Defaults.Exposed › Izveštaji
Zašto mi SPF ne radi? Problem 10 DNS pretraga za SaaS korisnike u Velikoj Britaniji i EU (2026)
Objavljeno 2026-07-09
Podaci zaključno sa 2026-06-29 · metodologija v7. Zbirni podaci popisa za 261 miliona ocenjenih domena. Pogledajte kako ocenjujemo.
Kada SPF zakaže kod preduzeća koje koristi SaaS alate u Velikoj Britaniji ili EU, najvjerovatniji uzrok je jedno RFC pravilo o kome nikada niste morali da razmišljate: posle 10 DNS pretraga, SPF ne vraća „fail” — vraća PermError, što znači da se zapis tretira kao da ne postoji. Najmanje 797,263 domena je već prešlo tu granicu. Još 2,119,539 se nalazi tačno na 9–10 pretraga — jedan novi alat deli ih od iste provalije.
Zašto SPF prestaje da radi kada dodate SaaS alat?
SPF funkcioniše tako što navodi mejl servere ovlašćene da šalju mejlove u ime vašeg domena. Moderna preduzeća ne koriste sopstvene mejl servere — koriste Google Workspace za internu komunikaciju, Mailchimp za kampanje, HubSpot za prodajne sekvence, Pipedrive za CRM. Svaka platforma vam daje include: liniju za unos u DNS.
Problem: svaki include: je sam po sebi DNS pretraga. A svaki zapis unutar tog include može rekurzivno pokrenuti još pretraga. RFC 7208 §4.6.4 postavlja čvrstu granicu od deset pretraga. Posle deset, server za primanje mejlova prestaje s evaluacijom i vraća PermError — a PermError nije blagi neuspeh koji mejlove šalje u spam. To znači da se vaš SPF zapis tretira kao da ne postoji. Autentifikacija mejla na SPF grani ne uspeva.
Ovo nećete videti u vašem DNS panelu. Brojač se aktivira samo tokom žive evaluacije. Možete imati tri include: linije u vidljivom zapisu i biti dvanaest pretraga duboko, jer svaki provajder ima sopstveni SPF zapis sa ugniježđenim include linijama.
Koliko domena je već prešlo granicu?
Najmanje 797,263. To je broj dobijen nakon što smo razrešili svaki SPF include: cilj naveden 100 ili više puta — 10,842 različitih ciljeva koji pokrivaju 95.2% svih include referenci — i izračunali puni lanac za svaki domen. Površinski broj (koji broji samo vidljive linije u zapisu) pronalazi otprilike 7,958. Broj uz puno računanje lanca je 100 puta veći, jer je skoro sva šteta nevidljiva unutar include ciljeva.
Situacija koja najčešće pogađa evropska preduzeća:
| Scenario | Šta se dešava |
|---|---|
| Google Workspace + Mailchimp + HubSpot + još jedan | Verovatno na 10 pretraga ili više |
| IONOS hosting + bilo koja tri SaaS alata | Visok rizik: IONOS-ov sopstveni SPF cilj dodaje više pretraga |
| OVH hosting + dva transakciona alata + CRM | Rizik zavisi od dubine OVH SPF u momentu evaluacije |
| Samo Microsoft 365 | Nizak rizik: Microsoftov SPF je kompaktan i dobro održavan |
Evropski hosting provajderi i slabi podrazumevani SPF
Hosting provajder s kojim ste počeli je bitan — jer neki postavljaju podrazumevane SPF vrednosti koje već troše nekoliko od vaših deset pretraga pre nego što povežete jedan SaaS alat.
Među najvećim hosting provajderima koje koriste evropski domeni u našem popisu:
| Provajder | Domena koja ga koriste | Strogi SPF (-all) | DMARC na snazi |
|---|---|---|---|
| IONOS (EU) | 4,346,526 | 0.3% | 1.0% |
| OVH | 2,132,049 | 43.7% | 2.2% |
| Microsoft 365 | 10,205,070 | 85.0% | 21.7% |
| Google Workspace | 12,145,313 | 8.0% | 18.5% |
IONOS se ističe: samo 1.0% domena na IONOS-u ima DMARC na snazi, što znači da ogromna većina nema nikakvu smislenu autentifikaciju pošiljaoca. OVH domeni bolje stoje na strogom SPF (43.7%), ali padaju na 2.2% za DMARC primenu — SPF sam po sebi, bez DMARC-a koji ga vezuje za From: zaglavlje, štiti samo koverat, ne i ono što primalac vidi.
Microsoft 365 je izuzetak u pozitivnom smislu: 85.0% Microsoftovih domena koristi strogi SPF, uglavnom zato što Microsoftov čarobnjak za podešavanje pošte postavlja -all podrazumevano. Google Workspace podrazumevano postavlja ~all (softfail), ostavljajući 92% njegovih domena bez stroge zaštite.
Kako dijagnostikovati SPF grešku za manje od 60 sekundi
Najbrža provera je besplatan alat koji evaluira puni lanac pretraga — ne samo vidljivi zapis. Pokrenite nslookup -type=TXT yourdomain.com u komandnoj liniji i prebrojite sve include: koje vidite. Zatim potražite svaki od tih zapisa i prebrojite njihove. Ako vam ponestane prstiju pre nego što vam ponestane include linija, nalazite se u opasnoj zoni.
Pouzdaniji pristup: proverite vaš domen ovde — skener evaluira puni razrešeni lanac, označava PermError i pokazuje koji mehanizmi troše vaš budžet pretraga.
Tri dijagnostička ishoda:
- PermError — već ste prešli deset pretraga. Svaki mejl koji pošaljete ne prolazi SPF proveru kod primaoca.
- Na 9–10 pretraga — nalazite se na ivici provalije. Sledeća SaaS integracija će vas prebaciti.
- Softfail (~all) umesto hardfail (-all) — ispod ste granice, ali je zapis postavljen previše popustljivo da bi pružio stvarnu zaštitu. Pogledajte izveštaj o SPF pogrešnoj konfiguraciji za celu sliku o
-alli~all.
Kako popraviti SPF kada koristite više SaaS alata
Postoje tri pristupa, redom trajnosti:
1. Revizija i čišćenje. Počnite navođenjem svih include: u vašem trenutnom zapisu. Uklonite sve platforme koje više ne koristite — stare ESP alate, CRM alate iz prethodnih ugovora, platforme koje ste testirali ali napustili. Ovo je besplatno i često vraća nekoliko pretraga. Svaki uklonjeni include: može eliminisati 1–3 podpretrage.
2. Ravnanje SPF zapisa. SPF ravnanje razrešava sve include: ciljeve do njihovih osnovnih IP opsega i upisuje ih direktno u zapis kao ip4: i ip6: mehanizme. IP mehanizmi ne pokreću pretrage, tako da izravnat zapis može navesti desetine izvora slanja i ostati na nula pretraga. Mana: morate ponovo ravnati kad god provajder ažurira IP adrese za slanje, što se dešava bez najave. Većina preduzeća koristi plaćeni servis za SPF ravnanje (PowerDMARC, EasyDMARC, Dmarcian i drugi) ili gradi tok praćenja.
3. Korišćenje SPF makroa. RFC 7208 makroi vam omogućavaju da napravite zapise koji izvršavaju jednu DNS pretragu po proveri i odgovaraju dinamički, umesto lanca include linija. Makroi zahtevaju podršku DNS hostinga i nešto implementacionog truda, ali su arhitekturno čisto rešenje za organizacije s mnogo SaaS pošiljalaca.
Nakon popravke SPF-a, upotpunite je primenom DMARC-a — SPF bez DMARC-a autentifikuje samo pošiljaoca koverta, ne i From: adresu zaglavlja koju primaoci vide.
Česta pitanja
Zašto moj SPF zapis prolazi u DNS alatu ali i dalje ne uspeva u zaglavljima mejlova?
Većina DNS alata za pretragu broji samo mehanizme vidljive u vašem sopstvenom zapisu, ne i podpretrage koje ti mehanizmi pokreću. Možete imati dve include: linije i ipak biti iznad granice ako zapis svakog provajdera sadrži još nekoliko. Samo alat koji vrednuje puni lanac (ili server za primanje mejlova) broji punu dubinu. Proverite vaš domen da vidite pravi broj u lancu.
Da li SPF greška znači da moji mejlovi idu u spam?
PermError (previše pretraga) znači da SPF grana autentifikacije vraća neresultat — efektivno odsustvo zapisa. DMARC evaluira i SPF i DKIM; ako DKIM prođe, DMARC može proći uprkos SPF PermError. Ako ni jedno ne prođe, DMARC ne uspeva, a ishod zavisi od vaše DMARC politike. Na p=none, mejl se i dalje isporučuje ali se greška beleži. Na p=quarantine ili p=reject, mejl se filtrira ili odbija. Popravite SPF da se ne biste oslanjali samo na DKIM.
Koliko pretraga koristi tipičan SaaS stek? p99 SPF zapis u našem popisu već se nalazi na 9 pretraga — tačno na granici — pre nego što dodate bilo šta. Google Workspace zapis dodaje 3–4 pretrage; Mailchimp dodaje 1–2; HubSpot dodaje 1–3 zavisno od trenutne konfiguracije. Tri mainstream alata plus podrazumevane postavke vašeg hosting provajdera često su dovoljni da se pređe deset.
Da li je SPF ravnanje bezbedno?
Da, pod uslovom da se redovno ažurira. Ravnanje pretvara include: lance u statičke IP opsege — ako provajder rotira IP adrese za slanje a vi ne poravnate zapis ponovo, počećete odbijati njihove mejlove. Većina organizacija koristi upravljani servis ravnanja koji prati promene IP adresa umesto da to rade ručno.
Moj SPF je bio ovako godinama — zašto sada odjednom ne radi? Jer su vaši provajderi ažurirali svoje SPF zapise, ne vi. Svaki put kada SaaS platforma doda novi opseg IP adresa za slanje ili ugnjezdi još jedan include, trošak vašeg lanca raste bez ikakve promene s vaše strane. Granica od 10 pretraga se evaluira u realnom vremenu pri prijemu poruke, tako da promena kod provajdera utorkom ujutru može pokvariti vaš SPF do utorka popodne.
Da li popravka SPF-a poboljšava isporuku mejlova? Uklanja izvor greške autentifikacije, što je preduslov za konzistentnu isporuku — posebno pošto Google i Yahoo sada zahtevaju DMARC usklađenost za masovne pošiljaoce. SPF sam po sebi nije cela slika: upotpunite ga DKIM i DMARC za potpunu autentifikaciju mejlova.
Besplatna SPF provera
Ako niste sigurni da li je vaš SPF zapis iznad granice pretraga — ili je postavljen preblago da zaštiti vaš domen — pokrenite besplatnu proveru. Evaluira puni razrešeni lanac i pokazuje vam tačno gde se troši budžet.
Proverite vaš domen → · Popravite SPF → · Izveštaj o SPF PermError → · Izveštaj o SPF pogrešnoj konfiguraciji → · Model zrelosti usvajanja SPF-a → · Popravite DMARC → · Samo zbirni podaci. Podaci se čuvaju i obrađuju u EU.