Defaults.Exposed › Reporty
Správa o SPF PermError: 100× viac domén prekračuje limit 10 vyhľadaní, než ukazujú povrchové počty (2026)
Publikované 2026-07-03
Údaje k 2026-06-29 · metodika v7, plus prechod na ocenenie reťazcov spustený 2026-07-03. Z cenzu 261 miliónov ohodnotených domén sme rozlíšili každý cieľ SPF
include:, na ktorý sa odkazuje 100-krát a viac — 10,842 cieľov pokrývajúcich 95.2% všetkých odkazov include — a ocenili sme zachovaný reťazec každej domény oproti tejto mape. Nerozlíšené koncové ciele sa počítali ako nula a obsah reťazcov odráža deň rozlíšenia, takže hlavný záver je konzervatívna aproximácia posunutá smerom nadol: hovoríme „najmenej”. Iba agregát; nikdy nie záznam konkrétneho podniku. Pozri ako hodnotíme.
Koľko domén prekračuje limit SPF 10 vyhľadaní?
Najmenej 797,263 — pretože SPF má samodeštrukciu zabudovanú priamo v štandarde a spúšťač sa skrýva tam, kde ho vlastníci nevidia. RFC 7208 §4.6.4 obmedzuje kontrolu SPF na 10 DNS vyhľadaní; po desiatich prijímateľ prestane a vráti PermError a záznam s PermError nechráni nič. Ak počítate len vyhľadania viditeľné v samotnom zázname — ako to robí väčšina nástrojov a ako to robil aj náš vlastný cenzus až do tejto správy — nájdete okolo 8 000 previnilcov (presnejšie 7,958). Oceňte reťazce include:, ktoré tieto záznamy v skutočnosti stiahnu, a počet dosiahne 797,263: zhruba 100-krát viac.
Prečo to vlastníci nevidia prichádzať?
Pretože rozpočet míňajú cudzie záznamy. include:onetool.example.com sa číta ako jeden riadok vo vašom paneli DNS — no prijímateľ musí načítať aj tento záznam a rekurzívne spočítať každý mechanizmus vyhľadania, ktorý on obsahuje. Záznam s tromi include môže stáť jedenásť. V deň, keď ste prekročili limit, sa vo vašej vlastnej zóne nič nezmenilo; poskytovateľ vnoril o jeden include viac a vaše SPF zomrelo bez varovania.
Ešte horšie, DMARC považuje PermError za zlyhanie na strane SPF — takže doména, ktorá si takto rozbila SPF, teraz zlyháva na polovici svojej vlastnej autentifikácie.
Čo odhalilo ocenenie reťazcov
| Zistenie | Domény |
|---|---|
| Nad limitom 10 vyhľadaní, reťazce ocenené | 797,263 |
| Nad limitom pri počítaní len viditeľných mechanizmov | 7,958 |
Nad limitom a zároveň končiace prísnym -all | 112,215 |
| Presne na 9–10 vyhľadaniach — na hrane útesu | 2,119,539 |
V tejto tabuľke sú dva príbehy — tretí, hrana útesu, dostáva vlastnú sekciu nižšie:
- Povrchové počty prehliadnu ~99% poruchy. Počet viditeľných mechanizmov nájde 7,958; ocenenie reťazcov nájde 797,263. Takmer všetka škoda je zdedená z toho, čo include zahŕňajú.
- 112,215 z rozbitých záznamov končí
-all. Ich vlastníci urobili všetko správne — prekonali stenu, zvolili prísne zakončenie — a jeden include navyše znehodnotil celok. Vyzerať prísne a byť rozbitý je najkrutejší spôsob zlyhania v oblasti e-mailovej bezpečnosti.
2.1 miliónov domén je jeden nástroj od útesu
Číslo, ktoré by malo znepokojiť čitateľov, ktorí sú momentálne v poriadku: 2,119,539 domén sa rozkladá presne na 9 alebo 10 vyhľadaní — dnes pod limitom, mŕtve v deň, keď niekto pripojí ešte jednu platformu. To je zhruba 1 z 66 všetkých vydavateľov SPF a zodpovedá to tvaru distribúcie: záznam SPF na 99. percentile už teraz sedí na 9 vyhľadaniach. Zaregistrujte sa na ešte jeden marketingový nástroj, vložte jeho riadok „stačí pridať tento include” a záznam, ktorý bol na raňajky pod limitom, je na obed neplatný.
Čia je to chyba? Čoraz viac celého stacku
Najväčší poskytovatelia svoje SPF potichu sploštili — _spf.google.com od Googlu a spf.protection.outlook.com od Microsoftu sa teraz rozvinú do obyčajných zoznamov IP, ktoré stoja nula interných vyhľadaní (počas tejto analýzy sme oba overili oproti živému DNS). Výbuchy pochádzajú odinakiaľ: reťazce hostingových panelov, ktoré sa vnárajú do troch úrovní, regionálni poskytovatelia, ktorých include stojí sám o sebe 7–10 vyhľadaní, a poctivé hromadenie SaaS — schránka plus newsletter plus CRM plus helpdesk, každý „len jeden include”. Takmer nikto nepridáva jedenáste vyhľadanie zámerne. Prichádza ako súčet rozumných rozhodnutí.
Ako skontrolovať a opraviť to svoje — zadarmo
- Spočítajte svoj skutočný súčet — naša bezplatná kontrola rozlíši váš reťazec, alebo použite ľubovoľný počítač SPF vyhľadaní.
- Prerezajte mŕtvu záťaž: nástroje, ktoré ste prestali používať, duplicitné include a zastaraný mechanizmus
ptr. - Splošťujte len to, čo ovládate. Nahradenie hlbokého include jeho IP blokmi funguje pre vašu vlastnú infraštruktúru; IP tretích strán sa menia bez upozornenia.
- Dajte hromadným odosielateľom subdoménu. Newslettery z
news.vasadomena.comdostanú vlastný záznam a vlastný rozpočet 10 vyhľadaní.
Často kladené otázky
Čo je limit SPF 10 DNS vyhľadaní?
RFC 7208 §4.6.4 povoľuje najviac 10 DNS vyhľadaní na vyhodnotenie jedného záznamu SPF — vrátane rekurzívneho počítania vyhľadaní vnútri každého include:. Jeho prekročenie vráti PermError: záznam sa považuje za neplatný a neposkytuje žiadnu ochranu.
Čo znamená SPF PermError? Trvalá chyba vyhodnotenia — prijímateľ nedokázal spracovať váš záznam (príliš veľa vyhľadaní, viacero záznamov alebo chybná syntax) a považuje vašu doménu za doménu bez použiteľného SPF. DMARC to počíta ako zlyhanie na strane SPF.
Koľko domén prekračuje limit SPF vyhľadaní? Najmenej 797,263 z 139 miliónov vydavateľov SPF podľa nášho prechodu s ocenením reťazcov — asi 100× viac ako 7,958 viditeľných bez rozlíšenia reťazcov. Ďalších 2,119,539 sedí na 9–10 vyhľadaniach, jeden include od limitu.
Zastaví PermError doručovanie mojich e-mailov? Zvyčajne nie — prijímatelia pokračujú bez SPF a vaša pošta sa vezie na DKIM a reputácii. Čo prestane fungovať, je ochrana: falšovatelia už nie sú odmietaní a každá kontrola DMARC vašej pošty stráca svoju stranu SPF. Je to neviditeľné, kým to nezačne byť drahé.
Ako znížim počet svojich SPF vyhľadaní?
Odstráňte nepoužívané include a ptr, splošťite svoju vlastnú infraštruktúru na ip4:/ip6:, presuňte hromadných odosielateľov na subdomény a po každom novom nástroji prepočítajte. Sprievodca opravou vás tým prevedie.
Zistite svoje skutočné číslo
Mechanizmy, ktoré vidíte, nie sú vaším počtom vyhľadaní — rozlíšené číslo je to, ktoré počítajú prijímatelia, a je to 30-sekundová kontrola.
Skontrolujte svoju doménu → · Opravte SPF → · Model zrelosti SPF → · Dva záznamy SPF = žiadny → · Pasca ptr → · Iba agregátne údaje. Údaje uložené a spracované v EÚ.