Defaults.Exposed

Defaults.Exposed › Raporty

Raport o SPF PermError: 100× więcej domen przekracza limit 10 zapytań, niż pokazują liczby powierzchniowe (2026)

Opublikowano 2026-07-03

Dane na dzień 2026-06-29 · metodologia v7, plus przebieg wyceny łańcuchów wykonany 2026-07-03. Ze spisu 261 milionów ocenionych domen rozwiązaliśmy każdy cel include: w SPF, do którego odwołano się 100 lub więcej razy — 10 842 celów pokrywających 95,2% wszystkich odwołań include — i wyceniliśmy zachowany łańcuch każdej domeny względem tej mapy. Nierozwiązane cele z ogona liczyły się jako zero, a zawartość łańcuchów odzwierciedla dzień rozwiązywania, więc główna liczba to konserwatywne, zaniżone przybliżenie: dlatego mówimy „co najmniej”. Wyłącznie dane zbiorcze; nigdy rekord pojedynczej firmy. Zobacz jak oceniamy.

Ile domen przekracza limit 10 zapytań SPF?

Co najmniej 797 263 — ponieważ SPF ma wbudowany w standard mechanizm samozniszczenia, a jego wyzwalacz kryje się tam, gdzie właściciele nie mogą go zobaczyć. RFC 7208 §4.6.4 ogranicza sprawdzenie SPF do 10 zapytań DNS; po przekroczeniu dziesięciu odbiorca zatrzymuje się i zwraca PermError, a rekord z PermError niczego nie chroni. Policz tylko zapytania widoczne w samym rekordzie — jak robi większość narzędzi i jak robił nasz własny spis aż do tego raportu — a znajdziesz około 8000 przypadków naruszeń (dokładnie 7958). Wyceń łańcuchy include:, które te rekordy w rzeczywistości wciągają, a liczba sięgnie 797 263: mniej więcej 100 razy więcej.

Dlaczego właściciele nie widzą tego nadchodzącego problemu?

Ponieważ budżet zużywają cudze rekordy. include:onetool.example.com czyta się jak jeden wiersz w panelu DNS — ale odbiorca musi pobrać także tamten rekord i policzyć rekurencyjnie każdy mechanizm zapytania, który on zawiera. Rekord z trzema include może kosztować jedenaście. Nic w twojej własnej strefie nie zmieniło się w dniu, w którym przekroczyłeś limit; dostawca zagnieździł jeszcze jeden include i twój SPF umarł bez ostrzeżenia.

Co gorsza, DMARC traktuje PermError jako niepowodzenie na odcinku SPF — więc domena, która w ten sposób zepsuła swój SPF, nie zdaje teraz połowy własnego uwierzytelniania.

Co wykazała wycena łańcuchów

WynikDomeny
Powyżej limitu 10 zapytań, łańcuchy wycenione797 263
Powyżej limitu, licząc tylko widoczne mechanizmy7958
Powyżej limitu i kończąc się rygorystycznym -all112 215
Dokładnie na 9–10 zapytaniach — na krawędzi urwiska2 119 539

W tej tabeli kryją się dwie historie — trzecia, krawędź urwiska, ma własną sekcję poniżej:

2,1 miliona domen dzieli jedno narzędzie od urwiska

Liczba, która powinna zaniepokoić czytelników aktualnie w porządku: 2 119 539 domen rozwiązuje się do dokładnie 9 lub 10 zapytań — dziś poniżej limitu, martwe w dniu, w którym ktoś podłączy jeszcze jedną platformę. To mniej więcej 1 na 66 wszystkich publikujących SPF i pasuje do kształtu rozkładu: rekord SPF w 99. percentylu siedzi już na 9 zapytaniach. Zapisz się na jeszcze jedno narzędzie marketingowe, wklej jego wiersz „wystarczy dodać ten include”, a rekord, który przy śniadaniu był poniżej limitu, jest nieważny do obiadu.

Czyja to wina? Coraz częściej — stosu technologicznego

Najwięksi dostawcy po cichu spłaszczyli swój SPF — _spf.google.com Google’a i spf.protection.outlook.com Microsoftu rozwijają się teraz do zwykłych list IP kosztujących zero zapytań wewnętrznych (oba zweryfikowaliśmy względem żywego DNS podczas tej analizy). Wybuchy pochodzą skądinąd: łańcuchy paneli hostingowych zagnieżdżone na trzy poziomy, regionalni dostawcy, których sam include kosztuje 7–10 zapytań, oraz uczciwe nagromadzenie SaaS — skrzynka plus newsletter plus CRM plus helpdesk, każdy „tylko jeden include”. Prawie nikt nie dodaje jedenastego zapytania celowo. Przybywa ono jako suma rozsądnych decyzji.

Jak sprawdzić i naprawić swój — za darmo

  1. Policz swoją prawdziwą sumęnasze bezpłatne sprawdzenie rozwiązuje twój łańcuch, lub użyj dowolnego licznika zapytań SPF.
  2. Usuń martwy balast: narzędzia, których przestałeś używać, zduplikowane include oraz przestarzały mechanizm ptr.
  3. Spłaszczaj tylko to, co kontrolujesz. Zastąpienie głębokiego include jego blokami IP sprawdza się dla twojej własnej infrastruktury; adresy IP osób trzecich zmieniają się bez uprzedzenia.
  4. Daj nadawcom masowym poddomenę. Newslettery z news.yourdomain.com dostają własny rekord i własny budżet 10 zapytań.

Najczęściej zadawane pytania

Czym jest limit 10 zapytań DNS w SPF? RFC 7208 §4.6.4 dopuszcza najwyżej 10 zapytań DNS do oceny jednego rekordu SPF — licząc rekurencyjnie zapytania wewnątrz każdego include:. Przekroczenie zwraca PermError: rekord jest traktowany jako nieprawidłowy i nie zapewnia żadnej ochrony.

Co oznacza SPF PermError? Trwały błąd oceny — odbiorca nie mógł przetworzyć twojego rekordu (zbyt wiele zapytań, wiele rekordów lub błędna składnia) i traktuje twoją domenę tak, jakby nie miała używalnego SPF. DMARC liczy to jako niepowodzenie na odcinku SPF.

Ile domen przekracza limit zapytań SPF? Co najmniej 797 263 z 139 milionów publikujących SPF, według naszego przebiegu wyceny łańcuchów — około 100× więcej niż 7958 widocznych bez rozwiązywania łańcuchów. Kolejne 2 119 539 znajduje się na 9–10 zapytaniach, o jeden include od limitu.

Czy PermError powstrzymuje dostarczanie mojej poczty? Zwykle nie — odbiorcy kontynuują bez SPF, a twoja poczta jedzie na DKIM i reputacji. To, co przestaje działać, to ochrona: fałszerze nie są już odrzucani, a każde sprawdzenie DMARC twojej poczty traci swój odcinek SPF. Jest to niewidoczne, dopóki nie stanie się kosztowne.

Jak zmniejszyć liczbę zapytań SPF? Usuń nieużywane include i ptr, spłaszcz własną infrastrukturę do ip4:/ip6:, przenieś nadawców masowych do poddomen i przelicz na nowo po każdym nowym narzędziu. Przewodnik naprawczy prowadzi przez to krok po kroku.

Poznaj swoją prawdziwą liczbę

Mechanizmy, które widzisz, to nie twoja liczba zapytań — rozwiązana liczba to ta, którą obliczają odbiorcy, a jej sprawdzenie zajmuje 30 sekund.

Sprawdź swoją domenę → · Napraw SPF → · Model dojrzałości SPF → · Dwa rekordy SPF = żaden → · Pułapka ptr → · Wyłącznie dane zbiorcze. Dane przechowywane i przetwarzane w UE.