Defaults.Exposed › การแก้ไข › Guides
SPF ล้มเหลวสำหรับ SaaS Tools ของคุณ? สาเหตุและลำดับการแก้ไข — Europe Edition (2026)
เผยแพร่ 2026-07-08
ตัวเลข ณ 2026-06-29 · methodology v7. ข้อมูล census รวมจากโดเมน 261 ล้านโดเมน ดู วิธีที่เราให้คะแนน
เมื่อ SaaS tool “ล้มเหลว SPF” record ของคุณมักไม่ใช่ปัญหา: อีเมลกำลังล้มเหลว DMARC alignment หรือ include chain ของคุณเกิน 10-DNS-lookup limit ของ SPF 2,119,539 จาก 138,927,207 โดเมนที่เผยแพร่ SPF อยู่ที่ 9–10 lookups — SaaS include เดียวห่างจาก cliff — ตาม census ของ Defaults.Exposed จาก 261,086,232 โดเมน
ด้านล่าง: วิธีบอกว่าคุณมีปัญหาใดในสองข้อ แล้วลำดับการแก้ไข — สแกนก่อน ค้นหาโดเมนที่ tool ส่งจริงๆ เปลี่ยน vendor ไปใช้ custom-domain DKIM และเพิ่ม SPF include เฉพาะตรงที่มีประโยชน์จริงๆ — บวกรายละเอียดสำหรับ HubSpot, Salesforce, Mailchimp และ SendGrid
ทำไมอีเมลจาก SaaS tool ถึงล้มเหลว SPF?
สาม patterns ครอบคลุมเกือบทุกกรณี:
| สิ่งที่ report หรือ bounce บอก | สิ่งที่ผิดจริงๆ | การแก้ไข |
|---|---|---|
| SPF ผ่าน DMARC ยังล้มเหลว | Alignment: tool ผ่าน SPF บน bounce domain ของตัวเอง ไม่ใช่ของคุณ | เปิดใช้งาน custom-domain DKIM ของ vendor (CNAMEs) |
SPF permerror | include chain ของคุณเกิน 10-DNS-lookup limit ของ SPF | Prune includes; ดู การแก้ไข too-many-lookups |
SPF fail / softfail | tool ส่งด้วย return-path ของคุณจริงๆ และไม่ได้อยู่ใน record ของคุณ | เพิ่ม include ของ vendor หรือเปิดใช้งาน custom bounce domain ของมัน |
ข้อมูล ณ 2026-06-29
แถวที่ตัวหนาคือที่ที่คนส่วนใหญ่ยืนอยู่ การเพิ่มบรรทัด include: สำหรับทุก tool ไม่ตอบสนองมัน — และแต่ละบรรทัดพาคุณใกล้แถวที่สองมากขึ้น: อย่างน้อย 797,263 โดเมนได้ข้าม 10-lookup limit ไปแล้ว และ SPF ของพวกเขาตอนนี้ส่งคืน PermError ที่ป้องกันอะไรไม่ได้ ตัวเลขครบใน SPF PermError report
SPF ตรวจสอบโดเมนไหนจริงๆ?
ไม่ใช่โดเมนที่อยู่ใน From header ของคุณ ผู้รับประเมิน SPF กับ Return-Path domain (RFC5321.MailFrom หรือ bounce หรือ envelope-from address) — From header ที่ผู้รับเห็นไม่มีส่วนในการตรวจสอบ SPF เองเลย
ข้อเท็จจริงเดียวนี้อธิบาย “SaaS SPF failures” ส่วนใหญ่ marketing platform ของคุณส่งด้วย Return-Path เช่น [email protected]; SPF ถูกตรวจสอบกับ vendor.com และผ่านอย่างสะอาด จากนั้น DMARC ถามว่า SPF-checked domain นั้น match กับ From domain ของคุณหรือไม่ มันไม่ match ดังนั้น SPF leg ของ DMARC ล้มเหลวและ dashboard ของคุณบอกว่า “SPF failing” การแก้ไข SPF record ของคุณเองไม่สามารถแก้ไขสิ่งนั้น — record ของคุณไม่เคยถูกปรึกษา
ลำดับการแก้ไขคืออะไร?
- รัน free scan ก่อน มันบอกคุณในรอบเดียวว่า SPF ของคุณหายไป ซ้ำซ้อน เกิน lookup limit หรือโอเค และ DMARC อยู่ที่ไหน — ก่อนที่คุณจะแตะ DNS
- ค้นหา Return-Path ที่ tool ใช้จริงๆ ส่งตัวเองทดสอบจาก tool และอ่าน Return-Path header (และ Authentication-Results) ใน raw message นั้นบอกว่าคุณอยู่แถวไหนในตารางด้านบน
- เปิดใช้งาน custom-domain DKIM ของ vendor SaaS tool จริงจังทุกรายมี “domain authentication”: CNAME records สองสามรายการที่ให้มัน DKIM-sign ในนามโดเมนของคุณ ลายเซ็นนั้น align กับ From domain ดังนั้น DMARC ผ่านผ่าน DKIM — อย่างยั่งยืน และแม้เมื่ออีเมลถูก forward นี่คือการแก้ไขที่ยั่งยืน
- เพิ่ม SPF include ของ vendor เฉพาะถ้ามันใช้ return-path ของคุณ — คุณเปิดใช้งาน custom bounce domain ของมัน หรือมันส่งด้วยโดเมนของคุณใน envelope จริงๆ include สำหรับ vendor ที่ bounce ผ่าน domain ของตัวเองไม่ได้อะไรและใช้ lookup budget ของคุณ
- นับ DNS lookups ของคุณก่อนบันทึก ขีดจำกัดคือ 10 resolved lookups, includes นับ recursive และ 2,119,539 โดเมนอยู่ที่ 9–10 แล้ว — census p99 คือ 9 ใกล้ขอบ? ลบ includes สำหรับ tools ที่ไม่ได้ใช้แล้วก่อน เพิ่งเปลี่ยน email providers? ตรวจสอบ record ที่สองที่ค้างอยู่ — SPF records สองรายการเท่ากับ PermError
- สแกนอีกครั้งและยืนยัน SPF ผ่านบนโดเมนที่ถูกต้อง DKIM aligned DMARC ผ่าน reference ครบอยู่ที่ วิธีแก้ไข SPF; provider walk-throughs เช่น SPF บน GoDaddy และ DMARC บน IONOS ครอบคลุม DNS-panel clicks
ควรทำอะไรสำหรับ HubSpot, Salesforce, Mailchimp และ SendGrid?
HubSpot เชื่อมต่อ sending domain ของคุณใน HubSpot settings และเผยแพร่ DKIM CNAMEs สองรายการที่ออกให้ (hs1-… / hs2-…) ซึ่ง align DKIM กับ From domain ของคุณ คุณไม่ต้องการ HubSpot SPF include ยกเว้นคุณกำหนด HubSpot ให้ใช้ bounce domain ของคุณเอง
Salesforce สร้าง DKIM key ใน Salesforce Setup และเผยแพร่ CNAME pair ที่มันสร้าง ถ้า Salesforce ส่งด้วย return-path ขององค์กรของคุณ เพิ่ม include:_spf.salesforce.com และกำหนด bounce domain — นี่คือ CRM ใหญ่ตัวเดียวที่ SPF include มักจำเป็นจริงๆ
Mailchimp Authenticate domain ของคุณและเผยแพร่ DKIM CNAMEs k2 / k3 Mailchimp alignment คือ DKIM เท่านั้น — ไม่มี SPF include ที่ต้องเพิ่มอีกต่อไป และการเพิ่มจาก tutorial เก่าแค่ใช้ lookups โดยเปล่าประโยชน์
SendGrid ทำ domain authentication ครบ (“automated security”): CNAMEs สามรายการที่จัดการทั้ง DKIM และ return-path บน subdomain ของคุณเอง ไม่ต้องการ SPF include จากโดเมน 740,321 ที่มี SPF อนุญาต sendgrid.net มีเพียง 18.0% ที่มี DMARC ที่บังคับใช้ (ข้อมูล ณ 2026-06-29) — ผู้ส่ง SendGrid ส่วนใหญ่หยุดหนึ่งขั้นก่อน
Zendesk และทุกอย่างอื่น: รูปแบบเดียวกัน ค้นหาหน้า “domain authentication” ของ tool เผยแพร่ DKIM CNAMEs ของมัน และแตะ SPF เฉพาะถ้า tool ระบุว่าใช้ return-path ของคุณ
SPF ต่างสำหรับธุรกิจยุโรปหรือไม่?
ไม่ — SPF, DKIM และ DMARC ทำงานเหมือนกันทุกที่ สิ่งที่ต่างในยุโรปคือ context: ใครถาม และเพื่อนบ้านของคุณทำอะไรไปแล้ว
ccTLD ของคุณกำหนดมาตรฐานท้องถิ่น European ccTLDs เผยแพร่ SPF สูงกว่าอัตรา .com แต่โดเมนที่ทำงานสำเร็จ — นโยบาย DMARC ที่บังคับใช้บนนั้น — เป็นส่วนน้อยทุกที่:
| TLD | การนำ SPF มาใช้ (จากโดเมนที่ผ่านการให้คะแนน) | DMARC ที่บังคับใช้ (จากโดเมนที่ผ่านการให้คะแนน) |
|---|---|---|
| .nl | 75.91% | 29.43% |
| .ie | 70.89% | 8.79% |
| .de | 64.67% | 21.38% |
| .dk | 50.42% | 19.88% |
| .com | 54.14% | 9.50% |
ข้อมูล ณ 2026-06-29 France: 13.65% DMARC ที่บังคับใช้; Italy: 5.24%
ค่า default ของ European host ของคุณสำคัญ 4,346,526 โดเมนอนุญาต mail servers EU ของ IONOS (_spf-eu.ionos.com) ใน SPF — และมีเพียง 0.3% ที่สิ้นสุดด้วย strict -all พร้อม 1.0% DMARC ที่บังคับใช้ OVH ของ 2,132,049 ทำได้ดีกว่าในด้านความเข้มงวด (43.7%) แต่มีเพียง 2.2% ที่บังคับใช้ DMARC (ข้อมูล ณ 2026-06-29) ถ้าคุณไม่เคยแตะ record ของคุณ คุณยืนอยู่บน defaults เหล่านั้น
หน่วยงานกำกับดูแลตอนนี้ระบุสิ่งนี้ NIS2 Article 21(2)(j) กำหนดให้หน่วยงานใน scope ต้องรักษาความปลอดภัยการสื่อสาร และ Commission Implementing Regulation (EU) 2024/2690 ระบุมาตรการ email- และ DNS-security การยืนยันตัวตนอีเมลคือส่วนที่เป็นรูปธรรม ตรวจสอบได้ — และผิดปกติสำหรับ compliance ฟรีที่จะแก้ไข
เรื่อง data residency: Defaults.Exposed scanner และ census รันใน AWS eu-west-1 เราเผยแพร่เฉพาะตัวเลขรวม และการสแกนตรวจสอบเฉพาะโดเมนที่คุณถาม
คำถามที่พบบ่อย
SPF checker ของฉันบอกว่า “pass” แต่ dashboard ของ tool บอกว่า SPF กำลังล้มเหลว — ทำไม? checker ทดสอบ record ของคุณ ผู้รับทดสอบ Return-Path domain ที่ tool ใช้จริง แล้ว DMARC เปรียบเทียบกับ From domain ของคุณ นั่นคือ alignment failure ไม่ใช่ record failure — แก้ไขด้วย custom-domain DKIM ของ vendor ไม่ใช่การแก้ไข SPF
ฉันควรเพิ่ม SPF include สำหรับทุก tool ที่เราใช้หรือไม่? ไม่ แต่ละ include ใช้ส่วนหนึ่งของ 10-lookup budget ของ SPF แบบ recursive: 2,119,539 จาก 138,927,207 โดเมนที่เผยแพร่ SPF อยู่ที่ 9–10 lookups และอย่างน้อย 797,263 เกินแล้ว — SPF ของพวกเขาส่งคืน PermError และป้องกันอะไรไม่ได้ (ข้อมูล ณ 2026-06-29)
include แก้ไข DMARC ด้วยหรือไม่? เฉพาะถ้า tool ส่งด้วย return-path ของคุณ ดังนั้น SPF ผ่าน และ align สำหรับ SaaS tools ส่วนใหญ่ไม่ — นั่นคือเหตุผลที่ DKIM แบบ aligned ไม่ใช่ SPF คือ leg ที่ทำให้ DMARC ผ่านสำหรับ SaaS mail
นี่เป็นข้อกำหนดทางกฎหมายใน EU หรือไม่? สำหรับหน่วยงานใน NIS2 scope Article 21(2)(j) และ Implementing Regulation (EU) 2024/2690 ทำให้ความปลอดภัยอีเมลเป็นภาระผูกพัน แม้นอก scope บริษัทประกันและ customer questionnaires ถามมากขึ้น — และณ 2026-06-29 ไม่มี EU ccTLD ที่ได้แม้หนึ่งในสามของโดเมนไปสู่นโยบาย DMARC ที่บังคับใช้ (29.43% ใน .nl ดีที่สุด; 5.24% ใน .it)
ส่ง report ให้เจ้าของ
เมื่อ CNAMEs ไปถึงแล้ว รัน scan อีกครั้งและส่ง graded report ให้เจ้าของธุรกิจหรือลูกค้า มันแสดงในภาษาธรรมดาว่าอะไรที่กำลังล้มเหลว สิ่งที่คุณแก้ไข และที่โดเมนอยู่ตอนนี้ — หลักฐานที่พวกเขาต้องการสำหรับการต่ออายุประกันหรือ customer security questionnaire เป็นลายลักษณ์อักษรแทนที่จะเป็นคำพูดของคุณ
ตรวจสอบโดเมนของคุณฟรี
ดูว่าขาไหนของ SPF, DKIM และ DMARC กำลังล้มเหลว — แบบส่วนตัวและเจ้าของเท่านั้น
ตรวจสอบโดเมนของคุณ → · แก้ไข SPF → · SPF PermError: “too many DNS lookups” → · วิธีที่เราให้คะแนน → · ข้อมูลรวมเท่านั้น ข้อมูลจัดเก็บและประมวลผลใน EU