Defaults.Exposed

Defaults.ExposedDüzeltmelerGuides

SaaS Araçlarınız için SPF mi Başarısız Oluyor? Neden Olduğu ve Düzeltme Sırası — Avrupa Sürümü (2026)

Yayımlanma 2026-07-08

Veriler: 2026-06-29 itibarıyla · metodoloji v7. 261 milyon derecelendirilmiş alan adı üzerinde toplam sayım verileri. Bkz. nasıl derecelendiriyoruz.

Bir SaaS aracı “SPF başarısız” olduğunda, kaydınız genellikle sorun değildir: posta DMARC hizalamasında başarısız oluyor ya da include zinciriniz SPF”nin 10 DNS sorgusu sınırını aşmış. 138,927,207 SPF yayımlayan alan adının 2,119,539 tanesi 9-10 sorguda oturuyor — Defaults.Exposed”ın 261,086,232 alan adı sayımına göre uçurumdan bir SaaS include uzakta.

Aşağıda: iki sorundan hangisine sahip olduğunuzu nasıl anlayacağınız, ardından düzeltme sırası — önce tarayın, aracın gerçekten hangi alandan gönderdiğini bulun, satıcıyı özel alan adı DKIM”ine geçirin ve yalnızca gerçekten yardımcı olduğu yerde bir SPF include ekleyin — artı HubSpot, Salesforce, Mailchimp ve SendGrid için ayrıntılar.

Bir SaaS aracından gelen posta neden SPF”de başarısız olur?

Hemen her vakayı üç örüntü kapsar:

Rapor veya geri dönüş ne diyorGerçekte ne yanlışDüzeltme
SPF geçiyor, DMARC yine de başarısızHizalama: araç SPF”yi kendi geri dönüş alanında geçirdi, sizinkinde değilSatıcının özel alan adı DKIM”ini açın (CNAME”ler)
SPF permerrorInclude zinciriniz SPF”nin 10 DNS sorgusu sınırını aşıyorInclude”ları temizleyin; bkz. çok fazla sorgu düzeltmesi
SPF fail / softfailAraç gerçekten return-path”inizle gönderiyor ve kaydınızda değilSatıcının include”unu ekleyin veya özel geri dönüş alanını etkinleştirin

Veriler: 2026-06-29 itibarıyla.

Kalın yazılan satır çoğu kişinin bulunduğu yerdir. Her araç için include: satırları eklemek buna dokunmaz — ve her satır sizi ikinci satıra yaklaştırır: en az 797,263 alan adı zaten 10 sorgu sınırını aştı ve SPF”leri artık hiçbir şeyi korumayan bir PermError döndürüyor. Tam sayılar için bkz. SPF PermError raporu.

SPF aslında hangi alan adını kontrol eder?

From başlığınızdaki değil. Alıcılar SPF”yi Return-Path alanına (RFC5321.MailFrom, geri dönüş veya zarf-from adresi olarak da bilinir) karşı değerlendirir — alıcının gördüğü From başlığının SPF denetiminde bir rolü yoktur.

Bu tek gerçek çoğu “SaaS SPF başarısızlığını” açıklar. Pazarlama platformunuz [email protected] gibi bir Return-Path ile gönderir; SPF vendor.com”a karşı kontrol edilir ve temiz geçer. Ardından DMARC, SPF”nin kontrol ettiği alanın From alanınızla eşleşip eşleşmediğini sorar. Eşleşmez, dolayısıyla DMARC”ın SPF ayağı başarısız olur ve panonuz “SPF başarısız oluyor” der. Kendi SPF kaydınızı düzenlemek bunu düzeltemez — kaydınız hiçbir zaman danışılmadı.

Düzeltme sırası nedir?

  1. Önce ücretsiz taramayı çalıştırın. Tek geçişte SPF”nizin eksik, yinelenen, sorgu sınırını aşan veya sorunsuz olup olmadığını ve DMARC”ın nerede durduğunu söyler — DNS”e dokunmadan önce.
  2. Aracın gerçekte kullandığı Return-Path”i bulun. Araçtan kendinize bir test gönderin ve ham mesajda Return-Path başlığını (ve Authentication-Results”ı) okuyun. Bu, yukarıdaki tablonun hangi satırında olduğunuzu söyler.
  3. Satıcının özel alan adı DKIM”ini açın. Her ciddi SaaS aracı “alan adı kimlik doğrulaması” sunar: birkaç CNAME kaydı, alan adınız olarak DKIM imzalamasına izin verir. Bu imza From alanınızla hizalanır, dolayısıyla DMARC DKIM aracılığıyla geçer — kalıcı olarak ve posta iletildiğinde bile. Bu kalıcı olan düzeltmedir.
  4. Satıcının SPF include”unu yalnızca return-path”inizi kullanıyorsa ekleyin — özel geri dönüş alanını etkinleştirdiniz ya da gerçekten zarfta alan adınızla gönderiyor. Kendi geri dönüş alanından geri dönen bir satıcı için include hiçbir şey sağlamaz ve sorgu bütçenizi harcar.
  5. Kaydetmeden önce DNS sorgularınızı sayın. Sınır 10 çözümlenmiş sorgudur, include”lar yinelemeli sayılır ve 2,119,539 alan adı zaten 9-10”da oturuyor — sayımın p99”u 9. Sınıra yakın mısınız? Önce artık kullanmadığınız araçların include”larını kaldırın. Yeni bir e-posta sağlayıcısına mı geçtiniz? Geriye kalan ikinci bir kayıt olup olmadığını kontrol edin — sağlayıcı değiştirdikten sonra SPF bozuldu.
  6. Yeniden tarayın ve doğrulayın. Doğru alanda SPF geçişi, hizalanmış DKIM, geçen DMARC. Tam referans SPF nasıl düzeltilir sayfasında; GoDaddy”de SPF ve IONOS”ta DMARC gibi sağlayıcı yönergeleri DNS panel tıklamalarını kapsar.

HubSpot, Salesforce, Mailchimp ve SendGrid için ne yapmalısınız?

HubSpot. Gönderme alanınızı HubSpot ayarlarında bağlayın ve verdiği iki DKIM CNAME”ini yayınlayın (hs1-… / hs2-…). Bu DKIM”i From alanınızla hizalar. HubSpot”u kendi geri dönüş alanınızı kullanacak şekilde yapılandırmadığınız sürece HubSpot SPF include”una ihtiyacınız yoktur.

Salesforce. Salesforce Kurulumu”nda bir DKIM anahtarı oluşturun ve oluşturduğu CNAME çiftini yayınlayın. Salesforce kuruluşunuzun return-path”iyle gönderiyorsa include:_spf.salesforce.com”u ekleyin ve geri dönüş alanını yapılandırın — bu, SPF include”unun genellikle gerçekten gerekli olduğu tek büyük CRM”dir.

Mailchimp. Alan adınızı kimlik doğrulayın ve k2 / k3 DKIM CNAME”lerini yayınlayın. Mailchimp hizalaması yalnızca DKIM”dir — artık eklenecek SPF include yoktur ve eski bir öğreticiden eklenen bir include yalnızca sorguları boşa harcar.

SendGrid. Alan adı kimlik doğrulamasını (“otomatik güvenlik”) tamamlayın: hem DKIM hem de return-path”i kendi alt alan adınızda işleyen üç CNAME. SPF include”una gerek yoktur. sendgrid.net”i yetkilendiren 740,321 alan adından yalnızca %18.0 uygulayıcı DMARC”a sahip (veriler: 2026-06-29 itibarıyla) — çoğu SendGrid gönderici bir adım eksik kalmaktadır.

Zendesk ve diğerleri: aynı örüntü. Aracın “alan adı kimlik doğrulaması” sayfasını bulun, DKIM CNAME”lerini yayınlayın ve yalnızca araç return-path”inizi kullandığını belgeliyorsa SPF”ye dokunun.

Avrupa işletmeleri için SPF farklı mı?

Hayır — SPF, DKIM ve DMARC her yerde aynı şekilde çalışır. Avrupa”da farklı olan bağlamdır: kimin sorduğu ve komşularınızın ne yaptığı.

ccTLD”niz yerel çıtayı belirler. Avrupa ccTLD”leri SPF”yi .com oranlarının oldukça üzerinde yayınlıyor, ancak işi bitiren alan adları — üstünde zorlayıcı bir DMARC politikasıyla — her yerde azınlıktadır:

TLDSPF benimsemesi (derecelendirilen alan adlarının)Zorlayıcı DMARC (derecelendirilen alan adlarının)
.nl%75.91%29.43
.ie%70.89%8.79
.de%64.67%21.38
.dk%50.42%19.88
.com%54.14%9.50

Veriler: 2026-06-29 itibarıyla. Fransa: %13.65 zorlayıcı DMARC; İtalya: %5.24.

Avrupalı hostunuzun varsayılanı önemlidir. 4,346,526 alan adı, IONOS”un AB posta sunucularını (_spf-eu.ionos.com) SPF”de yetkilendiriyor — ve yalnızca %0.3 katı -all ile bitiyor, %1.0 DMARC uygulayıcısıyla. OVH”nin 2,132,049 alan adı katılık konusunda daha iyi (%43.7) ama yalnızca %2.2 DMARC uyguluyor (veriler: 2026-06-29 itibarıyla). Kaydınıza hiç dokunmadıysanız bu varsayılanlar üzerinde duruyorsunuz.

Düzenleyiciler artık bunu açıkça belirtiyor. NIS2 Madde 21(2)(j), kapsam dahilindeki kuruluşların iletişimlerini güvence altına almasını gerektiriyor; Komisyon Uygulama Yönetmeliği (AB) 2024/2690 ise e-posta ve DNS güvenlik önlemlerini açıkça yazıyor. E-posta kimlik doğrulaması, somut ve kontrol edilebilir parçadır — ve alışılmadık biçimde uyumluluk için ücretsizdir.

Veri yerleşimi hakkında: Defaults.Exposed tarayıcısı ve sayımı AWS eu-west-1”de çalışır, yalnızca toplam rakamlar yayınlarız ve bir tarama yalnızca sorduğunuz alan adını kontrol eder.

Sık sorulan sorular

SPF denetleyicim “pass” diyor ama aracın panosu SPF”nin başarısız olduğunu gösteriyor — neden? Denetleyici kaydınızı test etti; alıcı aracın gerçekte kullandığı Return-Path alanını test etti, ardından DMARC bunu From alanınızla karşılaştırdı. Bu, kayıt hatası değil hizalama hatasıdır — SPF düzenlemesiyle değil, satıcının özel alan adı DKIM”iyle düzeltilir.

Kullandığımız her araç için SPF include eklemeli miyim? Hayır. Her include, SPF”nin 10 sorguluk bütçesinden pay alır ve yinelemeli sayılır: 138,927,207 SPF yayımlayan alan adının 2,119,539 tanesi 9-10 sorguda oturuyor ve en az 797,263 tanesi aşıldı — SPF”leri PermError döndürüyor ve hiçbir şeyi korumuyoru (veriler: 2026-06-29 itibarıyla).

Include DMARC”ı da düzeltir mi? Yalnızca araç return-path”inizle gönderiyorsa, dolayısıyla SPF hem geçer hem de hizalanır. Çoğu SaaS aracı için geçerli değildir — bu nedenle SPF değil hizalanmış DKIM, SaaS postası için DMARC”ı geçiren ayaktır.

AB”de bu yasal bir zorunluluk mu? NIS2 kapsamındaki kuruluşlar için Madde 21(2)(j) ve Uygulama Yönetmeliği (AB) 2024/2690 e-posta güvenliğini bir yükümlülük haline getiriyor. Kapsam dışında bile sigortacılar ve müşteri anketleri bunu giderek daha fazla soruyor — ve 2026-06-29 itibarıyla hiçbir AB ccTLD alan adlarının üçte birini bile zorlayıcı DMARC politikasına ulaştıramıyor (en iyi %29.43 ile .nl; %5.24 ile .it).

Sahibine raporu gönderin

CNAME”ler yayına girdikten sonra taramayı yeniden çalıştırın ve derecelendirilmiş raporu işletme sahibine veya müşteriye iletin. Rapor, sade bir dille neyin başarısız olduğunu, neyi düzelttiğinizi ve alan adının şu anda nerede durduğunu gösterir — sigorta yenilemesi veya müşteri güvenlik anketi için ihtiyaç duydukları kanıttır.

Alan adınızı ücretsiz kontrol edin

SPF, DKIM ve DMARC”ın tam olarak hangi ayağının başarısız olduğunu görün — gizli ve yalnızca sahibine.

Alan adınızı kontrol edin → · SPF”yi düzeltin → · SPF PermError: “çok fazla DNS sorgusu” → · Nasıl derecelendiriyoruz → · Yalnızca toplu veriler. Veriler AB”de depolanır ve işlenir.