Defaults.Exposed › Rapporter
Kan en domän ha två SPF-poster? Nej — en miljon domäner har just upphävt sina egna (2026)
Publicerad 2026-07-03
Siffror per 2026-06-29 · metodik v7. Aggregerad folkräkning över 261 miljoner graderade domäner. Alla siffror är aggregerade — aldrig ett enskilt företags post. Se hur vi graderar.
Nej — en domän får publicera exakt en SPF-post, och att göra fel här stänger av SPF helt: 1,013,416 domäner publicerar för närvarande två eller fler, vilket enligt RFC 7208 gör alla av en domäns SPF-poster ogiltiga. Inte den nyaste, inte den äldsta — varenda en. En mottagare som hittar flera v=spf1-poster måste returnera ett permanent fel, vilket innebär inget SPF-skydd alls, på en domän som för sin ägare ser ut att ha dubbelt så mycket skydd.
Varför blir två SPF-poster lika med noll?
Standarden är otvetydig: en domäns SPF-policy måste vara en enda TXT-post som börjar med v=spf1 (RFC 7208 §3.2; felresultatet föreskrivs i §4.5). Om en uppslagning hittar mer än en kan mottagaren inte veta vilken som är auktoritativ — så standarden förbjuder gissningar. Standardkompatibla mottagare måste returnera PermError: utvärderingen misslyckas permanent.
Och ett PermError är inte neutralt. DMARC behandlar det som ett misslyckande på SPF-benet — så en domän som duplicerade sin post har upphävt sitt skydd och handikappat autentiseringen av sin egen legitima e-post. Det är ett av mycket få DNS-misstag där man tar bort skyddet genom att lägga till skydd (att publicera två DMARC-poster gör samma sak med DMARC).
Ungefär 1 av 138 domäner som försöker med SPF har gjort detta mot sig själva.
Hur händer det? Klistra-in vid onboarding
Nästan ingen skriver en andra SPF-post med flit. Det händer den dag du lägger till ett e-postverktyg:
- Din domän har redan
v=spf1 include:spf.protection.outlook.com -allfrån din e-postleverantör. - Du registrerar dig för en nyhetsbrevsplattform, ett CRM eller ett faktureringsverktyg.
- Dess installationsguide säger: “Lägg till den här TXT-posten i din DNS:
v=spf1 include:newtool.example.com ~all.” - Du gör exakt vad den säger — du lägger till den, bredvid den gamla.
Nu finns två poster, och båda är ogiltiga. Guiden sa “lägg till”, och att lägga till är just det som standarden inte tillåter; det rätta draget — att slå samman det nya include: med den befintliga posten — nämns i nästan inga onboarding-flöden.
Felet är osynligt från DNS-panelen: båda posterna ser var för sig välformade ut, och e-post kommer oftast fortfarande fram eftersom mottagare faller tillbaka på andra signaler. Ingenting varnar dig förrän en förfalskning slår igenom eller leveransbarheten sjunker.
Så kontrollerar och åtgärdar du det — två minuter, gratis
- Slå upp din domäns TXT-poster (
dig TXT yourdomain.com, eller använd vår gratiskontroll). - Räkna posterna som börjar med
v=spf1. Det enda säkra antalet är 1. - Om du har fler: slå samman dem — varje
include:ochip4:/ip6:-mekanism i en enda post med en avslutande kvalificerare (se~allkontra-all) — och radera resten.
Före: v=spf1 include:spf.protection.outlook.com -all
v=spf1 include:servers.mcsv.net ~all
Efter: v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all
När du slår samman, håll ett öga på 10-uppslagningsgränsen — för många include:-mekanismer bryter SPF på ett annat sätt.
Vanliga frågor
Är flera SPF-poster tillåtna?
Nej. RFC 7208 tillåter exakt en v=spf1-post per domän; två eller fler orsakar ett permanent fel som upphäver SPF helt. 1,013,416 domäner befinner sig i detta tillstånd per 2026-06-29.
Åsidosätter den andra SPF-posten den första? Ingen vinner. En mottagare som hittar flera poster måste låta utvärderingen misslyckas i stället för att välja — så alla slutar fungera samtidigt.
Hur kombinerar jag två SPF-poster till en?
En post, som börjar med v=spf1, innehållande varje include: och IP-mekanism från allihop, och som slutar med ett enda -all eller ~all. Radera de extra, och verifiera sedan att antalet uppslagningar överlevde sammanslagningen.
Varför fungerar min e-post fortfarande med två SPF-poster? Mottagare som stöter på felet fortsätter oftast utan SPF, så din e-post rider på rykte och DKIM. Det du har förlorat är skydd — ingenting avvisar en förfalskare — och dina DMARC-utvärderingar förlorar sitt SPF-ben. Fungerande e-post och fungerande SPF är olika saker.
Kontrollera om din domän är en av miljonen
En 30-sekunderskoll antingen friar dig eller ger dig en tvåminuterssammanslagning.
Kontrollera din domän → · Åtgärda SPF → · SPF PermError-rapporten → · SPF-mognadsmodellen → · Endast aggregerade data. Data lagras och behandlas i EU.