αν χρησιμοποιεί το return-path σας — έχετε ενεργοποιήσει το προσαρμοσμένο bounce domain του, ή αποστέλλει πραγματικά με το domain σας στον φάκελο. Ένα include για πωλητή που bounces μέσω δικού του domain δεν αγοράζει τίποτα και ξοδεύει τον προϋπολογισμό lookups σας.
- Μετρήστε DNS lookups πριν αποθηκεύσετε. Το όριο είναι 10 επιλυμένα lookups, τα includes μετρούν αναδρομικά, και 2,119,539 domains βρίσκονται ήδη σε 9–10 — το p99 της απογραφής είναι 9. Κοντά στο όριο; Πρώτα αφαιρέστε includes για εργαλεία που δεν χρησιμοποιείτε πλέον. Άλλαξατε πρόσφατα παρόχο email; Ελέγξτε για παλιά δεύτερη εγγραφή — δύο εγγραφές SPF ισούται με PermError.
- Επανεκτελέστε σάρωση και επιβεβαιώστε. SPF pass στο σωστό domain, DKIM ευθυγραμμισμένος, DMARC να περνά. Η πλήρης αναφορά βρίσκεται στο πώς να διορθώσετε SPF· οδηγοί παρόχου όπως SPF σε GoDaddy και DMARC σε IONOS καλύπτουν τα κλικ DNS-panel.
Τι πρέπει να κάνετε για HubSpot, Salesforce, Mailchimp και SendGrid;
HubSpot. Συνδέστε το sending domain σας στις ρυθμίσεις HubSpot και δημοσιεύστε τα δύο DKIM CNAMEs που εκδίδει (hs1-… / hs2-…). Αυτό ευθυγραμμίζει DKIM με το domain From σας. Δεν χρειάζεστε SPF include HubSpot εκτός αν έχετε ρυθμίσει το HubSpot να χρησιμοποιεί το δικό σας bounce domain.
Salesforce. Δημιουργήστε κλειδί DKIM στο Salesforce Setup και δημοσιεύστε το ζεύγος CNAME που δημιουργεί. Αν το Salesforce αποστέλλει με το return-path του οργανισμού σας, προσθέστε include:_spf.salesforce.com και ρυθμίστε το bounce domain — αυτό είναι το ένα μεγάλο CRM όπου το SPF include συχνά χρειάζεται πραγματικά.
Mailchimp. Επικυρώστε το domain σας και δημοσιεύστε τα DKIM CNAMEs k2 / k3. Η ευθυγράμμιση Mailchimp είναι μόνο-DKIM — δεν υπάρχει πλέον SPF include που να προσθέτετε, και η προσθήκη από παλιό tutorial απλώς σπαταλά lookups.
SendGrid. Ολοκληρώστε επικύρωση domain (“automated security”): τρία CNAMEs που χειρίζονται τόσο DKIM όσο και το return-path στο δικό σας subdomain. Δεν χρειάζεστε SPF include. Από τα 740,321 domains που ο SPF εξουσιοδοτεί sendgrid.net, μόνο 18.0% έχουν enforcing DMARC (δεδομένα ως 2026-06-29) — οι περισσότεροι αποστολείς SendGrid σταματούν ένα βήμα πριν.
Zendesk και τα υπόλοιπα: ίδιο μοτίβο. Βρείτε τη σελίδα “επικύρωσης domain” του εργαλείου, δημοσιεύστε τα DKIM CNAMEs, και αγγίξτε τον SPF μόνο αν το εργαλείο τεκμηριώνει ότι χρησιμοποιεί το return-path σας.
Είναι ο SPF διαφορετικός για ευρωπαϊκές επιχειρήσεις;
Όχι — SPF, DKIM και DMARC λειτουργούν πανομοιότυπα παντού. Αυτό που διαφέρει στην Ευρώπη είναι το πλαίσιο: ποιος ρωτά, και τι έχουν κάνει ήδη οι γείτονές σας.
Το ccTLD σας ορίζει τον τοπικό πήχη. Τα ευρωπαϊκά ccTLDs δημοσιεύουν SPF αρκετά πάνω από τα ποσοστά .com, αλλά τα domains που ολοκληρώνουν τη δουλειά — enforcing DMARC policy επιπλέον — αποτελούν μειοψηφία παντού:
| TLD | Υιοθέτηση SPF (από βαθμολογημένα domains) | Enforcing DMARC (από βαθμολογημένα domains) |
|---|---|---|
| .nl | 75.91% | 29.43% |
| .ie | 70.89% | 8.79% |
| .de | 64.67% | 21.38% |
| .dk | 50.42% | 19.88% |
| .com | 54.14% | 9.50% |
Δεδομένα ως 2026-06-29. Γαλλία: 13.65% που επιβάλλουν DMARC· Ιταλία: 5.24%.
Η προεπιλογή του ευρωπαϊκού host σας έχει σημασία. 4,346,526 domains εξουσιοδοτούν τους EU διακομιστές email του IONOS (_spf-eu.ionos.com) στο SPF τους — και μόνο 0.3% τελειώνουν σε strict -all, με 1.0% DMARC-enforced. Τα 2,132,049 του OVH τα πηγαίνουν καλύτερα στη strictness (43.7%) αλλά μόνο 2.2% επιβάλλουν DMARC (δεδομένα ως 2026-06-29). Αν δεν αγγίξατε ποτέ τη εγγραφή σας, βασίζεστε σε αυτές τις προεπιλογές.
Οι ρυθμιστές τώρα το αναφέρουν ονομαστικά. Το Άρθρο 21(2)(j) NIS2 απαιτεί από εντός-πεδίου-εφαρμογής οντότητες να ασφαλίσουν τις επικοινωνίες τους, και ο Εκτελεστικός Κανονισμός (ΕΕ) 2024/2690 καθορίζει μέτρα ασφάλειας email και DNS. Η επικύρωση email είναι το συγκεκριμένο, ελέγξιμο κομμάτι — και, ασυνήθιστα για συμμόρφωση, δωρεάν να διορθωθεί.
Σχετικά με την εδαφικότητα δεδομένων: η σάρωση και απογραφή Defaults.Exposed τρέχουν σε AWS eu-west-1, δημοσιεύουμε μόνο συγκεντρωτικά στοιχεία, και μια σάρωση ελέγχει μόνο το domain για το οποίο ρωτάτε.
Συχνές ερωτήσεις
Ο SPF checker μου λέει “pass” αλλά το dashboard του εργαλείου λέει ότι ο SPF αποτυγχάνει — γιατί; Ο checker δοκίμασε τη εγγραφή σας· ο παραλήπτης δοκίμασε το domain Return-Path που χρησιμοποίησε πραγματικά το εργαλείο, στη συνέχεια το DMARC το σύγκρινε με το domain From σας. Αυτή είναι αποτυχία ευθυγράμμισης, όχι αποτυχία εγγραφής — διορθώνεται με DKIM προσαρμοσμένου-domain του πωλητή, όχι με επεξεργασίες SPF.
Πρέπει να προσθέσω το SPF include για κάθε εργαλείο που χρησιμοποιούμε; Όχι. Κάθε include ξοδεύει μέρος του προϋπολογισμού 10-lookup του SPF, αναδρομικά: 2,119,539 από τα 138,927,207 domains που δημοσιεύουν SPF βρίσκονται σε 9–10 lookups, και τουλάχιστον 797,263 έχουν ξεπεράσει — ο SPF τους επιστρέφει PermError και δεν προστατεύει τίποτα (δεδομένα ως 2026-06-29).
Διορθώνει το include και το DMARC; Μόνο αν το εργαλείο αποστέλλει με το return-path σας, ώστε ο SPF να περνά και να ευθυγραμμίζεται. Για τα περισσότερα SaaS εργαλεία δεν το κάνει — γι’ αυτό ο ευθυγραμμισμένος DKIM, όχι ο SPF, είναι το σκέλος που κάνει το DMARC να περνά για SaaS email.
Αποτελεί νομική απαίτηση στην ΕΕ; Για οντότητες εντός πεδίου NIS2, το Άρθρο 21(2)(j) και ο Εκτελεστικός Κανονισμός (ΕΕ) 2024/2690 καθιστούν την ασφάλεια email υποχρέωση. Ακόμα και εκτός πεδίου εφαρμογής, ασφαλιστές και ερωτηματολόγια πελατών ρωτούν όλο και περισσότερο — και ως 2026-06-29, κανένα ευρωπαϊκό ccTLD δεν φτάνει ακόμα και στο ένα τρίτο των domains του σε enforcing DMARC policy (29.43% σε .nl στην καλύτερη περίπτωση· 5.24% σε .it).
Στείλτε στον ιδιοκτήτη την αναφορά
Μόλις τα CNAMEs είναι ζωντανά, επανεκτελέστε τη σάρωση και προωθήστε τη βαθμολογημένη αναφορά στον ιδιοκτήτη της επιχείρησης ή τον πελάτη. Δείχνει, σε απλή γλώσσα, τι απέτυχε, τι διορθώσατε και πού βρίσκεται τώρα το domain — ακριβώς η απόδειξη που χρειάζονται για την ανανέωση ασφάλισης ή το ερωτηματολόγιο ασφάλειας πελάτη, γραπτώς αντί για τον λόγο σας.
Ελέγξτε το domain σας δωρεάν
Δείτε ακριβώς ποιο σκέλος SPF, DKIM και DMARC αποτυγχάνει — ιδιωτικά και μόνο για τον ιδιοκτήτη.
Ελέγξτε το domain σας → · Διόρθωση SPF → · SPF PermError: “too many DNS lookups” → · Πώς βαθμολογούμε → · Μόνο συγκεντρωτικά δεδομένα. Δεδομένα αποθηκευμένα και επεξεργασμένα στην ΕΕ.