Defaults.Exposed › Poročila
Zakaj moj SPF ne deluje? Problem 10 DNS-poizvedb za SaaS uporabnike v Veliki Britaniji in EU (2026)
Objavljeno 2026-07-09
Podatki na dan 2026-06-29 · metodologija v7. Zbrani podatki popisa za 261 milijonov ocenjenih domen. Oglejte si kako ocenjujemo.
Ko SPF odpove pri podjetju, ki uporablja SaaS-orodja v Veliki Britaniji ali EU, je najpogostejši vzrok eno samo pravilo RFC, o katerem nikoli ni bilo treba razmišljati: po 10 DNS-poizvedbah SPF ne vrne »fail« — vrne PermError, kar pomeni, da se zapis obravnava, kot da ne obstaja. Vsaj 797,263 domen je to mejo že prestopilo. Še 2,119,539 jih je natanko na 9–10 poizvedbah — eno novo orodje jih loči od iste prepadi.
Zakaj SPF preneha delovati, ko dodate SaaS-orodje?
SPF deluje tako, da navaja poštne strežnike, ki so pooblaščeni za pošiljanje e-pošte v imenu vaše domene. Sodobna podjetja ne upravljajo lastnih poštnih strežnikov — uporabljajo Google Workspace za interno komunikacijo, Mailchimp za kampanje, HubSpot za prodajne sekvence, Pipedrive za CRM. Vsaka platforma vam posreduje vrstico include:, ki jo vnesete v DNS.
Težava: vsak include: je sam po sebi DNS-poizvedba. Vsak zapis znotraj tistega include pa lahko rekurzivno sproži še več poizvedb. RFC 7208 §4.6.4 določa trdo mejo desetih poizvedb. Po desetih prejemni poštni strežnik ustavi vrednotenje in vrne PermError — PermError pa ni blaga napaka, ki bi e-pošto poslala v neželeno pošto. Pomeni, da se vaš SPF-zapis obravnava kot odsoten. Preverjanje pristnosti e-pošte na SPF-veji ne uspe.
Tega ne boste videli v svojem DNS-upravljalnem vmesniku. Števec se aktivira samo med dejanskim vrednotenjem. Imate lahko tri vrstice include: v vidnem zapisu in ste vseeno dvanajst poizvedb globoko, ker ima vsak ponudnik lasten SPF-zapis z gnezdenimi include.
Koliko domen je že prestopilo mejo?
Vsaj 797,263. To je število, dobljeno potem, ko smo razrešili vsak SPF-include: cilj, naveden 100-krat ali večkrat — 10,842 različnih ciljev, ki pokrivajo 95.2% vseh include-referenc — in izračunali celotno verigo za vsako domeno. Površinski štetec (ki šteje samo vidne vrstice v zapisu) najde približno 7,958. Število z upoštevanjem polne verige je 100-krat večje, ker je skoraj vsa škoda nevidna znotraj include-ciljev.
Situacija, ki najverjetneje prizadene evropsko podjetje:
| Scenarij | Kaj se zgodi |
|---|---|
| Google Workspace + Mailchimp + HubSpot + še eno | Verjetno na 10 poizvedbah ali več |
| IONOS gostovanje + katerakoli tri SaaS-orodja | Visoko tveganje: IONOS-ov lasten SPF-cilj doda več skokov |
| OVH gostovanje + dve transakcijski orodji + CRM | Tveganje je odvisno od globine OVH SPF ob vrednotenju |
| Samo Microsoft 365 | Nizko tveganje: Microsoftov SPF je kompakten in dobro vzdrževan |
Evropski ponudniki gostovanja in šibke privzete nastavitve SPF
Ponudnik gostovanja, s katerim ste začeli, je pomemben — ker nekateri nastavljajo privzete vrednosti SPF, ki že porabijo nekaj od vaših desetih poizvedb, preden povežete katero koli SaaS-orodje.
Med največjimi ponudniki gostovanja, ki jih uporabljajo evropske domene v našem popisu:
| Ponudnik | Domen, ki ga uporablja | Strog SPF (-all) | DMARC v veljavi |
|---|---|---|---|
| IONOS (EU) | 4,346,526 | 0.3% | 1.0% |
| OVH | 2,132,049 | 43.7% | 2.2% |
| Microsoft 365 | 10,205,070 | 85.0% | 21.7% |
| Google Workspace | 12,145,313 | 8.0% | 18.5% |
IONOS izstopa: le 1.0% domen pri IONOS ima DMARC v veljavi, kar pomeni, da velika večina nima nobene smiselne preverjanja pristnosti pošiljatelja. Domene OVH so boljše pri strogem SPF (43.7%), toda padejo na 2.2% pri uveljavitvi DMARC — SPF sam po sebi, brez DMARC za povezavo z glavo From:, varuje samo ovojnico, ne pa tega, kar prejemnik vidi.
Microsoft 365 je pozitivna izjema: 85.0% Microsoftovih domen uporablja strog SPF, v glavnem ker Microsoftov čarovnik za nastavitev pošte privzeto nastavi -all. Google Workspace privzeto nastavi ~all (softfail) in tako pusti 92% svojih domen brez stroge zaščite.
Kako diagnosticirati napako SPF v manj kot 60 sekundah
Najhitrejša preveritev je brezplačno orodje, ki vrednoti celotno verigo poizvedb — ne le vidnega zapisa. Zaženite nslookup -type=TXT yourdomain.com v ukazni vrstici in preštejte vse include:, ki jih vidite. Nato poiščite vsakega od teh zapisov in preštejte njihove. Če vam zmanjka prstov, preden zmanjka include-ov, ste v nevarnem območju.
Zanesljivejši pristop: preverite svojo domeno tukaj — optični bralnik vrednoti celotno razrešeno verigo, označi PermError in pokaže, kateri mehanizmi porabljajo vaš proračun poizvedb.
Trije diagnostični izidi:
- PermError — že ste presegli deset poizvedb. Vsaka e-pošta, ki jo pošljete, ne prestane SPF-preveritve pri prejemniku.
- Na 9–10 poizvedbah — ste na robu prepadi. Naslednja SaaS-integracija vas bo prenesla čez.
- Softfail (~all) namesto hardfail (-all) — ste pod mejo, toda zapis je nastavljen preohlapno za dejansko zaščito. Oglejte si poročilo o napačni konfiguraciji SPF za celotno sliko primerjave
-allin~all.
Kako popraviti SPF, ko uporabljate več SaaS-orodij
Obstajajo trije pristopi, urejeni po trajnosti:
1. Revizija in čiščenje. Začnite s popisom vseh include: v svojem trenutnem zapisu. Odstranite vse platforme, ki jih ne uporabljate več — stara orodja ESP, CRM-orodja iz prejšnjih pogodb, platforme, ki ste jih testirali, a opustili. To je brezplačno in pogosto povrne nekaj poizvedb. Vsak odstranjen include: lahko odpravi 1–3 podpoizvedbe.
2. Sploščitev SPF-zapisa. Sploščitev SPF razreši vse include: cilje do njihovih osnovnih razponov IP in jih zapiše neposredno v zapis kot mehanizme ip4: in ip6:. Mehanizmi IP ne sprožajo poizvedb, zato sploščen zapis lahko navede desetine virov pošiljanja in ostane na nič poizvedbah. Slabost: zapis je treba znova sploščiti vsakič, ko ponudnik posodobi svoje IP-naslove za pošiljanje, kar se dogaja brez najave. Večina podjetij uporablja plačljivo storitev sploščitve SPF (PowerDMARC, EasyDMARC, Dmarcian in drugi) ali vzpostavi delovni tok spremljanja.
3. Uporaba makrov SPF. Makri RFC 7208 vam omogočajo ustvarjanje zapisov, ki izvedejo eno DNS-poizvedbo na preveritev in odgovarjajo dinamično, namesto verige include. Makri zahtevajo podporo DNS-gostovanja in nekoliko implementacijskega napora, toda so arhitekturno čista rešitev za organizacije z mnogimi SaaS-pošiljatelji.
Po odpravi SPF dopolnite z uveljavitvijo DMARC — SPF brez DMARC preverja pristnost le pošiljatelja ovojnice, ne pa naslova v glavi From:, ki ga vidijo prejemniki.
Pogosta vprašanja
Zakaj moj SPF-zapis prestane preveritev v DNS-orodju, a v glavah e-pošte vseeno ne uspe?
Večina orodij za iskanje DNS šteje le mehanizme, vidne v vašem lastnem zapisu, ne pa podpoizvedbe, ki jih ti mehanizmi sprožajo. Imate lahko dve vrstici include: in ste vseeno nad mejo, če zapis vsakega ponudnika vsebuje še nekaj. Le orodje, ki vrednoti celotno verigo (ali prejemni poštni strežnik), šteje celotno globino. Preverite svojo domeno, da vidite resnično število v verigi.
Ali napaka SPF pomeni, da moja e-pošta pristane v neželeni pošti?
PermError (preveč poizvedb) pomeni, da SPF-veja preverjanja pristnosti vrne nerezultat — dejansko odsotnost. DMARC vrednoti tako SPF kot DKIM; če DKIM uspe, DMARC lahko uspe kljub SPF PermError. Če nobeno ne uspe, DMARC ne uspe, in izid je odvisen od vaše politike DMARC. Pri p=none se e-pošta vseeno dostavi, toda napaka se zabeleži. Pri p=quarantine ali p=reject se e-pošta filtrira ali zavrne. Popravite SPF, da se ne boste zanašali le na DKIM.
Koliko poizvedb porabi tipičen sklad SaaS-orodij? p99 SPF-zapis v našem popisu je že na 9 poizvedbah — ravno pri meji — preden dodate karkoli. Zapis Google Workspace doda 3–4 poizvedbe; Mailchimp doda 1–2; HubSpot doda 1–3 odvisno od trenutne konfiguracije. Tri pogosta orodja skupaj s privzetimi nastavitvami vašega ponudnika gostovanja pogosto zadostuje za prekoračitev desetih.
Ali je sploščitev SPF varna?
Da, pod pogojem, da je redno posodobljena. Sploščitev pretvori include: verige v statične razpone IP — če ponudnik zamenja IP-naslove za pošiljanje in vi zapisa ne sploščite znova, boste začeli zavračati njihovo e-pošto. Večina organizacij uporablja upravljano storitev sploščitve, ki spremlja spremembe IP-naslovov, namesto da to počne ročno.
Moj SPF je bil takšen leta — zakaj je nenadoma pokvarjen? Ker so vaši ponudniki posodobili svoje SPF-zapise, ne vi. Vsakič, ko SaaS-platforma doda nov razpon IP-naslovov za pošiljanje ali gnezdi še en include, se strošek vaše verige poveča brez kakršnih koli sprememb z vaše strani. Meja 10 poizvedb se vrednoti v realnem času ob prejemu sporočila, zato sprememba pri ponudniku v torek zjutraj lahko pokvari vaš SPF do torkovega popoldneva.
Ali popravka SPF izboljša dostavljivost e-pošte? Odstrani vir napake pri preverjanju pristnosti, kar je predpogoj za dosledno dostavo — zlasti odkar Google in Yahoo uveljavljata uskladitev DMARC za množične pošiljatelje. SPF sam po sebi ni celotna slika: dopolnite ga z DKIM in DMARC za celotno preverjanje pristnosti e-pošte.
Brezplačna preveritev SPF
Če niste prepričani, ali vaš SPF-zapis presega mejo poizvedb — ali je nastavljen preohlapno za zaščito vaše domene — izvedite brezplačno preveritev. Vrednoti celotno razrešeno verigo in vam točno pokaže, kje se proračun porablja.
Preverite svojo domeno → · Popravite SPF → · Poročilo o SPF PermError → · Poročilo o napačni konfiguraciji SPF → · Model zrelosti uvajanja SPF → · Popravite DMARC → · Samo zbrani podatki. Podatki se hranijo in obdelujejo v EU.