Defaults.Exposed › Laporan
Bolehkah Satu Domain Mempunyai Dua Rekod SPF? Tidak — Sejuta Domain Baru Sahaja Membatalkan Perlindungan Mereka Sendiri (2026)
Diterbitkan 2026-07-03
Angka setakat 2026-06-29 · metodologi v7. Banci agregat merentas 261 juta domain yang telah digredkan. Semua angka adalah agregat — tidak pernah rekod sesebuah perniagaan individu. Lihat cara kami menggred.
Tidak — satu domain hanya boleh menerbitkan tepat satu rekod SPF, dan tersalah dalam perkara ini mematikan SPF sepenuhnya: 1,013,416 domain kini menerbitkan dua atau lebih, yang di bawah RFC 7208 menjadikan semua rekod SPF sesebuah domain itu tidak sah. Bukan yang terbaharu, bukan yang terlama — setiap satu daripadanya. Penerima yang menjumpai berbilang rekod v=spf1 mesti memulangkan ralat kekal, yang bermaksud tiada langsung perlindungan SPF, pada domain yang pada pandangan pemiliknya seolah-olah mempunyai dua kali ganda perlindungan.
Mengapa dua rekod SPF bersamaan sifar?
Standard ini jelas dan tegas: dasar SPF sesebuah domain mesti berupa satu rekod TXT tunggal yang bermula dengan v=spf1 (RFC 7208 §3.2; hasil ralat ditetapkan dalam §4.5). Jika sesuatu carian menjumpai lebih daripada satu, penerima tidak dapat mengetahui yang mana berautoriti — maka standard melarang meneka. Penerima yang mematuhi standard mesti memulangkan PermError: penilaian gagal secara kekal.
Dan PermError bukanlah neutral. DMARC menganggapnya sebagai kegagalan pada bahagian SPF — jadi domain yang menduplikasi rekodnya telah membatalkan perlindungannya dan menjejaskan pengesahan mel sahnya sendiri. Ia merupakan antara segelintir kesilapan DNS yang jarang berlaku di mana menambah perlindungan sebenarnya menghapuskannya (menerbitkan dua rekod DMARC melakukan perkara yang sama terhadap DMARC).
Kira-kira 1 daripada 138 domain yang mencuba SPF telah melakukan perkara ini kepada diri mereka sendiri.
Bagaimana ia berlaku? Salin-tampal semasa penyediaan
Hampir tiada sesiapa yang menulis rekod SPF kedua dengan sengaja. Ia berlaku pada hari anda menambah sesuatu alat e-mel:
- Domain anda sudah pun mempunyai
v=spf1 include:spf.protection.outlook.com -alldaripada penyedia peti mel anda. - Anda mendaftar untuk sebuah platform buletin, CRM atau alat pengeluaran invois.
- Panduan penyediaannya berkata: “Tambahkan rekod TXT ini ke DNS anda:
v=spf1 include:newtool.example.com ~all.” - Anda melakukan tepat seperti yang dinyatakannya — anda menambahnya, di sebelah yang lama.
Kini dua rekod wujud, dan kedua-duanya tidak sah. Panduan itu berkata “tambah”, dan menambah adalah satu-satunya perkara yang standard tidak benarkan; langkah yang betul — mencantumkan include: baharu itu ke dalam rekod sedia ada — hampir tidak disebut oleh mana-mana aliran penyediaan.
Kegagalan ini tidak kelihatan dari panel DNS: kedua-dua rekod kelihatan terbentuk dengan baik secara berasingan, dan mel kebanyakannya masih sampai kerana penerima kembali kepada isyarat lain. Tiada apa-apa yang mengingatkan anda sehinggalah satu penyamaran menjejakkan atau kebolehsampaian mel merosot.
Cara menyemak dan membetulkannya — dua minit, percuma
- Cari rekod TXT domain anda (
dig TXT yourdomain.com, atau gunakan semakan percuma kami). - Kira rekod yang bermula dengan
v=spf1. Satu-satunya nombor yang selamat ialah 1. - Jika anda mempunyai lebih daripada itu: cantumkannya — setiap mekanisme
include:danip4:/ip6:ke dalam satu rekod tunggal dengan satu kelayak terminal (lihat~alllawan-all) — dan padamkan selebihnya.
Sebelum: v=spf1 include:spf.protection.outlook.com -all
v=spf1 include:servers.mcsv.net ~all
Selepas: v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all
Semasa anda mencantum, perhatikan had 10-carian — terlalu banyak mekanisme include: memecahkan SPF dengan cara yang berbeza pula.
Soalan lazim
Adakah berbilang rekod SPF dibenarkan?
Tidak. RFC 7208 membenarkan tepat satu rekod v=spf1 bagi setiap domain; dua atau lebih menyebabkan ralat kekal yang membatalkan SPF sepenuhnya. 1,013,416 domain berada dalam keadaan ini setakat 2026-06-29.
Adakah rekod SPF kedua mengatasi yang pertama? Tiada yang menang. Penerima yang menjumpai berbilang rekod mesti menggagalkan penilaian dan bukannya memilih — jadi kesemuanya berhenti berfungsi serentak.
Bagaimana cara saya menggabungkan dua rekod SPF menjadi satu?
Satu rekod, bermula dengan v=spf1, mengandungi setiap mekanisme include: dan IP daripada kesemuanya, berakhir dengan satu -all atau ~all tunggal. Padamkan yang berlebihan, kemudian sahkan bilangan carian anda terselamat daripada percantuman itu.
Mengapa e-mel saya masih berfungsi dengan dua rekod SPF? Penerima yang menemui ralat itu lazimnya meneruskan tanpa SPF, jadi mel anda bergantung pada reputasi dan DKIM. Apa yang anda kehilangan ialah perlindungan — tiada apa-apa yang menolak pemalsu — dan penilaian DMARC anda kehilangan bahagian SPFnya. Mel yang berfungsi dan SPF yang berfungsi adalah dua perkara yang berbeza.
Semak sama ada domain anda salah satu daripada sejuta itu
Pandangan 30 saat sama ada membersihkan anda atau menyerahkan kepada anda percantuman dua minit.
Semak domain anda → · Betulkan SPF → · Laporan SPF PermError → · Model kematangan SPF → · Data agregat sahaja. Data disimpan dan diproses di EU.