Defaults.Exposed

Defaults.Exposed › דוחות

דוח ה-SPF PermError: פי 100 יותר דומיינים חורגים ממגבלת 10 החיפושים ממה שספירות פני-השטח מראות (2026)

פורסם 2026-07-03

נתונים נכון ל-2026-06-29 · מתודולוגיה v7, בתוספת מעבר תמחור-שרשראות שבוצע ב-2026-07-03. מתוך מפקד של 261 מיליון דומיינים מדורגים, פתרנו כל יעד SPF include: שאוזכר 100 פעמים או יותר — 10,842 יעדים המכסים 95.2% מכלל הפניות ה-include — ותמחרנו את השרשרת השמורה של כל דומיין מול אותה מפה. יעדי-זנב שלא נפתרו נספרו כאפס ותוכן השרשראות משקף את יום הפתרון, ולכן הכותרת היא קירוב שמרני, מוטה-רצפה: אנו אומרים “לפחות”. רק במצטבר; לעולם לא רשומה של עסק בודד. ראו כיצד אנו מדרגים.

כמה דומיינים חורגים ממגבלת 10 החיפושים של SPF?

לפחות 797,263 — משום של-SPF יש מנגנון השמדה-עצמית מובנה בתקן, וההדק מסתתר היכן שהבעלים אינם יכולים לראותו. RFC 7208 §4.6.4 מגביל בדיקת SPF ל-10 חיפושי DNS; מעבר לעשרה, הנמען עוצר ומחזיר PermError, ורשומת PermError אינה מגינה על דבר. אם סופרים רק את החיפושים הנראים ברשומה עצמה — כפי שרוב הכלים עושים, וכפי שהמפקד שלנו עשה עד לדוח זה — מוצאים כ-8,000 עבריינים (7,958, במדויק). תמחרו את שרשראות ה-include: שאותן רשומות מושכות בפועל, והספירה מגיעה ל-797,263: גדולה בערך פי 100.

מדוע הבעלים אינם יכולים לראות זאת מגיע?

משום שהתקציב מנוצל בידי רשומות של אנשים אחרים. include:onetool.example.com נקרא כשורה אחת בלוח ה-DNS שלכם — אך הנמען חייב לאחזר גם את אותה רשומה, ולספור כל מנגנון חיפוש שהיא מכילה, באופן רקורסיבי. רשומה עם שלושה includes יכולה לעלות אחת-עשרה. שום דבר באזור שלכם עצמו לא השתנה ביום שחציתם את הגבול; ספק קינן include אחד נוסף, וה-SPF שלכם מת ללא אזהרה.

גרוע מכך, DMARC מתייחס ל-PermError ככישלון בזרוע ה-SPF — כך שדומיין ששבר את ה-SPF שלו בדרך זו נכשל כעת במחצית מהאימות של עצמו.

מה מצא תמחור-השרשראות

ממצאדומיינים
מעל מגבלת 10 החיפושים, שרשראות מתומחרות797,263
מעל המגבלה בספירת מנגנונים נראים בלבד7,958
מעל המגבלה תוך שהם מסתיימים ב--all מחמיר112,215
בדיוק ב-9–10 חיפושים — שפת התהום2,119,539

שני סיפורים באותה טבלה — השלישי, שפת התהום, מקבל סעיף משלו למטה:

2.1 מיליון דומיינים במרחק כלי אחד מהתהום

המספר שאמור להטריד קוראים שכרגע בסדר: 2,119,539 דומיינים נפתרים לבדיוק 9 או 10 חיפושים — מתחת למגבלה היום, מתים ביום שמישהו יחבר פלטפורמה אחת נוספת. זה בערך 1 מכל 66 מכלל מפרסמי ה-SPF, וזה תואם את צורת ההתפלגות: רשומת ה-SPF באחוזון ה-99 כבר יושבת על 9 חיפושים. הירשמו לכלי שיווק אחד נוסף, הדביקו את שורת “פשוט הוסיפו את ה-include הזה” שלו, ורשומה שהייתה מתחת למגבלה בארוחת הבוקר בטלה עד הצהריים.

אשמת מי זו? יותר ויותר, של הערימה

הספקים הגדולים ביותר ישרו בשקט את ה-SPF שלהם — _spf.google.com של גוגל ו-spf.protection.outlook.com של מיקרוסופט מתרחבים כעת לרשימות IP פשוטות שעולות אפס חיפושים פנימיים (אימתנו את שניהם מול DNS חי במהלך ניתוח זה). ההתפוצצויות מגיעות ממקום אחר: שרשראות לוח-אחסון המקננות שלוש רמות עומק, ספקים אזוריים שה-include שלהם עולה 7–10 חיפושים בפני עצמו, וההצטברות הכנה של SaaS — תיבת דואר בתוספת ניוזלטר בתוספת CRM בתוספת מוקד-תמיכה, כל אחד “רק include אחד”. כמעט אף אחד לא מוסיף את החיפוש האחד-עשר בכוונה. הוא מגיע כסכום של החלטות סבירות.

כיצד לבדוק ולתקן את שלכם — בחינם

  1. ספרו את הסך-הכול האמיתי שלכםהבדיקה החינמית שלנו פותרת את השרשרת שלכם, או השתמשו בכל מונה חיפושי SPF.
  2. גזמו משקל מת: כלים שהפסקתם להשתמש בהם, includes כפולים, ומנגנון ה-ptr המיושן.
  3. ישרו רק את מה שבשליטתכם. החלפת include עמוק ב-IP שלו עובדת עבור התשתית שלכם עצמכם; כתובות IP של צד-שלישי משתנות ללא הודעה.
  4. תנו לשולחים בכמות תת-דומיין. ניוזלטרים מ-news.yourdomain.com מקבלים רשומה משלהם ותקציב 10-חיפושים משלהם.

שאלות נפוצות

מהי מגבלת 10 חיפושי ה-DNS של SPF? RFC 7208 §4.6.4 מתיר לכל היותר 10 חיפושי DNS כדי להעריך רשומת SPF אחת — בספירת החיפושים בתוך כל include: באופן רקורסיבי. חריגה ממנה מחזירה PermError: הרשומה נחשבת לא-תקפה ואינה מספקת שום הגנה.

מה משמעות SPF PermError? שגיאת הערכה קבועה — הנמען לא הצליח לעבד את הרשומה שלכם (יותר מדי חיפושים, רשומות מרובות, או תחביר שבור) ומתייחס לדומיין שלכם כאילו אין לו SPF שמיש. DMARC סופר זאת ככישלון בזרוע ה-SPF.

כמה דומיינים חורגים ממגבלת החיפושים של SPF? לפחות 797,263 מתוך 139 מיליון מפרסמי SPF, לפי מעבר תמחור-השרשראות שלנו — בערך פי 100 מ-7,958 הנראים ללא פתרון שרשראות. עוד 2,119,539 יושבים על 9–10 חיפושים, במרחק include אחד מהמגבלה.

האם PermError עוצר את מסירת הדוא”ל שלי? בדרך כלל לא — נמענים ממשיכים ללא SPF, והדואר שלכם נשען על DKIM ומוניטין. מה שמפסיק לעבוד הוא ההגנה: מזייפים כבר אינם נדחים, וכל בדיקת DMARC של הדואר שלכם מאבדת את זרוע ה-SPF שלה. זה בלתי-נראה עד שזה יקר.

כיצד אני מפחית את ספירת חיפושי ה-SPF שלי? הסירו includes ו-ptr שאינם בשימוש, ישרו את התשתית שלכם עצמכם ל-ip4:/ip6:, העבירו שולחים בכמות לתת-דומיינים, וספרו מחדש אחרי כל כלי חדש. מדריך התיקון עובר על כך.

גלו את המספר האמיתי שלכם

המנגנונים שאתם יכולים לראות אינם ספירת החיפושים שלכם — המספר הנפתר הוא זה שנמענים מחשבים, וזו בדיקה של 30 שניות.

בדקו את הדומיין שלכם → · תקנו SPF → · מודל בשלות ה-SPF → · שתי רשומות SPF = אף אחת → · מלכודת ה-ptr → · נתונים במצטבר בלבד. נתונים נשמרים ומעובדים באיחוד האירופי.