Defaults.Exposed › Raportit
SPF PermError -raportti: 100× enemmän verkkotunnuksia rikkoo 10 haun rajan kuin pintalaskennat näyttävät (2026)
Julkaistu 2026-07-03
Luvut 2026-06-29 · metodologia v7, sekä ketjuhinnoittelun ajo 2026-07-03. 261 miljoonan arvioidun verkkotunnuksen väestölaskennasta selvitimme jokaisen SPF
include:-kohteen, johon viitattiin 100 kertaa tai useammin — 10,842 kohdetta, jotka kattavat 95.2 % kaikista include-viittauksista — ja hinnoittelimme kunkin verkkotunnuksen säilytetyn ketjun tuota karttaa vasten. Selvittämättömät hännän kohteet laskettiin nollaksi ja ketjujen sisältö heijastaa selvityspäivää, joten otsikko on varovainen, alarajaan taipuva arvio: sanomme “vähintään”. Vain aggregaattitasolla; ei koskaan yksittäisen yrityksen tietue. Katso miten arvioimme.
Kuinka moni verkkotunnus rikkoo SPF:n 10 haun rajan?
Vähintään 797,263 — koska SPF:ssä on standardiin sisäänrakennettu itsetuho, ja laukaisin piiloutuu sinne, mistä omistajat eivät sitä näe. RFC 7208 §4.6.4 rajoittaa SPF-tarkistuksen 10 DNS-hakuun; kymmenen jälkeen vastaanottaja pysähtyy ja palauttaa PermError-virheen, ja PermError-tietue ei suojaa mitään. Laske vain tietueessa itsessään näkyvät haut — kuten useimmat työkalut tekevät ja kuten oma väestölaskentammekin teki tähän raporttiin asti — ja löydät noin 8 000 rikkojaa (tarkalleen 7,958). Hinnoittele ne include:-ketjut, jotka nuo tietueet tosiasiassa vetävät sisään, ja luku nousee 797,263:een: noin 100 kertaa suuremmaksi.
Miksi omistajat eivät näe sitä tulevan?
Koska budjetin kuluttavat muiden ihmisten tietueet. include:onetool.example.com näkyy yhtenä rivinä DNS-paneelissasi — mutta vastaanottajan on haettava myös tuo tietue ja laskettava jokainen hakumekanismi, jonka se sisältää, rekursiivisesti. Kolmen include-viittauksen tietue voi maksaa yksitoista. Mikään omalla vyöhykkeelläsi ei muuttunut sinä päivänä, jona ylitit rajan; palveluntarjoaja upotti yhden include-viittauksen lisää, ja SPF:si kuoli varoittamatta.
Vielä pahempaa: DMARC kohtelee PermErroria SPF-jalan epäonnistumisena — joten verkkotunnus, joka rikkoi SPF:nsä tällä tavalla, epäonnistuu nyt puolet omasta todennuksestaan.
Mitä ketjuhinnoittelu paljasti
| Havainto | Verkkotunnukset |
|---|---|
| 10 haun rajan yli, ketjut hinnoiteltu | 797,263 |
| Rajan yli laskien vain näkyvät mekanismit | 7,958 |
Rajan yli päättyen tiukkaan -all-merkkiin | 112,215 |
| Tasan 9–10 haussa — jyrkänteen reunalla | 2,119,539 |
Kaksi tarinaa tuossa taulukossa — kolmas, jyrkänteen reuna, saa oman osionsa alempana:
- Pintalaskennat jättävät huomiotta noin 99 % rikkoutumisesta. Näkyvien mekanismien laskenta löytää 7,958; ketjujen hinnoittelu löytää 797,263. Lähes kaikki vahinko peritään siitä, mitä include-viittaukset sisältävät.
- 112,215 rikkoutuneista tietueista päättyy
-all-merkkiin. Niiden omistajat tekivät kaiken oikein — kiipesivät muurin yli, valitsivat tiukan päätteen — ja yksi include-viittaus liikaa mitätöi kaiken. Tiukalta näyttävä ja rikkoutunut on ankarin epäonnistumistapa sähköpostiturvallisuudessa.
2.1 miljoonaa verkkotunnusta on yhden työkalun päässä jyrkänteestä
Luku, jonka pitäisi huolestuttaa lukijoita, jotka ovat tällä hetkellä kunnossa: 2,119,539 verkkotunnusta ratkeaa tasan 9 tai 10 hakuun — rajan alla tänään, kuolleena sinä päivänä, kun joku liittää yhden alustan lisää. Se on noin 1 jokaista 66 SPF-julkaisijaa kohden, ja se vastaa jakauman muotoa: 99. persentiilin SPF-tietue on jo 9 haussa. Rekisteröidy yhteen markkinointityökaluun lisää, liitä sen “lisää vain tämä include” -rivi, ja tietue, joka oli rajan alla aamiaisella, on mitätön lounaaksi.
Kenen syy se on? Yhä useammin pinon
Suurimmat palveluntarjoajat ovat hiljaa litistäneet SPF:nsä — Googlen _spf.google.com ja Microsoftin spf.protection.outlook.com laajenevat nyt pelkiksi IP-listoiksi, jotka maksavat nolla sisäistä hakua (varmistimme molemmat elävää DNS:ää vasten tämän analyysin aikana). Räjähdykset tulevat muualta: hosting-paneelien ketjuista, jotka pesiytyvät kolme tasoa syvälle, alueellisista palveluntarjoajista, joiden include maksaa itsessään 7–10 hakua, ja SaaS:n rehellisestä kertymästä — postilaatikko plus uutiskirje plus CRM plus tukipalvelu, jokainen “vain yksi include”. Lähes kukaan ei lisää yhdettätoista hakua tarkoituksella. Se saapuu järkevien päätösten summana.
Miten tarkistaa ja korjata omasi — ilmaiseksi
- Laske todellinen kokonaismääräsi — ilmainen tarkistuksemme selvittää ketjusi, tai käytä mitä tahansa SPF-hakulaskuria.
- Karsi kuollutta painolastia: työkalut, joiden käytön lopetit, päällekkäiset include-viittaukset ja vanhentunut
ptr-mekanismi. - Litistä vain se, mitä hallitset. Syvän include-viittauksen korvaaminen sen IP-lohkoilla toimii omalle infrastruktuurillesi; kolmansien osapuolten IP-osoitteet muuttuvat ilman ennakkoilmoitusta.
- Anna joukkolähettäjille aliverkkotunnus. Uutiskirjeet osoitteesta
news.yourdomain.comsaavat oman tietueensa ja oman 10 haun budjettinsa.
Usein kysytyt kysymykset
Mikä on SPF:n 10 DNS-haun raja?
RFC 7208 §4.6.4 sallii enintään 10 DNS-hakua yhden SPF-tietueen arvioimiseksi — laskien jokaisen include:-viittauksen sisäiset haut rekursiivisesti. Sen ylittäminen palauttaa PermError-virheen: tietuetta kohdellaan virheellisenä eikä se tarjoa mitään suojaa.
Mitä SPF PermError tarkoittaa? Pysyvä arviointivirhe — vastaanottaja ei pystynyt käsittelemään tietuettasi (liikaa hakuja, useita tietueita tai rikkinäistä syntaksia) ja kohtelee verkkotunnustasi käyttökelvottomana SPF:n suhteen. DMARC laskee sen SPF-jalan epäonnistumiseksi.
Kuinka moni verkkotunnus ylittää SPF:n hakurajan? Vähintään 797,263 / 139 miljoonaa SPF-julkaisijaa ketjuhinnoittelun ajomme mukaan — noin 100× enemmän kuin 7,958, jotka näkyvät ketjuja selvittämättä. Lisäksi 2,119,539 on 9–10 haussa, yhden include-viittauksen päässä rajasta.
Estääkö PermError sähköpostini toimituksen? Yleensä ei — vastaanottajat etenevät ilman SPF:ää, ja postisi kulkee DKIM:in ja maineen varassa. Se mikä lakkaa toimimasta, on suoja: väärentäjiä ei enää hylätä, ja jokainen postisi DMARC-tarkistus menettää SPF-jalkansa. Se on näkymätöntä, kunnes se käy kalliiksi.
Miten vähennän SPF-hakumäärääni?
Poista käyttämättömät include-viittaukset ja ptr, litistä oma infrastruktuurisi muotoon ip4:/ip6:, siirrä joukkolähettäjät aliverkkotunnuksiin ja laske uudelleen jokaisen uuden työkalun jälkeen. Korjausopas käy sen läpi.
Selvitä todellinen lukusi
Mekanismit, jotka näet, eivät ole hakumääräsi — selvitetty luku on se, jonka vastaanottajat laskevat, ja se on 30 sekunnin tarkistus.
Tarkista verkkotunnuksesi → · Korjaa SPF → · SPF:n kypsyysmalli → · Kaksi SPF-tietuetta = ei yhtään → · Ptr-ansa → · Vain aggregaattidataa. Tiedot tallennettu ja käsitelty EU:ssa.