Defaults.Exposed

Defaults.Exposed › گزارش‌ها

گزارش SPF PermError: تعداد دامنه‌هایی که محدودیت ۱۰ جست‌وجوی SPF را می‌شکنند 100× بیشتر از چیزی است که شمارش‌های سطحی نشان می‌دهند (۲۰۲۶)

منتشرشده 2026-07-03

ارقام تا 2026-06-29 · روش‌شناسی نسخه ۷، به‌همراه یک پاس قیمت‌گذاری زنجیره که در 2026-07-03 اجرا شد. از سرشماری 261 میلیون دامنهٔ درجه‌بندی‌شده، هر هدف include: در SPF را که ۱۰۰ بار یا بیشتر ارجاع داده شده بود resolve کردیم — 10,842 هدف که 95.2٪ از همهٔ ارجاع‌های include را پوشش می‌دهند — و زنجیرهٔ نگه‌داشته‌شدهٔ هر دامنه را در برابر آن نقشه قیمت‌گذاری کردیم. اهداف حل‌نشدهٔ انتهای دُم صفر شمرده شدند و محتوای زنجیره‌ها بازتاب روزِ resolve است، پس عنوان یک تقریب محافظه‌کارانه و متمایل به کف است: می‌گوییم «دست‌کم». تنها به‌صورت تجمیعی؛ هرگز رکورد یک کسب‌وکار منفرد نیست. ببینید چطور درجه‌بندی می‌کنیم.

چند دامنه محدودیت ۱۰ جست‌وجوی SPF را می‌شکنند؟

دست‌کم 797,263 — چون SPF یک مکانیزم خودتخریبی در دل استاندارد خود دارد، و ماشه‌اش جایی پنهان است که مالکان نمی‌توانند ببینند. RFC 7208 §4.6.4 هر بررسی SPF را به ۱۰ جست‌وجوی DNS محدود می‌کند؛ فراتر از ده، گیرنده متوقف می‌شود و PermError بازمی‌گرداند، و یک رکورد PermError از هیچ‌چیز محافظت نمی‌کند. اگر فقط جست‌وجوهایی را بشمارید که در خودِ رکورد قابل‌مشاهده‌اند — همان‌طور که بیشتر ابزارها می‌کنند، و همان‌طور که سرشماری خود ما تا پیش از این گزارش می‌کرد — حدود ۸٬۰۰۰ متخلف می‌یابید (به‌طور دقیق 7,958). زنجیره‌های include: را که آن رکوردها واقعاً به‌درون می‌کشند قیمت‌گذاری کنید، و شمار به 797,263 می‌رسد: تقریباً 100 برابر بزرگ‌تر.

چرا مالکان نمی‌توانند آمدنش را ببینند؟

چون بودجه را رکوردهای دیگران خرج می‌کنند. include:onetool.example.com در پنل DNS شما فقط یک خط به نظر می‌رسد — اما گیرنده باید آن رکورد را هم واکشی کند، و هر مکانیزم جست‌وجویی را که آن دربردارد به‌صورت بازگشتی بشمارد. رکوردی با سه include می‌تواند یازده جست‌وجو هزینه داشته باشد. در روزی که از حد گذشتید، هیچ‌چیزی در ناحیهٔ خودتان تغییر نکرد؛ یک ارائه‌دهنده یک include دیگر را تودرتو کرد، و SPF شما بی‌هیچ هشداری از کار افتاد.

بدتر آنکه، DMARC یک PermError را به‌مثابهٔ شکست در بخش SPF تلقی می‌کند — پس دامنه‌ای که SPF خود را این‌گونه شکسته، اکنون در نیمی از احراز هویت خودش شکست می‌خورد.

قیمت‌گذاری زنجیره چه چیزی یافت

یافتهدامنه‌ها
فراتر از حد ۱۰ جست‌وجو، زنجیره‌ها قیمت‌گذاری شده797,263
فراتر از حد با شمارش فقط مکانیزم‌های قابل‌مشاهده7,958
فراتر از حد در حالی که با -all سخت‌گیرانه پایان می‌یابند112,215
دقیقاً در ۹ تا ۱۰ جست‌وجو — لبهٔ پرتگاه2,119,539

دو داستان در آن جدول — سومی، لبهٔ پرتگاه، بخش مخصوص خود را در پایین دارد:

2.1 میلیون دامنه فقط یک ابزار با پرتگاه فاصله دارند

عددی که باید خوانندگانی را که در حال حاضر سالم‌اند نگران کند: 2,119,539 دامنه دقیقاً به ۹ یا ۱۰ جست‌وجو resolve می‌شوند — امروز زیر حد، و روزی که کسی یک پلتفرم دیگر متصل کند، مرده. این تقریباً ۱ از هر 66 از همهٔ منتشرکنندگان SPF است، و با شکل توزیع همخوانی دارد: رکورد SPF در صدک ۹۹ همین حالا در 9 جست‌وجو قرار دارد. برای یک ابزار بازاریابی دیگر ثبت‌نام کنید، خط «فقط این include را اضافه کن» آن را بچسبانید، و رکوردی که هنگام صبحانه زیر حد بود تا وقت ناهار بی‌اثر می‌شود.

تقصیر کیست؟ به‌طور فزاینده، تقصیر خودِ پشته است

بزرگ‌ترین ارائه‌دهندگان بی‌سروصدا SPF خود را مسطح کرده‌اند — _spf.google.com گوگل و spf.protection.outlook.com مایکروسافت اکنون به فهرست‌های ساده‌ای از IP گسترش می‌یابند که هیچ جست‌وجوی داخلی هزینه ندارند (هر دو را در این تحلیل در برابر DNS زنده تأیید کردیم). انفجارها از جای دیگری می‌آیند: زنجیره‌های پنل‌های میزبانی که سه لایه تودرتو می‌شوند، ارائه‌دهندگان منطقه‌ای که include‌شان به‌تنهایی ۷ تا ۱۰ جست‌وجو هزینه دارد، و انباشت صادقانهٔ SaaS — صندوق‌ ایمیل به‌علاوهٔ خبرنامه به‌علاوهٔ CRM به‌علاوهٔ میز پشتیبانی، هر کدام «فقط یک include». تقریباً هیچ‌کس یازدهمین جست‌وجو را عمداً اضافه نمی‌کند. آن به‌عنوان حاصل‌جمع تصمیم‌های منطقی از راه می‌رسد.

چطور مال خودتان را — رایگان — بررسی و اصلاح کنید

  1. مجموع واقعی خود را بشماریدبررسی رایگان ما زنجیرهٔ شما را resolve می‌کند، یا از هر شمارشگر جست‌وجوی SPF استفاده کنید.
  2. بار مردهٔ اضافی را هرس کنید: ابزارهایی که دیگر استفاده نمی‌کنید، include‌های تکراری، و مکانیزم منسوخ‌شدهٔ ptr.
  3. فقط آنچه را در کنترل خودتان است مسطح کنید. جایگزین کردن یک include عمیق با بلوک‌های IP آن برای زیرساخت خودتان کار می‌کند؛ IPهای شخص ثالث بدون اطلاع قبلی تغییر می‌کنند.
  4. به فرستندگان انبوه یک زیردامنه بدهید. خبرنامه‌ها از news.yourdomain.com رکورد خودشان و بودجهٔ ۱۰-جست‌وجوی خودشان را می‌گیرند.

پرسش‌های پرتکرار

محدودیت ۱۰ جست‌وجوی DNS در SPF چیست؟ RFC 7208 §4.6.4 حداکثر ۱۰ جست‌وجوی DNS برای ارزیابی یک رکورد SPF مجاز می‌داند — با شمارش بازگشتی جست‌وجوهای درون هر include:. فراتر رفتن از آن PermError بازمی‌گرداند: رکورد نامعتبر تلقی می‌شود و هیچ محافظتی فراهم نمی‌کند.

SPF PermError یعنی چه؟ یک خطای ارزیابی دائمی — گیرنده نتوانست رکورد شما را پردازش کند (جست‌وجوهای بیش‌ازحد، چند رکورد، یا نحو شکسته) و دامنهٔ شما را به‌عنوان دامنه‌ای بدون SPF قابل‌استفاده تلقی می‌کند. DMARC آن را به‌مثابهٔ شکست در بخش SPF می‌شمارد.

چند دامنه از محدودیت جست‌وجوی SPF فراتر می‌روند؟ دست‌کم 797,263 از 139 میلیون منتشرکنندهٔ SPF، بر پایهٔ پاس قیمت‌گذاری زنجیرهٔ ما — حدود 100× نسبت به 7,958 که بدون resolve کردن زنجیره‌ها قابل‌مشاهده‌اند. 2,119,539 دامنهٔ دیگر در ۹ تا ۱۰ جست‌وجو قرار دارند، یک include با حد فاصله دارند.

آیا یک PermError جلوی تحویل ایمیل من را می‌گیرد؟ معمولاً نه — گیرنده‌ها بدون SPF ادامه می‌دهند، و ایمیل شما بر پایهٔ DKIM و اعتبار سوار می‌شود. آنچه از کار می‌افتد محافظت است: جاعلان دیگر رد نمی‌شوند، و هر بررسی DMARC روی ایمیل شما بخش SPF خود را از دست می‌دهد. تا وقتی گران تمام نشود نامرئی است.

چطور تعداد جست‌وجوهای SPF خود را کاهش دهم؟ include‌های استفاده‌نشده و ptr را حذف کنید، زیرساخت خودتان را به ip4:/ip6: مسطح کنید، فرستندگان انبوه را به زیردامنه‌ها منتقل کنید، و پس از هر ابزار جدید دوباره بشمارید. راهنمای اصلاح گام‌به‌گام آن را توضیح می‌دهد.

عدد واقعی خود را کشف کنید

مکانیزم‌هایی که می‌بینید تعداد جست‌وجوی شما نیستند — عدد resolve‌شده همان است که گیرنده‌ها محاسبه می‌کنند، و یک بررسی ۳۰-ثانیه‌ای است.

دامنهٔ خود را بررسی کنید ← · اصلاح SPF ← · مدل بلوغ SPF ← · دو رکورد SPF = هیچ ← · تلهٔ ptr ← · تنها داده‌های تجمیعی. داده‌ها در اتحادیهٔ اروپا ذخیره و پردازش می‌شوند.