Defaults.Exposed › सुधार › Guides
आपके SaaS Tools के लिए SPF Fail? क्यों होता है और Fix Order — Europe Edition (2026)
प्रकाशित 2026-07-08
आंकड़े 2026-06-29 तक के · methodology v7. 261 मिलियन ग्रेडेड डोमेन में कुल जनगणना डेटा। देखें हम ग्रेड कैसे करते हैं।
जब SaaS tool “SPF fail” करता है, आपका record usually problem नहीं है: mail DMARC alignment fail कर रही है, या आपकी include chain SPF की 10-DNS-lookup limit blow कर चुकी है। Defaults.Exposed जनगणना के 261,086,232 domains में से 2,119,539 of 138,927,207 SPF-publishing domains 9–10 lookups पर बैठे हैं — cliff से एक SaaS include दूर।
नीचे: कैसे बताएं कि आपके पास दो में से कौन सी problem है, फिर fix order — पहले scan करें, वह domain खोजें जिससे tool actually send करता है, vendor को custom-domain DKIM पर switch करें, और SPF include केवल जहां genuinely मदद करे add करें — plus HubSpot, Salesforce, Mailchimp और SendGrid के specifics।
SaaS tool की mail SPF fail क्यों करती है?
तीन patterns लगभग हर case cover करते हैं:
| Report या bounce क्या कहता है | Actually क्या गलत है | Fix |
|---|---|---|
| SPF passes, DMARC अभी भी fail | Alignment: tool ने अपने bounce domain पर SPF pass किया, आपके नहीं | Vendor का custom-domain DKIM चालू करें (CNAMEs) |
SPF permerror | आपकी include chain SPF की 10-DNS-lookup limit exceed करती है | Includes prune करें; too-many-lookups fix देखें |
SPF fail / softfail | Tool genuinely आपके return-path के साथ send करता है और आपके record में नहीं है | Vendor का include add करें या इसका custom bounce domain enable करें |
Data 2026-06-29 तक का।
Bold row वह है जहां अधिकांश लोग खड़े हैं। हर tool के लिए include: lines add करना इसे touch नहीं करता — और हर line आपको second row के करीब move करती है: कम से कम 797,263 domains already 10-lookup limit cross कर चुके हैं, और उनका SPF अब PermError return करता है जो कुछ protect नहीं करता। Full numbers SPF PermError report में।
SPF actually कौन सा domain check करती है?
आपके From header वाला नहीं। Receivers SPF को Return-Path domain (RFC5321.MailFrom, bounce या envelope-from address भी कहलाता है) के विरुद्ध evaluate करते हैं — आपके recipient जो From header देखते हैं SPF check में कोई part नहीं लेता।
यह single fact अधिकांश “SaaS SPF failures” explain करता है। आपका marketing platform Return-Path जैसे [email protected] के साथ send करता है; SPF vendor.com के विरुद्ध check होती है और cleanly pass करती है। फिर DMARC पूछता है कि क्या SPF-checked domain आपके From domain से match करता है। नहीं करता, इसलिए DMARC का SPF leg fail होता है और आपका dashboard “SPF failing” कहता है। अपने own SPF record को edit करने से यह fix नहीं हो सकता — आपके record को कभी consult नहीं किया गया।
Fix order क्या है?
- पहले मुफ़्त स्कैन चलाएं। यह एक pass में बताता है कि आपका SPF missing, duplicated, lookup limit से over या fine है, और DMARC कहां है — DNS छूने से पहले।
- वह Return-Path खोजें जो tool actually use करता है। Tool से खुद को test send करें और raw message में Return-Path header (और Authentication-Results) पढ़ें। यह बताता है कि आप ऊपर table की कौन सी row में हैं।
- Vendor का custom-domain DKIM चालू करें। हर serious SaaS tool “domain authentication” offer करता है: कुछ CNAME records जो इसे आपके domain के रूप में DKIM-sign करने देते हैं। वह signature आपके From domain के साथ align करती है, इसलिए DMARC DKIM के जरिए pass करता है — durably, और forwarded होने पर भी। यह वह fix है जो lasts है।
- Vendor का SPF include केवल तभी add करें यदि यह आपका return-path use करता है — आपने इसका custom bounce domain enable किया है, या यह genuinely envelope में आपका domain के साथ send करता है। ऐसे vendor के लिए include जो अपने own domain के जरिए bounce करता है कुछ नहीं खरीदता और आपका lookup budget spend करता है।
- Save करने से पहले DNS lookups count करें। Limit 10 resolved lookups है, includes recursively count होते हैं, और 2,119,539 domains already 9–10 पर बैठे हैं — census p99 है 9। Edge के पास? पहले tools के लिए includes remove करें जो आप अब use नहीं करते। Email providers switch किया? Leftover second record check करें — दो SPF records equals a PermError।
- Re-scan करें और confirm करें। सही domain पर SPF pass, DKIM aligned, DMARC passing। Full reference SPF कैसे fix करें पर है; provider walk-throughs जैसे GoDaddy पर SPF और IONOS पर DMARC DNS-panel clicks cover करते हैं।
HubSpot, Salesforce, Mailchimp और SendGrid के लिए क्या करना चाहिए?
HubSpot. HubSpot की settings में अपना sending domain connect करें और इसके द्वारा issue किए गए दो DKIM CNAMEs (hs1-… / hs2-…) publish करें। यह DKIM को आपके From domain के साथ align करता है। आपको HubSpot SPF include की जरूरत नहीं जब तक आपने HubSpot को आपके अपने bounce domain use करने के लिए configure नहीं किया।
Salesforce. Salesforce Setup में DKIM key create करें और उसके द्वारा generate किए गए CNAME pair publish करें। यदि Salesforce आपके organisation के return-path के साथ send करता है, include:_spf.salesforce.com add करें और bounce domain configure करें — यह वह एक big CRM है जहां SPF include often genuinely जरूरी है।
Mailchimp. अपना domain authenticate करें और k2 / k3 DKIM CNAMEs publish करें। Mailchimp alignment DKIM-only है — add करने के लिए अब कोई SPF include नहीं, और पुराने tutorial से add करना बस lookups waste करता है।
SendGrid. Domain authentication (“automated security”) complete करें: तीन CNAMEs DKIM और आपके own subdomain पर return-path दोनों handle करते हुए। कोई SPF include जरूरी नहीं। 740,321 domains में से जिनका SPF sendgrid.net authorize करता है, केवल 18.0% enforcing DMARC है (data 2026-06-29 तक) — अधिकांश SendGrid senders एक step short रुकते हैं।
Zendesk और बाकी सभी: same pattern। Tool का “domain authentication” page खोजें, इसके DKIM CNAMEs publish करें, और SPF केवल तभी touch करें यदि tool document करे कि यह आपका return-path use करता है।
क्या SPF European businesses के लिए अलग है?
नहीं — SPF, DKIM और DMARC everywhere identically काम करते हैं। Europe में जो differ करता है वह context है: कौन पूछ रहा है, और आपके neighbours ने already क्या किया।
आपका ccTLD local bar set करता है। European ccTLDs .com rates से well above SPF publish करते हैं, लेकिन वे domains जो job finish करते हैं — उसके ऊपर enforcing DMARC policy — everywhere minority हैं:
| TLD | SPF adoption (ग्रेडेड domains में से) | Enforcing DMARC (ग्रेडेड domains में से) |
|---|---|---|
| .nl | 75.91% | 29.43% |
| .ie | 70.89% | 8.79% |
| .de | 64.67% | 21.38% |
| .dk | 50.42% | 19.88% |
| .com | 54.14% | 9.50% |
Data 2026-06-29 तक का। France: 13.65% enforcing DMARC; Italy: 5.24%।
आपके European host का default मायने रखता है। 4,346,526 domains IONOS के EU mail servers (_spf-eu.ionos.com) को अपने SPF में authorize करते हैं — और केवल 0.3% strict -all में end होते हैं, 1.0% DMARC-enforced के साथ। OVH के 2,132,049 strictness (43.7%) पर better करते हैं लेकिन केवल 2.2% DMARC enforce करते हैं (data 2026-06-29 तक)। यदि आपने कभी अपना record touch नहीं किया, आप उन defaults पर खड़े हैं।
Regulators अब यह name करते हैं। NIS2 Article 21(2)(j) in-scope entities को अपनी communications secure करने की require करती है, और Commission Implementing Regulation (EU) 2024/2690 email- और DNS-security measures spell out करता है। Email authentication concrete, checkable piece है — और, compliance के लिए unusual रूप से, fix करने के लिए free।
Data residency के बारे में: Defaults.Exposed scanner और census AWS eu-west-1 में run होते हैं, हम केवल aggregate figures publish करते हैं, और scan केवल उस domain को check करता है जो आप ask करते हैं।
अक्सर पूछे जाने वाले सवाल
मेरा SPF checker “pass” कहता है लेकिन tool का dashboard SPF failing कह रहा है — क्यों? Checker ने आपका record test किया; receiver ने Return-Path domain test किया जो tool actually use करता है, फिर DMARC ने इसे आपके From domain से compare किया। यह alignment failure है, record failure नहीं — vendor के custom-domain DKIM से fixed, SPF edits से नहीं।
क्या मुझे हर tool के लिए SPF include add करना चाहिए? नहीं। हर include SPF के 10-lookup budget का part spend करता है, recursively: 2,119,539 of 138,927,207 SPF-publishing domains 9–10 lookups पर बैठे हैं, और कम से कम 797,263 over हैं — उनका SPF PermError return करता है और कुछ protect नहीं करता (data 2026-06-29 तक)।
क्या include DMARC भी fix करता है? केवल यदि tool आपके return-path के साथ send करता है, इसलिए SPF और aligns pass करती है। अधिकांश SaaS tools के लिए यह नहीं — यही कारण है कि aligned DKIM, SPF नहीं, वह leg है जो SaaS mail के लिए DMARC pass करता है।
क्या EU में यह legal requirement है? NIS2 scope में entities के लिए, Article 21(2)(j) और Implementing Regulation (EU) 2024/2690 email security को obligation बनाते हैं। Scope के बाहर भी, insurers और customer questionnaires increasingly ask करते हैं — और 2026-06-29 तक, कोई EU ccTLD अपने domains के एक third को भी enforcing DMARC policy तक नहीं पहुंचाता (29.43% .nl में best; 5.24% .it में)।
मालिक को रिपोर्ट भेजें
CNAMEs live होने के बाद, scan फिर से चलाएं और graded report business owner या client को forward करें। यह plain language में दिखाता है कि क्या fail हो रहा था, आपने क्या fix किया और domain अब कहां है — exactly वह evidence जो उन्हें insurance renewal या customer security questionnaire के लिए चाहिए, आपके word पर नहीं बल्कि लिखित में।
अपना डोमेन मुफ़्त में जांचें
देखें exactly SPF, DKIM और DMARC में से कौन सी leg fail हो रही है — privately और owner-only।
अपना डोमेन जांचें → · SPF ठीक करें → · SPF PermError: “too many DNS lookups” → · हम ग्रेड कैसे करते हैं → · केवल समग्र डेटा। डेटा EU में संग्रहीत और संसाधित।