Defaults.Exposed

Defaults.Exposed › Laporan

Bisakah Sebuah Domain Memiliki Dua Record SPF? Tidak — Sejuta Domain Baru Saja Membatalkan Milik Mereka Sendiri (2026)

Diterbitkan 2026-07-03

Angka per 2026-06-29 · metodologi v7. Sensus agregat di 261 juta domain yang dinilai. Semua angka bersifat agregat — tidak pernah record milik satu bisnis individu. Lihat cara kami menilai.

Tidak — sebuah domain hanya boleh menerbitkan tepat satu record SPF, dan salah dalam hal ini mematikan SPF sepenuhnya: 1,013,416 domain saat ini menerbitkan dua atau lebih, yang menurut RFC 7208 membuat semua record SPF milik domain tersebut tidak valid. Bukan yang terbaru, bukan yang terlama — setiap satunya. Sebuah penerima yang menemukan beberapa record v=spf1 harus mengembalikan kesalahan permanen, yang berarti tidak ada perlindungan SPF sama sekali, pada domain yang tampak bagi pemiliknya seolah-olah memiliki perlindungan berlipat ganda.

Mengapa dua record SPF sama dengan nol?

Standar ini tegas: kebijakan SPF sebuah domain harus berupa satu record TXT tunggal yang diawali v=spf1 (RFC 7208 §3.2; hasil kesalahannya ditetapkan di §4.5). Jika sebuah lookup menemukan lebih dari satu, penerima tidak dapat mengetahui mana yang otoritatif — sehingga standar melarang menebak. Penerima yang patuh standar harus mengembalikan PermError: evaluasi gagal secara permanen.

Dan sebuah PermError tidaklah netral. DMARC memperlakukannya sebagai kegagalan pada bagian SPF — jadi domain yang menggandakan record-nya telah membatalkan perlindungannya sekaligus menghambat autentikasi email sahnya sendiri. Ini adalah salah satu dari sedikit kesalahan DNS di mana menambahkan perlindungan justru menghilangkannya (menerbitkan dua record DMARC melakukan hal yang sama terhadap DMARC).

Kira-kira 1 dari 138 domain yang mencoba SPF telah melakukan ini pada diri mereka sendiri.

Bagaimana hal ini terjadi? Salin-tempel saat onboarding

Hampir tidak ada orang yang menulis record SPF kedua dengan sengaja. Hal itu terjadi pada hari Anda menambahkan sebuah alat email:

  1. Domain Anda sudah memiliki v=spf1 include:spf.protection.outlook.com -all dari penyedia mailbox Anda.
  2. Anda mendaftar ke platform newsletter, CRM, atau alat penagihan.
  3. Panduan pengaturannya berkata: “Tambahkan record TXT ini ke DNS Anda: v=spf1 include:newtool.example.com ~all.”
  4. Anda melakukan persis seperti yang tertulis — Anda menambahkannya, di samping yang lama.

Kini ada dua record, dan keduanya batal. Panduan itu berkata “tambahkan”, dan menambahkan adalah satu-satunya hal yang tidak diizinkan standar; langkah yang benar — menggabungkan include: baru ke dalam record yang sudah ada — nyaris tidak disebutkan oleh alur onboarding mana pun.

Kegagalan ini tak terlihat dari panel DNS: kedua record tampak terbentuk dengan baik secara individual, dan email sebagian besar tetap tiba karena penerima beralih ke sinyal lain. Tidak ada yang memberi peringatan hingga sebuah spoof mendarat atau deliverability merosot.

Cara memeriksa dan memperbaikinya — dua menit, gratis

  1. Lihat record TXT domain Anda (dig TXT yourdomain.com, atau gunakan pemeriksaan gratis kami).
  2. Hitung record yang diawali v=spf1. Satu-satunya angka yang aman adalah 1.
  3. Jika Anda memiliki lebih: gabungkan — setiap mekanisme include: dan ip4:/ip6: ke dalam satu record dengan satu kualifikasi terminal (lihat ~all vs -all) — dan hapus sisanya.
Sebelum:  v=spf1 include:spf.protection.outlook.com -all
          v=spf1 include:servers.mcsv.net ~all

Sesudah:  v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all

Saat Anda menggabungkan, perhatikan batas 10 lookup — terlalu banyak mekanisme include: merusak SPF dengan cara yang berbeda.

Pertanyaan yang sering diajukan

Apakah beberapa record SPF diperbolehkan? Tidak. RFC 7208 mengizinkan tepat satu record v=spf1 per domain; dua atau lebih menyebabkan kesalahan permanen yang membatalkan SPF sepenuhnya. 1,013,416 domain berada dalam kondisi ini per 2026-06-29.

Apakah record SPF kedua menimpa yang pertama? Tidak ada yang menang. Sebuah penerima yang menemukan beberapa record harus menggagalkan evaluasi alih-alih memilih — sehingga semuanya berhenti bekerja sekaligus.

Bagaimana cara menggabungkan dua record SPF menjadi satu? Satu record, diawali v=spf1, berisi setiap mekanisme include: dan IP dari semuanya, diakhiri dengan satu -all atau ~all tunggal. Hapus record tambahannya, lalu verifikasi jumlah lookup Anda selamat dari penggabungan tersebut.

Mengapa email saya masih berfungsi dengan dua record SPF? Penerima yang menemui kesalahan biasanya melanjutkan tanpa SPF, jadi email Anda mengandalkan reputasi dan DKIM. Yang Anda kehilangan adalah perlindungan — tidak ada yang menolak pemalsu — dan evaluasi DMARC Anda kehilangan bagian SPF-nya. Email yang berfungsi dan SPF yang berfungsi adalah dua hal yang berbeda.

Periksa apakah domain Anda salah satu dari yang sejuta itu

Pemeriksaan 30 detik akan membersihkan Anda atau menyerahkan penggabungan dua menit kepada Anda.

Periksa domain Anda → · Perbaiki SPF → · Laporan SPF PermError → · Model kematangan SPF → · Hanya data agregat. Data disimpan dan diproses di UE.