Defaults.Exposed › Aruanded
SPF PermError-i raport: 100× rohkem domeene rikub 10 päringu piiri, kui pinnaloendused näitavad (2026)
Avaldatud 2026-07-03
Arvud seisuga 2026-06-29 · metoodika v7, pluss ahela-hindamise läbimine seisuga 2026-07-03. 261 miljoni hinnatud domeeni loendusest lahendasime iga SPF
include:-sihtmärgi, millele viidati 100 või enam korda — 10,842 sihtmärki, mis katavad 95.2% kõigist include-viidetest — ja hindasime iga domeeni säilitatud ahela selle kaardi järgi. Lahendamata saba-sihtmärke loeti nulliks ja ahela sisu peegeldab lahendamise päeva, seega on pealkiri konservatiivne, alumise piiri suunas kaldu hinnang: me ütleme „vähemalt”. Ainult koondandmed; kunagi mitte üksiku ettevõtte kirje. Vaata kuidas me hindame.
Kui palju domeene rikub SPF 10 päringu piiri?
Vähemalt 797,263 — sest SPF-il on standardisse sisse ehitatud enesehävitusmehhanism ja päästik peitub seal, kus omanikud seda näha ei saa. RFC 7208 §4.6.4 piirab SPF-kontrolli 10 DNS-päringuga; pärast kümmet lõpetab vastuvõtja ja tagastab PermError-i ning PermError-kirje ei kaitse mitte midagi. Loe ainult päringuid, mis on kirjes endas nähtavad — nagu enamik tööriistu teeb ja nagu ka meie enda loendus tegi kuni selle raportini — ja leiad umbes 8000 rikkujat (täpsemalt 7,958). Hinda include:-ahelaid, mille need kirjed tegelikult sisse tõmbavad, ja arv jõuab 797,263-ni: umbes 100 korda suurem.
Miks omanikud seda ette tulemas ei näe?
Sest eelarve kulutavad ära teiste inimeste kirjed. include:onetool.example.com loeb sinu DNS-paneelis ühe reana — kuid vastuvõtja peab ka selle kirje tooma ja loendama iga päringumehhanismi, mida see rekursiivselt sisaldab. Kolme include’iga kirje võib maksta üksteist. Sinu enda tsoonis ei muutunud midagi sel päeval, kui üle läksid; teenusepakkuja pesastas ühe include’i juurde ja sinu SPF suri hoiatuseta.
Veelgi hullem, DMARC käsitleb PermError-it kui SPF-poole läbikukkumist — nii et domeen, mis oma SPF-i sel viisil rikkus, kukub nüüd läbi poole enda autentimisest.
Mida ahela-hindamine leidis
| Leid | Domeene |
|---|---|
| Üle 10 päringu piiri, ahelad hinnatud | 797,263 |
| Üle piiri, loendades ainult nähtavaid mehhanisme | 7,958 |
Üle piiri ja lõppedes range -all-ga | 112,215 |
| Täpselt 9–10 päringu juures — kuristiku serv | 2,119,539 |
Selles tabelis on kaks lugu — kolmas, kuristiku serv, saab allpool oma sektsiooni:
- Pinnaloendused jätavad märkamata ~99% rikkest. Nähtavate mehhanismide loendus leiab 7,958; ahelate hindamine leiab 797,263. Peaaegu kogu kahju on päritud sellest, mida include’id sisaldavad.
- 112,215 rikutud kirjet lõpevad
-all-ga. Nende omanikud tegid kõik õigesti — ronisid müürile, valisid range lõpu — ja üks include liiga palju muutis kõik kehtetuks. Rangena näiv ja rikutud on e-posti turvalisuse karmim ebaõnnestumise vorm.
2.1 miljonit domeeni on ühe tööriista kaugusel kuristikust
Number, mis peaks muretsema panema neid lugejaid, kellel praegu on kõik korras: 2,119,539 domeeni lahenevad täpselt 9 või 10 päringule — täna piiri all, surnud sel päeval, kui keegi ühendab veel ühe platvormi. See on umbes 1 igast 66 SPF-avaldajast ja see vastab jaotuse kujule: 99. protsentiili SPF-kirje asub juba 9 päringu juures. Registreeru veel ühele turundustööriistale, kleebi selle „lihtsalt lisa see include” rida, ja kirje, mis oli hommikusöögi ajal piiri all, on lõunaks kehtetu.
Kelle süü see on? Üha enam kogu stäki
Suurimad teenusepakkujad on vaikselt oma SPF-i lamedaks teinud — Google’i _spf.google.com ja Microsofti spf.protection.outlook.com laienevad nüüd tavalisteks IP-loenditeks, mis maksavad null sisemist päringut (kontrollisime selle analüüsi käigus mõlemat elava DNS-i vastu). Plahvatused tulevad mujalt: hostimispaneeli ahelad, mis pesastuvad kolm sügavusse, regionaalsed teenusepakkujad, kelle include maksab üksinda 7–10 päringut, ja SaaS-i aus kuhjumine — postkast pluss uudiskiri pluss CRM pluss klienditugi, iga „lihtsalt üks include”. Peaaegu keegi ei lisa üheteistkümnendat päringut meelega. See saabub mõistlike otsuste summana.
Kuidas oma oma kontrollida ja parandada — tasuta
- Loe kokku oma tegelik koguarv — meie tasuta kontroll lahendab sinu ahela, või kasuta mis tahes SPF-päringute loendajat.
- Kärbi surnud koormust: tööriistad, mille kasutamise lõpetasid, dubleerivad include’id ja aegunud
ptrmehhanism. - Lameda ainult seda, mida sa kontrollid. Sügava include’i asendamine selle IP-plokkidega töötab sinu enda taristu puhul; kolmandate osapoolte IP-d muutuvad ette teatamata.
- Anna hulgisaatjatele alamdomeen.
news.yourdomain.com-ist saadetavad uudiskirjad saavad oma kirje ja oma 10 päringu eelarve.
Korduma kippuvad küsimused
Mis on SPF 10 DNS-päringu piir?
RFC 7208 §4.6.4 lubab ühe SPF-kirje hindamiseks kõige rohkem 10 DNS-päringut — loendades rekursiivselt päringud iga include: sees. Selle ületamine tagastab PermError-i: kirjet käsitletakse kehtetuna ja see ei paku mingit kaitset.
Mida SPF PermError tähendab? Püsiv hindamisviga — vastuvõtja ei suutnud sinu kirjet töödelda (liiga palju päringuid, mitu kirjet või katkine süntaks) ja käsitleb sinu domeeni nii, nagu sellel poleks kasutatavat SPF-i. DMARC loeb selle SPF-poole läbikukkumiseks.
Kui palju domeene ületab SPF päringute piiri? Vähemalt 797,263 139 miljonist SPF-avaldajast, meie ahela-hindamise läbimise järgi — umbes 100× rohkem kui 7,958, mis on nähtav ilma ahelaid lahendamata. Veel 2,119,539 asub 9–10 päringu juures, ühe include’i kaugusel piirist.
Kas PermError takistab minu e-kirja kohaletoimetamist? Tavaliselt mitte — vastuvõtjad jätkavad ilma SPF-ita ja sinu post sõidab DKIM-i ja reputatsiooni najal. Mis lakkab töötamast, on kaitse: võltsijaid ei lükata enam tagasi ja iga sinu posti DMARC-kontroll kaotab oma SPF-poole. See on nähtamatu, kuni läheb kalliks.
Kuidas ma vähendan oma SPF päringute arvu?
Eemalda kasutamata include’id ja ptr, lameda oma enda taristu ip4:/ip6:-ks, koli hulgisaatjad alamdomeenidele ja loe pärast iga uut tööriista uuesti kokku. Parandusjuhend juhatab su sellest läbi.
Uuri välja oma tegelik number
Mehhanismid, mida sa näed, ei ole sinu päringute arv — lahendatud number on see, mille vastuvõtjad arvutavad, ja see on 30-sekundiline kontroll.
Kontrolli oma domeeni → · Paranda SPF → · SPF küpsusmudel → · Kaks SPF-kirjet = mitte ühtegi → · Ptr-lõks → · Ainult koondandmed. Andmed salvestatakse ja töödeldakse EL-is.