Defaults.Exposed

Defaults.Exposed › דוחות

האם דומיין יכול להחזיק שני רשומות SPF? לא — מיליון דומיינים בדיוק ביטלו את ההגנה של עצמם (2026)

פורסם 2026-07-03

נתונים נכון ל-2026-06-29 · מתודולוגיה v7. מפקד מצטבר על פני 261 מיליון דומיינים מדורגים. כל הנתונים מצטברים — לעולם לא הרשומה של עסק בודד. ראו כיצד אנחנו מדרגים.

לא — דומיין רשאי לפרסם רשומת SPF אחת בדיוק, וטעות בכך מכבה את ה-SPF לחלוטין: 1,013,416 דומיינים מפרסמים כרגע שתיים או יותר, מה שלפי RFC 7208 הופך את כל רשומות ה-SPF של הדומיין לבלתי חוקיות. לא החדשה ביותר, לא הישנה ביותר — כל אחת ואחת מהן. מקבל שמוצא כמה רשומות v=spf1 חייב להחזיר שגיאה קבועה, כלומר אין כלל הגנת SPF, על דומיין שנראה לבעליו כאילו יש לו הגנה כפולה.

מדוע שתי רשומות SPF שוות לאפס?

התקן חד-משמעי: מדיניות ה-SPF של דומיין חייבת להיות רשומת TXT יחידה שמתחילה ב-v=spf1 (RFC 7208 §3.2; תוצאת השגיאה מוגדרת ב-§4.5). אם חיפוש מוצא יותר מאחת, המקבל אינו יכול לדעת איזו מהן מוסמכת — ולכן התקן אוסר לנחש. מקבלים תואמי-תקן חייבים להחזיר PermError: ההערכה נכשלת באופן קבוע.

ו-PermError אינה ניטרלית. DMARC מתייחס אליה ככישלון בצד ה-SPF — כך שדומיין ששכפל את הרשומה שלו ביטל את ההגנה שלו וגם פגע באימות של הדואר הלגיטימי שלו עצמו. זו אחת מהטעויות הבודדות מאוד ב-DNS שבהן הוספת הגנה מסירה אותה (פרסום שתי רשומות DMARC עושה את אותו הדבר ל-DMARC).

בקירוב 1 מכל 138 דומיינים שמנסים SPF עשו זאת לעצמם.

איך זה קורה? ההעתק-הדבק של תהליך ההצטרפות

כמעט אף אחד לא כותב רשומת SPF שנייה בכוונה. זה קורה ביום שבו אתם מוסיפים כלי דוא”ל:

  1. לדומיין שלכם כבר יש v=spf1 include:spf.protection.outlook.com -all מספק תיבת הדואר שלכם.
  2. אתם נרשמים לפלטפורמת ניוזלטר, CRM או כלי חשבוניות.
  3. מדריך ההגדרה שלו אומר: “הוסיפו את רשומת ה-TXT הזו ל-DNS שלכם: v=spf1 include:newtool.example.com ~all.”
  4. אתם עושים בדיוק מה שכתוב — אתם מוסיפים אותה, לצד הישנה.

עכשיו קיימות שתי רשומות, ושתיהן בטלות. המדריך אמר “הוסיפו”, והוספה היא הדבר האחד שהתקן אינו מאפשר; המהלך הנכון — מיזוג ה-include: החדש לתוך הרשומה הקיימת — כמעט אף תהליך הצטרפות לא מזכיר.

הכשל בלתי נראה מלוח ה-DNS: שתי הרשומות נראות תקינות בפני עצמן, והדואר עדיין מגיע ברובו כי מקבלים נופלים חזרה לאותות אחרים. שום דבר אינו מתריע בפניכם עד שמתקפת התחזות פוגעת או שאספקת הדואר מתדרדרת.

איך לבדוק ולתקן זאת — שתי דקות, בחינם

  1. חפשו את רשומות ה-TXT של הדומיין שלכם (dig TXT yourdomain.com, או השתמשו בבדיקה החינמית שלנו).
  2. ספרו את הרשומות שמתחילות ב-v=spf1. המספר הבטוח היחיד הוא 1.
  3. אם יש לכם יותר: מזגו אותן — כל מנגנוני ה-include: וה-ip4:/ip6: לרשומה יחידה עם מגדיר סופי אחד (ראו ~all מול -all) — ומחקו את השאר.
לפני:  v=spf1 include:spf.protection.outlook.com -all
       v=spf1 include:servers.mcsv.net ~all

אחרי:  v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all

בזמן המיזוג, שימו לב למגבלת 10 החיפושים — יותר מדי מנגנוני include: שוברים את ה-SPF בדרך אחרת.

שאלות נפוצות

האם מותרות כמה רשומות SPF? לא. RFC 7208 מתיר רשומת v=spf1 אחת בדיוק לכל דומיין; שתיים או יותר גורמות לשגיאה קבועה שמבטלת את ה-SPF לחלוטין. 1,013,416 דומיינים נמצאים במצב הזה נכון ל-2026-06-29.

האם רשומת ה-SPF השנייה גוברת על הראשונה? אף אחת לא מנצחת. מקבל שמוצא כמה רשומות חייב להכשיל את ההערכה במקום לבחור — כך שכולן מפסיקות לעבוד בבת אחת.

איך אני משלב שתי רשומות SPF לאחת? רשומה אחת, שמתחילה ב-v=spf1, המכילה כל מנגנון include: ומנגנון IP מכולן, ומסתיימת ב--all או ~all יחיד. מחקו את העודפות, ולאחר מכן ודאו שספירת החיפושים שלכם שרדה את המיזוג.

מדוע הדוא”ל שלי עדיין עובד עם שתי רשומות SPF? מקבלים שנתקלים בשגיאה בדרך כלל ממשיכים ללא SPF, כך שהדואר שלכם רוכב על מוניטין ועל DKIM. מה שאיבדתם הוא הגנה — שום דבר אינו דוחה מזייף — וההערכות של DMARC שלכם מאבדות את צד ה-SPF שלהן. דואר שעובד ו-SPF שעובד הם דברים שונים.

בדקו אם הדומיין שלכם הוא אחד מהמיליון

מבט של 30 שניות או מנקה אתכם או מוסר לכם מיזוג של שתי דקות.

בדקו את הדומיין שלכם → · תקנו SPF → · דוח ה-SPF PermError → · מודל בשלות ה-SPF → · נתונים מצטברים בלבד. הנתונים מאוחסנים ומעובדים באיחוד האירופי.