Defaults.Exposed › Izvještaji
Zašto mi SPF ne radi? Problem 10 DNS pretraživanja za SaaS korisnike u Velikoj Britaniji i EU (2026)
Objavljeno 2026-07-09
Podaci od 2026-06-29 · metodologija v7. Skupni podaci popisa za 261 milijuna ocijenjenih domena. Pogledajte kako ocjenjujemo.
Kada SPF zakaže kod tvrtke koja koristi SaaS alate u Velikoj Britaniji ili EU, najvjerojatniji uzrok je jedno RFC pravilo o kojemu nikada niste morali razmišljati: nakon 10 DNS pretraživanja, SPF ne vraća „fail” — vraća PermError, što znači da se zapis tretira kao da ne postoji. Najmanje 797,263 domena već je prešlo tu granicu. Još 2,119,539 se nalazi točno na 9–10 pretraživanja — jedan novi alat dijeli ih od iste provalije.
Zašto SPF prestaje raditi kada dodate SaaS alat?
SPF funkcionira tako što navodi poslužitelje pošte ovlaštene za slanje e-pošte u ime vaše domene. Moderne tvrtke ne koriste vlastite poslužitelje pošte — koriste Google Workspace za internu komunikaciju, Mailchimp za kampanje, HubSpot za prodajne sekvence, Pipedrive za CRM. Svaka platforma daje vam redak include: koji trebate unijeti u DNS.
Problem: svaki include: je sam po sebi DNS pretraživanje. A svaki zapis unutar tog include može rekurzivno pokrenuti još pretraživanja. RFC 7208 §4.6.4 postavlja čvrstu granicu od deset pretraživanja. Nakon deset, poslužitelj koji prima e-poštu prestaje s evaluacijom i vraća PermError — a PermError nije blagi neuspjeh koji e-poštu šalje u neželjenu poštu. To znači da se vaš SPF zapis tretira kao da ne postoji. Autentifikacija e-pošte na SPF dijelu ne uspijeva.
Ovo nećete vidjeti u svom DNS upravljačkom panelu. Brojač se aktivira samo tijekom živog vrednovanja. Možete imati tri retka include: u vidljivom zapisu i biti dvanaest pretraživanja duboko, jer svaki pružatelj usluge ima vlastiti SPF zapis s ugniježđenim include redovima.
Koliko domena je već prešlo granicu?
Najmanje 797,263. To je broj dobiven nakon što smo razriješili svaki SPF include: cilj naveden 100 ili više puta — 10,842 različitih ciljeva koji pokrivaju 95.2% svih include referenci — i izračunali puni lanac za svaku domenu. Površinski broj (koji broji samo vidljive retke u zapisu) pronalazi otprilike 7,958. Broj uz puno računanje lanca je 100 puta veći, jer je gotovo sva šteta nevidljiva unutar include ciljeva.
Situacija koja najčešće pogađa europske tvrtke:
| Scenarij | Što se događa |
|---|---|
| Google Workspace + Mailchimp + HubSpot + još jedan | Vjerojatno na 10 pretraživanja ili više |
| IONOS hosting + bilo koja tri SaaS alata | Visok rizik: IONOS-ov vlastiti SPF cilj dodaje više pretraživanja |
| OVH hosting + dva transakcijska alata + CRM | Rizik ovisi o dubini OVH SPF-a u trenutku evaluacije |
| Samo Microsoft 365 | Nizak rizik: Microsoftov SPF je kompaktan i dobro održavan |
Europski hosting pružatelji i slabe zadane SPF postavke
Hosting pružatelj s kojim ste počeli je važan — jer neki postavljaju zadane SPF vrijednosti koje već troše nekoliko od vaših deset pretraživanja prije nego što povežete ikoji SaaS alat.
Među najvećim hosting pružateljima koje koriste europske domene u našem popisu:
| Pružatelj | Domena koje ga koriste | Strogi SPF (-all) | DMARC na snazi |
|---|---|---|---|
| IONOS (EU) | 4,346,526 | 0.3% | 1.0% |
| OVH | 2,132,049 | 43.7% | 2.2% |
| Microsoft 365 | 10,205,070 | 85.0% | 21.7% |
| Google Workspace | 12,145,313 | 8.0% | 18.5% |
IONOS se ističe: samo 1.0% domena na IONOS-u ima DMARC na snazi, što znači da velika većina nema nikakvu smislenu autentifikaciju pošiljatelja. OVH domene bolje stoje na strogom SPF (43.7%), ali padaju na 2.2% za DMARC primjenu — SPF sam po sebi, bez DMARC-a koji ga veže za From: zaglavlje, štiti samo omotnicu, ne i ono što primatelj vidi.
Microsoft 365 je iznimka u pozitivnom smislu: 85.0% Microsoftovih domena koristi strogi SPF, uglavnom zato što Microsoftov čarobnjak za postavljanje pošte postavlja -all kao zadano. Google Workspace kao zadano postavlja ~all (softfail), ostavljajući 92% njegovih domena bez stroge zaštite.
Kako dijagnosticirati SPF grešku za manje od 60 sekundi
Najbrža provjera je besplatan alat koji evaluira puni lanac pretraživanja — ne samo vidljivi zapis. Pokrenite nslookup -type=TXT yourdomain.com u naredbenom retku i prebrojite sve include: koje vidite. Zatim potražite svaki od tih zapisa i prebrojite njihove. Ako vam ponestane prstiju prije nego što vam ponestane include redaka, nalazite se u opasnoj zoni.
Pouzdaniji pristup: provjerite svoju domenu ovdje — skener evaluira puni razriješeni lanac, označava PermError i pokazuje koji mehanizmi troše vaš budžet pretraživanja.
Tri dijagnostička ishoda:
- PermError — već ste prešli deset pretraživanja. Svaka e-pošta koju pošaljete ne prolazi SPF provjeru kod primatelja.
- Na 9–10 pretraživanja — nalazite se na rubu provalije. Sljedeća SaaS integracija prebacit će vas.
- Softfail (~all) umjesto hardfail (-all) — ispod ste granice, ali je zapis postavljen preblago da bi pružio stvarnu zaštitu. Pogledajte izvješće o SPF pogrešnoj konfiguraciji za cjelovitu sliku o
-alli~all.
Kako popraviti SPF kada koristite više SaaS alata
Postoje tri pristupa, redom trajnosti:
1. Revizija i čišćenje. Počnite navođenjem svih include: u svom trenutnom zapisu. Uklonite sve platforme koje više ne koristite — stare ESP alate, CRM alate iz prethodnih ugovora, platforme koje ste testirali ali napustili. Ovo je besplatno i često vraća nekoliko pretraživanja. Svaki uklonjeni include: može eliminirati 1–3 podpretraživanja.
2. Splošnjavanje SPF zapisa. SPF splošnjavanje razrješava sve include: ciljeve do njihovih osnovnih IP raspona i upisuje ih izravno u zapis kao ip4: i ip6: mehanizme. IP mehanizmi ne pokreću pretraživanja, tako da splošnjen zapis može navesti desetke izvora slanja i ostati na nula pretraživanja. Nedostatak: morate ponovo splošnjiti kad god pružatelj ažurira IP adrese za slanje, što se događa bez najave. Većina tvrtki koristi plaćeni servis za SPF splošnjavanje (PowerDMARC, EasyDMARC, Dmarcian i drugi) ili gradi proces praćenja.
3. Korištenje SPF makroa. RFC 7208 makroi vam omogućavaju da napravite zapise koji izvršavaju jedno DNS pretraživanje po provjeri i odgovaraju dinamički, umjesto lanca include redaka. Makroi zahtijevaju podršku DNS hostinga i nešto implementacijskog truda, ali su arhitekturno čisto rješenje za organizacije s mnogo SaaS pošiljatelja.
Nakon popravke SPF-a, upotpunite je primjenom DMARC-a — SPF bez DMARC-a autentificira samo pošiljatelja omotnice, ne i From: adresu zaglavlja koju primatelji vide.
Često postavljana pitanja
Zašto moj SPF zapis prolazi u DNS alatu ali i dalje ne uspijeva u zaglavljima e-pošte?
Većina DNS alata za pretraživanje broji samo mehanizme vidljive u vašem vlastitom zapisu, ne i podpretraživanja koja ti mehanizmi pokreću. Možete imati dva retka include: i ipak biti iznad granice ako zapis svakog pružatelja sadrži još nekoliko. Samo alat koji vrednuje puni lanac (ili poslužitelj koji prima e-poštu) broji punu dubinu. Provjerite svoju domenu da vidite pravi broj u lancu.
Znači li SPF greška da moja e-pošta ide u neželjenu poštu?
PermError (previše pretraživanja) znači da SPF grana autentifikacije vraća nerezultat — efektivno odsutnost zapisa. DMARC evaluira i SPF i DKIM; ako DKIM prođe, DMARC može proći usprkos SPF PermError. Ako ni jedno ne prođe, DMARC ne uspijeva, a ishod ovisi o vašoj DMARC politici. Na p=none, e-pošta se i dalje isporučuje, ali se greška bilježi. Na p=quarantine ili p=reject, e-pošta se filtrira ili odbija. Popravite SPF da se ne biste oslanjali samo na DKIM.
Koliko pretraživanja koristi tipičan SaaS skup alata? p99 SPF zapis u našem popisu već se nalazi na 9 pretraživanja — točno na granici — prije nego što dodate bilo što. Google Workspace zapis dodaje 3–4 pretraživanja; Mailchimp dodaje 1–2; HubSpot dodaje 1–3 ovisno o trenutnoj konfiguraciji. Tri uobičajena alata plus zadane postavke vašeg hosting pružatelja često su dovoljni da se pređe deset.
Je li SPF splošnjavanje sigurno?
Da, pod uvjetom da se redovito ažurira. Splošnjavanje pretvara include: lance u statičke IP raspone — ako pružatelj rotira IP adrese za slanje a vi ne splošnjite zapis ponovo, počet ćete odbijati njihovu e-poštu. Većina organizacija koristi upravljani servis splošnjavanja koji prati promjene IP adresa umjesto da to rade ručno.
Moj SPF bio je ovakav godinama — zašto sada odjednom ne radi? Jer su vaši pružatelji ažurirali svoje SPF zapise, ne vi. Svaki put kada SaaS platforma doda novi raspon IP adresa za slanje ili ugniježdi još jedan include, trošak vašeg lanca raste bez ikakve promjene s vaše strane. Granica od 10 pretraživanja evaluira se u stvarnom vremenu pri primitku poruke, pa promjena kod pružatelja u utorak ujutro može pokvariti vaš SPF do utorka poslijepodne.
Poboljšava li popravka SPF-a dostavljivost e-pošte? Uklanja izvor greške autentifikacije, što je preduvjet za dosljednu dostavu — posebno jer Google i Yahoo sada zahtijevaju DMARC usklađenost za masovne pošiljatelje. SPF sam po sebi nije cijela slika: upotpunite ga DKIM i DMARC za potpunu autentifikaciju e-pošte.
Besplatna SPF provjera
Ako niste sigurni prelazi li vaš SPF zapis granicu pretraživanja — ili je postavljen preblago da zaštiti vašu domenu — pokrenite besplatnu provjeru. Evaluira puni razriješeni lanac i pokazuje vam točno gdje se troši budžet.
Provjerite svoju domenu → · Popravite SPF → · Izvješće o SPF PermError → · Izvješće o SPF pogrešnoj konfiguraciji → · Model zrelosti usvajanja SPF-a → · Popravite DMARC → · Samo skupni podaci. Podaci se čuvaju i obrađuju u EU.