Defaults.Exposed › Reporty
Prečo mi SPF nefunguje? Problém 10 DNS vyhľadávaní pre SaaS používateľov v UK a EÚ (2026)
Publikované 2026-07-09
Dáta k 2026-06-29 · metodológia v7. Súhrnné údaje sčítania pre 261 miliónov hodnotených domén. Pozrite si ako hodnotíme.
Keď SPF zlyhá u firmy využívajúcej SaaS nástroje v UK alebo EÚ, najpravdepodobnejšou príčinou je jedno pravidlo RFC, o ktorom ste nikdy nemuseli premýšľať: po 10 DNS vyhľadávaniach SPF nevracia „fail” — vracia PermError, čo znamená, že záznam sa považuje za neexistujúci. Aspoň 797,263 domén túto hranicu už prekročilo. Ďalších 2,119,539 sa nachádza presne na 9–10 vyhľadávaniach — jeden nový nástroj ich delí od rovnakého útesu.
Prečo SPF prestane fungovať, keď pridáte SaaS nástroj?
SPF funguje tak, že vymenúva poštové servery oprávnené odosielať e-maily v mene vašej domény. Moderné firmy neprevádzkujú vlastné poštové servery — používajú Google Workspace na internú komunikáciu, Mailchimp na kampane, HubSpot na predajné sekvencie, Pipedrive pre CRM. Každá platforma vám poskytne riadok include:, ktorý vložíte do DNS.
Problém: každý include: je sám o sebe DNS vyhľadávanie. A každý záznam vo vnútri toho include môže rekurzívne spustiť ďalšie vyhľadávania. RFC 7208 §4.6.4 stanovuje pevný limit desiatich vyhľadávaní. Po desiatich prijímajúci poštový server prestane vyhodnocovať a vráti PermError — a PermError nie je mäkké zlyhanie, ktoré by e-maily presunulo do spamu. Znamená to, že váš SPF záznam sa považuje za chýbajúci. Autentifikácia e-mailu na SPF vetve zlyhá.
Toto neuvidíte vo svojom DNS paneli. Počítadlo sa aktivuje iba pri živom vyhodnocovaní. Môžete mať tri riadky include: vo viditeľnom zázname a byť stále dvanásť vyhľadávaní hlboko, pretože každý dodávateľ má vlastný SPF záznam s vnoreným include.
Koľko domén už prekročilo limit?
Aspoň 797,263. To je počet po tom, čo sme vyriešili každý SPF include: cieľ odkazovaný 100-krát alebo viac — 10,842 rôznych cieľov pokrývajúcich 95.2% všetkých include odkazov — a ohodnotili celý reťazec pre každú doménu. Povrchový počet (ktorý počíta iba viditeľné riadky v zázname) nachádza približne 7,958. Číslo so zohľadnením celého reťazca je 100-krát väčšie, pretože takmer všetka škoda je neviditeľná vo vnútri include cieľov.
Situácia, ktorá najpravdepodobnejšie postihuje európske firmy:
| Scenár | Čo sa stane |
|---|---|
| Google Workspace + Mailchimp + HubSpot + jeden ďalší | Pravdepodobne na 10 vyhľadávaniach alebo viac |
| IONOS hosting + akékoľvek tri SaaS nástroje | Vysoké riziko: vlastný SPF cieľ IONOS pridáva viacero skokov |
| OVH hosting + dva transakčné nástroje + CRM | Riziko závisí od hĺbky OVH SPF v čase vyhodnocovania |
| Iba Microsoft 365 | Nízke riziko: SPF od Microsoftu je kompaktný a dobre udržiavaný |
Európski poskytovatelia hostingu a slabé predvolené nastavenia SPF
Poskytovateľ hostingu, s ktorým ste začínali, je dôležitý — pretože niektorí nastavujú predvolené hodnoty SPF, ktoré už spotrebujú niekoľko z vašich desiatich vyhľadávaní predtým, ako pripojíte akýkoľvek SaaS nástroj.
Medzi najväčšími poskytovateľmi hostingu, ktoré využívajú európske domény v našom sčítaní:
| Poskytovateľ | Domén, ktoré ho využívajú | Prísny SPF (-all) | DMARC v platnosti |
|---|---|---|---|
| IONOS (EU) | 4,346,526 | 0.3% | 1.0% |
| OVH | 2,132,049 | 43.7% | 2.2% |
| Microsoft 365 | 10,205,070 | 85.0% | 21.7% |
| Google Workspace | 12,145,313 | 8.0% | 18.5% |
IONOS vyniká: len 1.0% domén na IONOS má DMARC v platnosti, čo znamená, že prevažná väčšina nemá žiadnu zmysluplnú autentifikáciu odosielateľa. Domény OVH si vedú lepšie pri prísnom SPF (43.7%), ale klesajú na 2.2% pri uplatňovaní DMARC — SPF sám o sebe, bez DMARC na naviazanie na hlavičku From:, chráni iba obálku, nie to, čo príjemca vidí.
Microsoft 365 je výnimkou v pozitívnom zmysle: 85.0% domén Microsoftu používa prísny SPF, najmä preto, že Microsoftov sprievodca nastavením pošty nastavuje -all predvolene. Google Workspace predvolene nastavuje ~all (softfail), čím ponecháva 92% svojich domén bez prísnej ochrany.
Ako diagnostikovať zlyhanie SPF za menej ako 60 sekúnd
Najrýchlejšia kontrola je bezplatný nástroj, ktorý vyhodnotí celý reťazec vyhľadávaní — nie iba viditeľný záznam. Spustite nslookup -type=TXT yourdomain.com v príkazovom riadku a spočítajte všetky include:, ktoré vidíte. Potom vyhľadajte každý z týchto záznamov a spočítajte ich. Ak vám dôjdu prsty skôr, ako dôjdu include riadky, nachádzate sa v nebezpečnej zóne.
Spoľahlivejší prístup: skontrolujte svoju doménu tu — skener vyhodnotí celý vyriešený reťazec, označí PermError a ukáže vám, ktoré mechanizmy spotrebúvajú váš rozpočet vyhľadávaní.
Tri diagnostické výsledky:
- PermError — už ste prekročili desať vyhľadávaní. Každý e-mail, ktorý odošlete, neprejde kontrolou SPF u príjemcu.
- Na 9–10 vyhľadávaniach — ste na okraji útesu. Ďalšia SaaS integrácia vás prenesie.
- Softfail (~all) namiesto hardfail (-all) — ste pod limitom, ale záznam je nastavený príliš voľne na to, aby poskytoval skutočnú ochranu. Pozrite si správu o nesprávnej konfigurácii SPF pre úplný obraz o
-allverzus~all.
Ako opraviť SPF, keď používate viacero SaaS nástrojov
Existujú tri prístupy, zoradené podľa trvalosti:
1. Audit a čistenie. Začnite zoznamom všetkých include: vo svojom aktuálnom zázname. Odstráňte všetky platformy, ktoré už nepoužívate — staré ESP nástroje, CRM nástroje z predchádzajúcich zmlúv, platformy, ktoré ste testovali, ale opustili. Je to zadarmo a často vráti niekoľko vyhľadávaní. Každý odstránený include: môže eliminovať 1–3 podvyhľadávania.
2. Sploštenie SPF záznamu. Sploštenie SPF vyriešuje všetky include: ciele na ich základné rozsahy IP a zapíše ich priamo do záznamu ako mechanizmy ip4: a ip6:. Mechanizmy IP nespúšťajú vyhľadávania, takže splošený záznam môže uviesť desiatky zdrojov odosielania a ostať na nule vyhľadávaní. Nevýhoda: je potrebné znova sploštenie vždy, keď dodávateľ aktualizuje svoje IP adresy odosielania, čo sa deje bez upozornenia. Väčšina firiem používa platenou službou sploštenia SPF (PowerDMARC, EasyDMARC, Dmarcian a ďalší) alebo vytvára monitorovací pracovný tok.
3. Použitie makier SPF. Makrá RFC 7208 umožňujú vytvárať záznamy, ktoré vykonávajú jedno DNS vyhľadávanie na kontrolu a odpovedajú dynamicky, namiesto reťazca include. Makrá vyžadujú podporu DNS hostingu a nejaké implementačné úsilie, ale sú architektonicky čistým riešením pre organizácie s mnohými SaaS odosielateľmi.
Po opravení SPF ho doplňte uplatňovaním DMARC — SPF bez DMARC autentifikuje iba odosielateľa obálky, nie adresu v hlavičke From:, ktorú príjemcovia vidia.
Často kladené otázky
Prečo môj SPF záznam prechádza v DNS nástroji, ale stále zlyháva v hlavičkách e-mailov?
Väčšina nástrojov na vyhľadávanie DNS počíta iba mechanizmy viditeľné vo vašom vlastnom zázname, nie podvyhľadávania, ktoré tieto mechanizmy spúšťajú. Môžete mať dva riadky include: a stále byť nad limitom, ak záznam každého dodávateľa obsahuje ešte niekoľko ďalších. Iba nástroj vyhodnocujúci celý reťazec (alebo prijímajúci poštový server) spočíta celú hĺbku. Skontrolujte svoju doménu, aby ste videli skutočný počet v reťazci.
Znamená zlyhanie SPF, že moje e-maily idú do spamu?
PermError (príliš veľa vyhľadávaní) znamená, že SPF vetva autentifikácie vracia neresultát — fakticky absenciu záznamu. DMARC vyhodnocuje SPF aj DKIM; ak DKIM prejde, DMARC môže prejsť napriek SPF PermError. Ak ani jedno neprejde, DMARC zlyhá a výsledok závisí od vašej DMARC politiky. Pri p=none sa e-mail napriek tomu doručí, ale zlyhanie sa zaznamená. Pri p=quarantine alebo p=reject sa e-mail filtruje alebo odmieta. Opravte SPF, aby ste sa nespoliehali výlučne na DKIM.
Koľko vyhľadávaní využíva typický SaaS zásobník? p99 SPF záznam v našom sčítaní sa už nachádza na 9 vyhľadávaniach — priamo pri limite — pred pridaním čohokoľvek. Záznam Google Workspace pridáva 3–4 vyhľadávania; Mailchimp pridáva 1–2; HubSpot pridáva 1–3 v závislosti od aktuálnej konfigurácie. Tri bežné nástroje plus predvolené nastavenia vášho poskytovateľa hostingu často stačia na prekročenie desiatich.
Je sploštenie SPF bezpečné?
Áno, za predpokladu, že je aktuálne. Sploštenie konvertuje include: reťazce na statické rozsahy IP — ak dodávateľ zmení IP adresy odosielania a vy záznam znova nesploštíte, začnete odmietať ich e-maily. Väčšina organizácií používa spravovanú službu sploštenia, ktorá monitoruje zmeny IP adries, namiesto ručnej správy.
Môj SPF bol takýto roky — prečo teraz náhle nefunguje? Pretože vaši dodávatelia aktualizovali svoje SPF záznamy, nie vy. Zakaždým, keď SaaS platforma pridá nový rozsah IP adries odosielania alebo vnoří ďalší include, náklady vášho reťazca rastú bez akejkoľvek zmeny z vašej strany. Limit 10 vyhľadávaní sa vyhodnocuje v reálnom čase pri prijatí správy, takže zmena u dodávateľa v utorok ráno môže pokaziť váš SPF do utorka poobede.
Zlepší oprava SPF doručiteľnosť e-mailov? Odstráni zdroj zlyhania autentifikácie, čo je predpokladom pre konzistentnú doručiteľnosť — najmä keďže Google a Yahoo teraz presadzujú zarovnanie DMARC pre hromadných odosielateľov. SPF sám o sebe nie je celý obraz: doplňte ho DKIM a DMARC pre úplnú autentifikáciu e-mailov.
Bezplatná kontrola SPF
Ak si nie ste istí, či váš SPF záznam prekračuje limit vyhľadávaní — alebo je nastavený príliš slabo na ochranu vašej domény — spustite bezplatnú kontrolu. Vyhodnotí celý vyriešený reťazec a ukáže vám presne, kde sa rozpočet spotrebúva.
Skontrolujte svoju doménu → · Opravte SPF → · Správa o SPF PermError → · Správa o nesprávnej konfigurácii SPF → · Model zrelosti prijatia SPF → · Opravte DMARC → · Iba súhrnné dáta. Dáta sú uložené a spracované v EÚ.