Defaults.Exposed › Raporty
Raport o SPF PermError: 100× więcej domen przekracza limit 10 zapytań, niż pokazują liczby powierzchniowe (2026)
Opublikowano 2026-07-03
Dane na dzień 2026-06-29 · metodologia v7, plus przebieg wyceny łańcuchów wykonany 2026-07-03. Ze spisu 261 milionów ocenionych domen rozwiązaliśmy każdy cel
include:w SPF, do którego odwołano się 100 lub więcej razy — 10 842 celów pokrywających 95,2% wszystkich odwołań include — i wyceniliśmy zachowany łańcuch każdej domeny względem tej mapy. Nierozwiązane cele z ogona liczyły się jako zero, a zawartość łańcuchów odzwierciedla dzień rozwiązywania, więc główna liczba to konserwatywne, zaniżone przybliżenie: dlatego mówimy „co najmniej”. Wyłącznie dane zbiorcze; nigdy rekord pojedynczej firmy. Zobacz jak oceniamy.
Ile domen przekracza limit 10 zapytań SPF?
Co najmniej 797 263 — ponieważ SPF ma wbudowany w standard mechanizm samozniszczenia, a jego wyzwalacz kryje się tam, gdzie właściciele nie mogą go zobaczyć. RFC 7208 §4.6.4 ogranicza sprawdzenie SPF do 10 zapytań DNS; po przekroczeniu dziesięciu odbiorca zatrzymuje się i zwraca PermError, a rekord z PermError niczego nie chroni. Policz tylko zapytania widoczne w samym rekordzie — jak robi większość narzędzi i jak robił nasz własny spis aż do tego raportu — a znajdziesz około 8000 przypadków naruszeń (dokładnie 7958). Wyceń łańcuchy include:, które te rekordy w rzeczywistości wciągają, a liczba sięgnie 797 263: mniej więcej 100 razy więcej.
Dlaczego właściciele nie widzą tego nadchodzącego problemu?
Ponieważ budżet zużywają cudze rekordy. include:onetool.example.com czyta się jak jeden wiersz w panelu DNS — ale odbiorca musi pobrać także tamten rekord i policzyć rekurencyjnie każdy mechanizm zapytania, który on zawiera. Rekord z trzema include może kosztować jedenaście. Nic w twojej własnej strefie nie zmieniło się w dniu, w którym przekroczyłeś limit; dostawca zagnieździł jeszcze jeden include i twój SPF umarł bez ostrzeżenia.
Co gorsza, DMARC traktuje PermError jako niepowodzenie na odcinku SPF — więc domena, która w ten sposób zepsuła swój SPF, nie zdaje teraz połowy własnego uwierzytelniania.
Co wykazała wycena łańcuchów
| Wynik | Domeny |
|---|---|
| Powyżej limitu 10 zapytań, łańcuchy wycenione | 797 263 |
| Powyżej limitu, licząc tylko widoczne mechanizmy | 7958 |
Powyżej limitu i kończąc się rygorystycznym -all | 112 215 |
| Dokładnie na 9–10 zapytaniach — na krawędzi urwiska | 2 119 539 |
W tej tabeli kryją się dwie historie — trzecia, krawędź urwiska, ma własną sekcję poniżej:
- Liczby powierzchniowe pomijają ~99% awarii. Zliczanie widocznych mechanizmów znajduje 7958; wycena łańcuchów znajduje 797 263. Niemal całe szkody są dziedziczone z tego, co zawierają same include.
- 112 215 zepsutych rekordów kończy się na
-all. Ich właściciele zrobili wszystko dobrze — wspięli się na mur, wybrali rygorystyczne zakończenie — a jeden include za dużo unieważnił całość. Rygorystyczny na oko i zepsuty to najbardziej dotkliwy tryb awarii w bezpieczeństwie poczty.
2,1 miliona domen dzieli jedno narzędzie od urwiska
Liczba, która powinna zaniepokoić czytelników aktualnie w porządku: 2 119 539 domen rozwiązuje się do dokładnie 9 lub 10 zapytań — dziś poniżej limitu, martwe w dniu, w którym ktoś podłączy jeszcze jedną platformę. To mniej więcej 1 na 66 wszystkich publikujących SPF i pasuje do kształtu rozkładu: rekord SPF w 99. percentylu siedzi już na 9 zapytaniach. Zapisz się na jeszcze jedno narzędzie marketingowe, wklej jego wiersz „wystarczy dodać ten include”, a rekord, który przy śniadaniu był poniżej limitu, jest nieważny do obiadu.
Czyja to wina? Coraz częściej — stosu technologicznego
Najwięksi dostawcy po cichu spłaszczyli swój SPF — _spf.google.com Google’a i spf.protection.outlook.com Microsoftu rozwijają się teraz do zwykłych list IP kosztujących zero zapytań wewnętrznych (oba zweryfikowaliśmy względem żywego DNS podczas tej analizy). Wybuchy pochodzą skądinąd: łańcuchy paneli hostingowych zagnieżdżone na trzy poziomy, regionalni dostawcy, których sam include kosztuje 7–10 zapytań, oraz uczciwe nagromadzenie SaaS — skrzynka plus newsletter plus CRM plus helpdesk, każdy „tylko jeden include”. Prawie nikt nie dodaje jedenastego zapytania celowo. Przybywa ono jako suma rozsądnych decyzji.
Jak sprawdzić i naprawić swój — za darmo
- Policz swoją prawdziwą sumę — nasze bezpłatne sprawdzenie rozwiązuje twój łańcuch, lub użyj dowolnego licznika zapytań SPF.
- Usuń martwy balast: narzędzia, których przestałeś używać, zduplikowane include oraz przestarzały mechanizm
ptr. - Spłaszczaj tylko to, co kontrolujesz. Zastąpienie głębokiego include jego blokami IP sprawdza się dla twojej własnej infrastruktury; adresy IP osób trzecich zmieniają się bez uprzedzenia.
- Daj nadawcom masowym poddomenę. Newslettery z
news.yourdomain.comdostają własny rekord i własny budżet 10 zapytań.
Najczęściej zadawane pytania
Czym jest limit 10 zapytań DNS w SPF?
RFC 7208 §4.6.4 dopuszcza najwyżej 10 zapytań DNS do oceny jednego rekordu SPF — licząc rekurencyjnie zapytania wewnątrz każdego include:. Przekroczenie zwraca PermError: rekord jest traktowany jako nieprawidłowy i nie zapewnia żadnej ochrony.
Co oznacza SPF PermError? Trwały błąd oceny — odbiorca nie mógł przetworzyć twojego rekordu (zbyt wiele zapytań, wiele rekordów lub błędna składnia) i traktuje twoją domenę tak, jakby nie miała używalnego SPF. DMARC liczy to jako niepowodzenie na odcinku SPF.
Ile domen przekracza limit zapytań SPF? Co najmniej 797 263 z 139 milionów publikujących SPF, według naszego przebiegu wyceny łańcuchów — około 100× więcej niż 7958 widocznych bez rozwiązywania łańcuchów. Kolejne 2 119 539 znajduje się na 9–10 zapytaniach, o jeden include od limitu.
Czy PermError powstrzymuje dostarczanie mojej poczty? Zwykle nie — odbiorcy kontynuują bez SPF, a twoja poczta jedzie na DKIM i reputacji. To, co przestaje działać, to ochrona: fałszerze nie są już odrzucani, a każde sprawdzenie DMARC twojej poczty traci swój odcinek SPF. Jest to niewidoczne, dopóki nie stanie się kosztowne.
Jak zmniejszyć liczbę zapytań SPF?
Usuń nieużywane include i ptr, spłaszcz własną infrastrukturę do ip4:/ip6:, przenieś nadawców masowych do poddomen i przelicz na nowo po każdym nowym narzędziu. Przewodnik naprawczy prowadzi przez to krok po kroku.
Poznaj swoją prawdziwą liczbę
Mechanizmy, które widzisz, to nie twoja liczba zapytań — rozwiązana liczba to ta, którą obliczają odbiorcy, a jej sprawdzenie zajmuje 30 sekund.
Sprawdź swoją domenę → · Napraw SPF → · Model dojrzałości SPF → · Dwa rekordy SPF = żaden → · Pułapka ptr → · Wyłącznie dane zbiorcze. Dane przechowywane i przetwarzane w UE.