Defaults.Exposed › Poročila
Poročilo o SPF PermError: 100× več domen krši omejitev 10 poizvedb, kot kažejo površinski izračuni (2026)
Objavljeno 2026-07-03
Podatki na dan 2026-06-29 · metodologija v7, plus prehod cenitve verig, izveden 2026-07-03. Iz popisa 261 milijonov ocenjenih domen smo razrešili vsak cilj SPF
include:, na katerega se sklicuje 100-krat ali večkrat — 10,842 ciljev, ki pokrivajo 95.2 % vseh sklicevanj include — in ceno vsake ohranjene verige domene ovrednotili glede na to karto. Nerazrešeni repni cilji so šteli kot nič, vsebine verig pa odražajo dan razrešitve, zato je naslovna številka konservativen, k spodnji meji nagnjen približek: pravimo »vsaj«. Samo agregat; nikoli zapis posameznega podjetja. Glejte kako ocenjujemo.
Koliko domen krši omejitev SPF na 10 poizvedb?
Vsaj 797,263 — ker ima SPF v standard vgrajen samouničevalni mehanizem, sprožilec pa se skriva tam, kjer ga lastniki ne morejo videti. RFC 7208 §4.6.4 omejuje preverjanje SPF na 10 poizvedb DNS; po deseti se prejemnik ustavi in vrne PermError, zapis s PermError pa ne ščiti ničesar. Če štejete le poizvedbe, vidne v samem zapisu — kot počne večina orodij in kot je do tega poročila počel tudi naš popis — najdete okoli 8.000 kršiteljev (natančno 7,958). Ocenite ceno verig include:, ki jih ti zapisi dejansko potegnejo vase, in številka doseže 797,263: približno 100-krat več.
Zakaj lastniki tega ne morejo predvideti?
Ker proračun porabljajo zapisi drugih ljudi. include:onetool.example.com se v vaši nadzorni plošči DNS bere kot ena vrstica — a prejemnik mora prenesti tudi ta zapis in prešteti vsak mehanizem poizvedbe, ki ga ta vsebuje, rekurzivno. Zapis s tremi vključitvami lahko stane enajst. Na dan, ko ste presegli mejo, se v vaši lastni coni ni nič spremenilo; ponudnik je ugnezdil še eno vključitev in vaš SPF je brez opozorila odmrl.
Še huje, DMARC obravnava PermError kot neuspeh na strani SPF — tako da domena, ki si je na ta način pokvarila SPF, zdaj pade na polovici lastne avtentikacije.
Kaj je pokazala cenitev verig
| Ugotovitev | Domene |
|---|---|
| Presegajo omejitev 10 poizvedb, verige cenjene | 797,263 |
| Presegajo omejitev, če štejemo le vidne mehanizme | 7,958 |
Presegajo omejitev in se hkrati končajo s strogim -all | 112,215 |
| Točno pri 9–10 poizvedbah — na robu prepada | 2,119,539 |
Dve zgodbi v tej tabeli — tretja, rob prepada, dobi svoj razdelek spodaj:
- Površinski izračuni zgrešijo ~99 % okvare. Štetje vidnih mehanizmov najde 7,958; cenitev verig najde 797,263. Skoraj vsa škoda je podedovana iz tega, kar vključitve vključujejo.
- 112,215 pokvarjenih zapisov se konča z
-all. Njihovi lastniki so naredili vse prav — splezali na zid, izbrali strogi zaključek — in ena vključitev preveč je razveljavila vse. Videti strog in biti pokvarjen je najbolj krut način odpovedi v varnosti e-pošte.
2.1 milijona domen je le eno orodje oddaljenih od prepada
Številka, ki bi morala skrbeti bralce, ki so trenutno v redu: 2,119,539 domen se razreši na točno 9 ali 10 poizvedb — danes pod omejitvijo, mrtve na dan, ko nekdo poveže še eno platformo. To je približno 1 od 66 vseh objaviteljev SPF in se ujema z obliko porazdelitve: 99. percentilni zapis SPF že zdaj sedi pri 9 poizvedbah. Prijavite se na še eno marketinško orodje, prilepite njegovo vrstico »samo dodajte to vključitev«, in zapis, ki je bil ob zajtrku pod omejitvijo, je do kosila razveljavljen.
Čigava krivda je to? Vse bolj krivda samega sklada
Največji ponudniki so tiho sploščili svoj SPF — Googlov _spf.google.com in Microsoftov spf.protection.outlook.com se zdaj razširita v navadne sezname IP-jev, ki ne stanejo nobene notranje poizvedbe (oba smo med to analizo preverili proti živemu DNS). Razpoke prihajajo od drugod: verige gostiteljskih nadzornih plošč, ki se ugnezdijo tri nivoje globoko, regionalni ponudniki, katerih vključitev sama stane 7–10 poizvedb, in pošteno kopičenje SaaS — poštni predal plus glasilo plus CRM plus služba za pomoč, vsak »samo ena vključitev«. Skoraj nihče ne doda enajste poizvedbe namenoma. Ta pride kot vsota razumnih odločitev.
Kako preveriti in popraviti svojega — brezplačno
- Preštejte svojo dejansko vsoto — naše brezplačno preverjanje razreši vašo verigo, ali pa uporabite katero koli orodje za štetje poizvedb SPF.
- Odstranite mrtvo breme: orodja, ki jih ne uporabljate več, podvojene vključitve in zastareli mehanizem
ptr. - Sploščite le tisto, kar nadzorujete. Zamenjava globoke vključitve z njenimi bloki IP deluje za vašo lastno infrastrukturo; IP-ji tretjih oseb se spremenijo brez obvestila.
- Množičnim pošiljateljem dodelite poddomeno. Glasila z
news.yourdomain.comdobijo svoj zapis in svoj proračun 10 poizvedb.
Pogosto zastavljena vprašanja
Kaj je omejitev SPF na 10 poizvedb DNS?
RFC 7208 §4.6.4 dovoljuje največ 10 poizvedb DNS za ovrednotenje enega zapisa SPF — pri čemer se štejejo poizvedbe znotraj vsake include: rekurzivno. Prekoračitev vrne PermError: zapis se obravnava kot neveljaven in ne nudi nobene zaščite.
Kaj pomeni SPF PermError? Trajna napaka pri vrednotenju — prejemnik ni mogel obdelati vašega zapisa (preveč poizvedb, več zapisov ali pokvarjena sintaksa) in obravnava vašo domeno, kot da nima uporabnega SPF. DMARC to šteje kot neuspeh na strani SPF.
Koliko domen presega omejitev poizvedb SPF? Vsaj 797,263 od 139 milijonov objaviteljev SPF, glede na naš prehod cenitve verig — približno 100× več od 7,958, vidnih brez razrešitve verig. Nadaljnjih 2,119,539 jih sedi pri 9–10 poizvedbah, eno vključitev od omejitve.
Ali PermError ustavi dostavo moje e-pošte? Običajno ne — prejemniki nadaljujejo brez SPF, vaša pošta pa jaha na DKIM in ugledu. Preneha delovati zaščita: ponarejevalci niso več zavrnjeni, vsako preverjanje DMARC vaše pošte pa izgubi svojo stran SPF. Nevidno je, dokler ni drago.
Kako zmanjšam število poizvedb SPF?
Odstranite neuporabljene vključitve in ptr, sploščite svojo lastno infrastrukturo na ip4:/ip6:, premaknite množične pošiljatelje na poddomene in ponovno preštejte po vsakem novem orodju. Vodnik za popravilo vas vodi skozi to.
Ugotovite svojo dejansko številko
Mehanizmi, ki jih vidite, niso vaše število poizvedb — razrešena številka je tista, ki jo izračunajo prejemniki, in je 30-sekundno preverjanje.
Preverite svojo domeno → · Popravite SPF → · Model zrelosti SPF → · Dva zapisa SPF = noben → · Past ptr → · Samo agregatni podatki. Podatki shranjeni in obdelani v EU.