Defaults.Exposed

Defaults.Exposed › Izvještaji

Izvještaj o SPF PermError: 100× više domena krši ograničenje od 10 upita nego što pokazuju površinski brojevi (2026)

Objavljeno 2026-07-03

Brojke na dan 2026-06-29 · metodologija v7, uz prolaz određivanja cijene lanaca pokrenut 2026-07-03. Iz popisa od 261 milijuna ocijenjenih domena razriješili smo svaki SPF include: cilj referenciran 100 ili više puta — 10,842 ciljeva koji pokrivaju 95.2% svih include referenci — i za svaku domenu odredili cijenu zadržanog lanca prema toj mapi. Nerazriješeni repni ciljevi brojani su kao nula, a sadržaj lanaca odražava dan razrješavanja, pa je glavni podatak konzervativna, prema donjoj granici pristrana aproksimacija: kažemo “najmanje”. Samo skupno; nikada zapis pojedinačnog poduzeća. Pogledajte kako ocjenjujemo.

Koliko domena krši SPF ograničenje od 10 upita?

Najmanje 797,263 — jer SPF ima samouništenje ugrađeno u standard, a okidač se skriva ondje gdje ga vlasnici ne mogu vidjeti. RFC 7208 §4.6.4 ograničava SPF provjeru na 10 DNS upita; nakon deset, primatelj se zaustavlja i vraća PermError, a PermError zapis ne štiti ništa. Brojite samo upite vidljive u samom zapisu — kao što čini većina alata, i kao što je do ovog izvještaja činio i naš vlastiti popis — i naći ćete oko 8.000 prekršitelja (točnije 7,958). Odredite cijenu include: lanaca koje ti zapisi zapravo povlače, i broj doseže 797,263: otprilike 100 puta više.

Zašto vlasnici to ne mogu predvidjeti?

Zato što proračun troše tuđi zapisi. include:onetool.example.com čita se kao jedan redak u vašoj DNS ploči — ali primatelj mora dohvatiti i taj zapis, te izbrojati svaki mehanizam upita koji on sadrži, rekurzivno. Zapis s tri include-a može koštati jedanaest. Ništa se u vašoj vlastitoj zoni nije promijenilo onog dana kad ste prešli granicu; pružatelj usluge je ugnijezdio još jedan include, i vaš je SPF umro bez upozorenja.

Još gore, DMARC tretira PermError kao neuspjeh na SPF dijelu — pa domena koja je na ovaj način slomila svoj SPF sada ne uspijeva u polovici vlastite autentikacije.

Što je pronašlo određivanje cijene lanaca

NalazDomene
Preko ograničenja od 10 upita, lanci procijenjeni797,263
Preko ograničenja brojeći samo vidljive mehanizme7,958
Preko ograničenja dok završavaju strogim -all112,215
Na točno 9–10 upita — rub ponora2,119,539

Dvije priče u toj tablici — treća, rub ponora, dobiva vlastiti odjeljak u nastavku:

2.1 milijuna domena udaljeno je jedan alat od ponora

Broj koji bi trebao zabrinuti čitatelje koji su trenutno u redu: 2,119,539 domena razriješi se na točno 9 ili 10 upita — danas ispod ograničenja, mrtve onog dana kad netko poveže još jednu platformu. To je otprilike 1 od 66 svih SPF izdavača, i odgovara obliku distribucije: SPF zapis 99. percentila već stoji na 9 upita. Prijavite se na još jedan marketinški alat, zalijepite njegov redak “samo dodajte ovaj include”, i zapis koji je za doručkom bio ispod ograničenja poništen je do ručka.

Čija je krivnja? Sve više — sloga tehnologija

Najveći pružatelji usluga tiho su spljoštili svoj SPF — Googleov _spf.google.com i Microsoftov spf.protection.outlook.com sada se šire u obične popise IP adresa koji koštaju nula unutarnjih upita (oba smo provjerili prema živom DNS-u tijekom ove analize). Eksplozije dolaze s drugog mjesta: lanci hosting-panela koji se gnijezde tri razine duboko, regionalni pružatelji čiji include sam po sebi košta 7–10 upita, i pošteno nagomilavanje SaaS-a — poštanski sandučić plus newsletter plus CRM plus helpdesk, svaki “samo jedan include”. Gotovo nitko ne dodaje jedanaesti upit namjerno. On stiže kao zbroj razumnih odluka.

Kako provjeriti i popraviti svoj — besplatno

  1. Izbrojite svoj stvarni ukupan brojnaša besplatna provjera razrješava vaš lanac, ili upotrijebite bilo koji SPF brojač upita.
  2. Uklonite mrtav teret: alate koje ste prestali koristiti, duplicirane include-e, i zastarjeli ptr mehanizam.
  3. Spljoštite samo ono što kontrolirate. Zamjena dubokog include-a njegovim IP blokovima djeluje za vašu vlastitu infrastrukturu; IP adrese trećih strana mijenjaju se bez najave.
  4. Dajte masovnim pošiljateljima poddomenu. Newsletteri s news.yourdomain.com dobivaju vlastiti zapis i vlastiti proračun od 10 upita.

Često postavljana pitanja

Što je SPF ograničenje od 10 DNS upita? RFC 7208 §4.6.4 dopušta najviše 10 DNS upita za procjenu jednog SPF zapisa — brojeći upite unutar svakog include: rekurzivno. Prekoračenje vraća PermError: zapis se tretira kao nevažeći i ne pruža nikakvu zaštitu.

Što znači SPF PermError? Trajna pogreška procjene — primatelj nije mogao obraditi vaš zapis (previše upita, više zapisa, ili neispravna sintaksa) i tretira vašu domenu kao da nema upotrebljiv SPF. DMARC ga broji kao neuspjeh na SPF dijelu.

Koliko domena prekoračuje SPF ograničenje upita? Najmanje 797,263 od 139 milijuna SPF izdavača, prema našem prolazu određivanja cijene lanaca — otprilike 100× od 7,958 vidljivih bez razrješavanja lanaca. Dodatnih 2,119,539 nalazi se na 9–10 upita, jedan include od ograničenja.

Zaustavlja li PermError isporuku moje e-pošte? Obično ne — primatelji nastavljaju bez SPF-a, a vaša pošta jaše na DKIM-u i reputaciji. Ono što prestaje raditi jest zaštita: krivotvoritelji više nisu odbijeni, a svaka DMARC provjera vaše pošte gubi svoj SPF dio. Nevidljivo je dok ne postane skupo.

Kako smanjiti broj SPF upita? Uklonite neiskorištene include-e i ptr, spljoštite vlastitu infrastrukturu na ip4:/ip6:, premjestite masovne pošiljatelje na poddomene, i ponovno izbrojite nakon svakog novog alata. Vodič za popravak to prolazi korak po korak.

Saznajte svoj stvarni broj

Mehanizmi koje možete vidjeti nisu vaš broj upita — razriješeni broj je onaj koji primatelji izračunavaju, i to je provjera od 30 sekundi.

Provjerite svoju domenu → · Popravite SPF → · SPF model zrelosti → · Dva SPF zapisa = nijedan → · ptr zamka → · Samo skupni podaci. Podaci pohranjeni i obrađeni u EU.