Defaults.Exposed

Defaults.Exposed › Reporty

Správa o SPF PermError: 100× viac domén prekračuje limit 10 vyhľadaní, než ukazujú povrchové počty (2026)

Publikované 2026-07-03

Údaje k 2026-06-29 · metodika v7, plus prechod na ocenenie reťazcov spustený 2026-07-03. Z cenzu 261 miliónov ohodnotených domén sme rozlíšili každý cieľ SPF include:, na ktorý sa odkazuje 100-krát a viac — 10,842 cieľov pokrývajúcich 95.2% všetkých odkazov include — a ocenili sme zachovaný reťazec každej domény oproti tejto mape. Nerozlíšené koncové ciele sa počítali ako nula a obsah reťazcov odráža deň rozlíšenia, takže hlavný záver je konzervatívna aproximácia posunutá smerom nadol: hovoríme „najmenej”. Iba agregát; nikdy nie záznam konkrétneho podniku. Pozri ako hodnotíme.

Koľko domén prekračuje limit SPF 10 vyhľadaní?

Najmenej 797,263 — pretože SPF má samodeštrukciu zabudovanú priamo v štandarde a spúšťač sa skrýva tam, kde ho vlastníci nevidia. RFC 7208 §4.6.4 obmedzuje kontrolu SPF na 10 DNS vyhľadaní; po desiatich prijímateľ prestane a vráti PermError a záznam s PermError nechráni nič. Ak počítate len vyhľadania viditeľné v samotnom zázname — ako to robí väčšina nástrojov a ako to robil aj náš vlastný cenzus až do tejto správy — nájdete okolo 8 000 previnilcov (presnejšie 7,958). Oceňte reťazce include:, ktoré tieto záznamy v skutočnosti stiahnu, a počet dosiahne 797,263: zhruba 100-krát viac.

Prečo to vlastníci nevidia prichádzať?

Pretože rozpočet míňajú cudzie záznamy. include:onetool.example.com sa číta ako jeden riadok vo vašom paneli DNS — no prijímateľ musí načítať aj tento záznam a rekurzívne spočítať každý mechanizmus vyhľadania, ktorý on obsahuje. Záznam s tromi include môže stáť jedenásť. V deň, keď ste prekročili limit, sa vo vašej vlastnej zóne nič nezmenilo; poskytovateľ vnoril o jeden include viac a vaše SPF zomrelo bez varovania.

Ešte horšie, DMARC považuje PermError za zlyhanie na strane SPF — takže doména, ktorá si takto rozbila SPF, teraz zlyháva na polovici svojej vlastnej autentifikácie.

Čo odhalilo ocenenie reťazcov

ZistenieDomény
Nad limitom 10 vyhľadaní, reťazce ocenené797,263
Nad limitom pri počítaní len viditeľných mechanizmov7,958
Nad limitom a zároveň končiace prísnym -all112,215
Presne na 9–10 vyhľadaniach — na hrane útesu2,119,539

V tejto tabuľke sú dva príbehy — tretí, hrana útesu, dostáva vlastnú sekciu nižšie:

2.1 miliónov domén je jeden nástroj od útesu

Číslo, ktoré by malo znepokojiť čitateľov, ktorí sú momentálne v poriadku: 2,119,539 domén sa rozkladá presne na 9 alebo 10 vyhľadaní — dnes pod limitom, mŕtve v deň, keď niekto pripojí ešte jednu platformu. To je zhruba 1 z 66 všetkých vydavateľov SPF a zodpovedá to tvaru distribúcie: záznam SPF na 99. percentile už teraz sedí na 9 vyhľadaniach. Zaregistrujte sa na ešte jeden marketingový nástroj, vložte jeho riadok „stačí pridať tento include” a záznam, ktorý bol na raňajky pod limitom, je na obed neplatný.

Čia je to chyba? Čoraz viac celého stacku

Najväčší poskytovatelia svoje SPF potichu sploštili_spf.google.com od Googlu a spf.protection.outlook.com od Microsoftu sa teraz rozvinú do obyčajných zoznamov IP, ktoré stoja nula interných vyhľadaní (počas tejto analýzy sme oba overili oproti živému DNS). Výbuchy pochádzajú odinakiaľ: reťazce hostingových panelov, ktoré sa vnárajú do troch úrovní, regionálni poskytovatelia, ktorých include stojí sám o sebe 7–10 vyhľadaní, a poctivé hromadenie SaaS — schránka plus newsletter plus CRM plus helpdesk, každý „len jeden include”. Takmer nikto nepridáva jedenáste vyhľadanie zámerne. Prichádza ako súčet rozumných rozhodnutí.

Ako skontrolovať a opraviť to svoje — zadarmo

  1. Spočítajte svoj skutočný súčetnaša bezplatná kontrola rozlíši váš reťazec, alebo použite ľubovoľný počítač SPF vyhľadaní.
  2. Prerezajte mŕtvu záťaž: nástroje, ktoré ste prestali používať, duplicitné include a zastaraný mechanizmus ptr.
  3. Splošťujte len to, čo ovládate. Nahradenie hlbokého include jeho IP blokmi funguje pre vašu vlastnú infraštruktúru; IP tretích strán sa menia bez upozornenia.
  4. Dajte hromadným odosielateľom subdoménu. Newslettery z news.vasadomena.com dostanú vlastný záznam a vlastný rozpočet 10 vyhľadaní.

Často kladené otázky

Čo je limit SPF 10 DNS vyhľadaní? RFC 7208 §4.6.4 povoľuje najviac 10 DNS vyhľadaní na vyhodnotenie jedného záznamu SPF — vrátane rekurzívneho počítania vyhľadaní vnútri každého include:. Jeho prekročenie vráti PermError: záznam sa považuje za neplatný a neposkytuje žiadnu ochranu.

Čo znamená SPF PermError? Trvalá chyba vyhodnotenia — prijímateľ nedokázal spracovať váš záznam (príliš veľa vyhľadaní, viacero záznamov alebo chybná syntax) a považuje vašu doménu za doménu bez použiteľného SPF. DMARC to počíta ako zlyhanie na strane SPF.

Koľko domén prekračuje limit SPF vyhľadaní? Najmenej 797,263 z 139 miliónov vydavateľov SPF podľa nášho prechodu s ocenením reťazcov — asi 100× viac ako 7,958 viditeľných bez rozlíšenia reťazcov. Ďalších 2,119,539 sedí na 9–10 vyhľadaniach, jeden include od limitu.

Zastaví PermError doručovanie mojich e-mailov? Zvyčajne nie — prijímatelia pokračujú bez SPF a vaša pošta sa vezie na DKIM a reputácii. Čo prestane fungovať, je ochrana: falšovatelia už nie sú odmietaní a každá kontrola DMARC vašej pošty stráca svoju stranu SPF. Je to neviditeľné, kým to nezačne byť drahé.

Ako znížim počet svojich SPF vyhľadaní? Odstráňte nepoužívané include a ptr, splošťite svoju vlastnú infraštruktúru na ip4:/ip6:, presuňte hromadných odosielateľov na subdomény a po každom novom nástroji prepočítajte. Sprievodca opravou vás tým prevedie.

Zistite svoje skutočné číslo

Mechanizmy, ktoré vidíte, nie sú vaším počtom vyhľadaní — rozlíšené číslo je to, ktoré počítajú prijímatelia, a je to 30-sekundová kontrola.

Skontrolujte svoju doménu → · Opravte SPF → · Model zrelosti SPF → · Dva záznamy SPF = žiadny → · Pasca ptr → · Iba agregátne údaje. Údaje uložené a spracované v EÚ.