Defaults.Exposed › דוחות
דוח ה-SPF PermError: פי 100 יותר דומיינים חורגים ממגבלת 10 החיפושים ממה שספירות פני-השטח מראות (2026)
פורסם 2026-07-03
נתונים נכון ל-2026-06-29 · מתודולוגיה v7, בתוספת מעבר תמחור-שרשראות שבוצע ב-2026-07-03. מתוך מפקד של 261 מיליון דומיינים מדורגים, פתרנו כל יעד SPF
include:שאוזכר 100 פעמים או יותר — 10,842 יעדים המכסים 95.2% מכלל הפניות ה-include — ותמחרנו את השרשרת השמורה של כל דומיין מול אותה מפה. יעדי-זנב שלא נפתרו נספרו כאפס ותוכן השרשראות משקף את יום הפתרון, ולכן הכותרת היא קירוב שמרני, מוטה-רצפה: אנו אומרים “לפחות”. רק במצטבר; לעולם לא רשומה של עסק בודד. ראו כיצד אנו מדרגים.
כמה דומיינים חורגים ממגבלת 10 החיפושים של SPF?
לפחות 797,263 — משום של-SPF יש מנגנון השמדה-עצמית מובנה בתקן, וההדק מסתתר היכן שהבעלים אינם יכולים לראותו. RFC 7208 §4.6.4 מגביל בדיקת SPF ל-10 חיפושי DNS; מעבר לעשרה, הנמען עוצר ומחזיר PermError, ורשומת PermError אינה מגינה על דבר. אם סופרים רק את החיפושים הנראים ברשומה עצמה — כפי שרוב הכלים עושים, וכפי שהמפקד שלנו עשה עד לדוח זה — מוצאים כ-8,000 עבריינים (7,958, במדויק). תמחרו את שרשראות ה-include: שאותן רשומות מושכות בפועל, והספירה מגיעה ל-797,263: גדולה בערך פי 100.
מדוע הבעלים אינם יכולים לראות זאת מגיע?
משום שהתקציב מנוצל בידי רשומות של אנשים אחרים. include:onetool.example.com נקרא כשורה אחת בלוח ה-DNS שלכם — אך הנמען חייב לאחזר גם את אותה רשומה, ולספור כל מנגנון חיפוש שהיא מכילה, באופן רקורסיבי. רשומה עם שלושה includes יכולה לעלות אחת-עשרה. שום דבר באזור שלכם עצמו לא השתנה ביום שחציתם את הגבול; ספק קינן include אחד נוסף, וה-SPF שלכם מת ללא אזהרה.
גרוע מכך, DMARC מתייחס ל-PermError ככישלון בזרוע ה-SPF — כך שדומיין ששבר את ה-SPF שלו בדרך זו נכשל כעת במחצית מהאימות של עצמו.
מה מצא תמחור-השרשראות
| ממצא | דומיינים |
|---|---|
| מעל מגבלת 10 החיפושים, שרשראות מתומחרות | 797,263 |
| מעל המגבלה בספירת מנגנונים נראים בלבד | 7,958 |
מעל המגבלה תוך שהם מסתיימים ב--all מחמיר | 112,215 |
| בדיוק ב-9–10 חיפושים — שפת התהום | 2,119,539 |
שני סיפורים באותה טבלה — השלישי, שפת התהום, מקבל סעיף משלו למטה:
- ספירות פני-השטח מפספסות כ-99% מהתקלה. ספירת המנגנונים הנראים מוצאת 7,958; תמחור השרשראות מוצא 797,263. כמעט כל הנזק נוֹרש ממה שה-includes מכניסים.
- 112,215 מהרשומות השבורות מסתיימות ב-
-all. הבעלים שלהן עשו הכול נכון — טיפסו על החומה, בחרו בסיומת המחמירה — ו-include אחד יותר מדי ביטל את כל העניין. להיראות מחמיר ולהיות שבור הוא מצב הכישלון הקשה ביותר באבטחת דוא”ל.
2.1 מיליון דומיינים במרחק כלי אחד מהתהום
המספר שאמור להטריד קוראים שכרגע בסדר: 2,119,539 דומיינים נפתרים לבדיוק 9 או 10 חיפושים — מתחת למגבלה היום, מתים ביום שמישהו יחבר פלטפורמה אחת נוספת. זה בערך 1 מכל 66 מכלל מפרסמי ה-SPF, וזה תואם את צורת ההתפלגות: רשומת ה-SPF באחוזון ה-99 כבר יושבת על 9 חיפושים. הירשמו לכלי שיווק אחד נוסף, הדביקו את שורת “פשוט הוסיפו את ה-include הזה” שלו, ורשומה שהייתה מתחת למגבלה בארוחת הבוקר בטלה עד הצהריים.
אשמת מי זו? יותר ויותר, של הערימה
הספקים הגדולים ביותר ישרו בשקט את ה-SPF שלהם — _spf.google.com של גוגל ו-spf.protection.outlook.com של מיקרוסופט מתרחבים כעת לרשימות IP פשוטות שעולות אפס חיפושים פנימיים (אימתנו את שניהם מול DNS חי במהלך ניתוח זה). ההתפוצצויות מגיעות ממקום אחר: שרשראות לוח-אחסון המקננות שלוש רמות עומק, ספקים אזוריים שה-include שלהם עולה 7–10 חיפושים בפני עצמו, וההצטברות הכנה של SaaS — תיבת דואר בתוספת ניוזלטר בתוספת CRM בתוספת מוקד-תמיכה, כל אחד “רק include אחד”. כמעט אף אחד לא מוסיף את החיפוש האחד-עשר בכוונה. הוא מגיע כסכום של החלטות סבירות.
כיצד לבדוק ולתקן את שלכם — בחינם
- ספרו את הסך-הכול האמיתי שלכם — הבדיקה החינמית שלנו פותרת את השרשרת שלכם, או השתמשו בכל מונה חיפושי SPF.
- גזמו משקל מת: כלים שהפסקתם להשתמש בהם, includes כפולים, ומנגנון ה-
ptrהמיושן. - ישרו רק את מה שבשליטתכם. החלפת include עמוק ב-IP שלו עובדת עבור התשתית שלכם עצמכם; כתובות IP של צד-שלישי משתנות ללא הודעה.
- תנו לשולחים בכמות תת-דומיין. ניוזלטרים מ-
news.yourdomain.comמקבלים רשומה משלהם ותקציב 10-חיפושים משלהם.
שאלות נפוצות
מהי מגבלת 10 חיפושי ה-DNS של SPF?
RFC 7208 §4.6.4 מתיר לכל היותר 10 חיפושי DNS כדי להעריך רשומת SPF אחת — בספירת החיפושים בתוך כל include: באופן רקורסיבי. חריגה ממנה מחזירה PermError: הרשומה נחשבת לא-תקפה ואינה מספקת שום הגנה.
מה משמעות SPF PermError? שגיאת הערכה קבועה — הנמען לא הצליח לעבד את הרשומה שלכם (יותר מדי חיפושים, רשומות מרובות, או תחביר שבור) ומתייחס לדומיין שלכם כאילו אין לו SPF שמיש. DMARC סופר זאת ככישלון בזרוע ה-SPF.
כמה דומיינים חורגים ממגבלת החיפושים של SPF? לפחות 797,263 מתוך 139 מיליון מפרסמי SPF, לפי מעבר תמחור-השרשראות שלנו — בערך פי 100 מ-7,958 הנראים ללא פתרון שרשראות. עוד 2,119,539 יושבים על 9–10 חיפושים, במרחק include אחד מהמגבלה.
האם PermError עוצר את מסירת הדוא”ל שלי? בדרך כלל לא — נמענים ממשיכים ללא SPF, והדואר שלכם נשען על DKIM ומוניטין. מה שמפסיק לעבוד הוא ההגנה: מזייפים כבר אינם נדחים, וכל בדיקת DMARC של הדואר שלכם מאבדת את זרוע ה-SPF שלה. זה בלתי-נראה עד שזה יקר.
כיצד אני מפחית את ספירת חיפושי ה-SPF שלי?
הסירו includes ו-ptr שאינם בשימוש, ישרו את התשתית שלכם עצמכם ל-ip4:/ip6:, העבירו שולחים בכמות לתת-דומיינים, וספרו מחדש אחרי כל כלי חדש. מדריך התיקון עובר על כך.
גלו את המספר האמיתי שלכם
המנגנונים שאתם יכולים לראות אינם ספירת החיפושים שלכם — המספר הנפתר הוא זה שנמענים מחשבים, וזו בדיקה של 30 שניות.
בדקו את הדומיין שלכם → · תקנו SPF → · מודל בשלות ה-SPF → · שתי רשומות SPF = אף אחת → · מלכודת ה-ptr → · נתונים במצטבר בלבד. נתונים נשמרים ומעובדים באיחוד האירופי.