Wyjaśnienie ograniczenia wyszukiwania DNS przy SPF 10 (i jak to naprawić)

Zrozumienie ograniczeń rekordów SPF zaczyna się od limitu 10 zapytań DNS. Jeśli rekord SPF generuje więcej niż 10 zapytań DNS, serwery odbierające pocztę zwracają komunikat „SPF PermError: too many DNS lookups”, a protokół DMARC traktuje to jako poważny błąd. Skutkuje to odrzucaniem prawidłowych wiadomości e-mail lub kierowaniem ich do folderu spam bez ostrzeżenia.

Ograniczenie to wynika z dokumentu RFC 7208, który ogranicza liczbę mechanizmów wysyłających zapytania DNS podczas oceny SPF do 10 na jedną kontrolę. Problem polega na tym, że większość domen przekracza ten limit, nie zdając sobie z tego sprawy, często z powodu zagnieżdżonych odwołań i nieaktualnych usług.

W tym przewodniku dowiesz się, co wlicza się do limitu, dlaczego rekordy SPF przestają działać bez ostrzeżenia oraz jak trwale naprawić i zapobiegać błędom wyszukiwania.

Narzędzie do sprawdzania SPF: Sprawdź aktualną liczbę zapytań za pomocą naszego bezpłatnego narzędzia do sprawdzania SPF

Co to jest limit wyszukiwania DNS SPF 10?

Specyfikacja SPF, określona w dokumencie RFC 7208, ogranicza liczbę mechanizmów wysyłania zapytań DNS w ramach każdego sprawdzenia SPF do maksymalnie 10.

Mówiąc prościej, za każdym razem, gdy serwer pocztowy odbierający wiadomość sprawdza Twój rekord SPF i musi wykonać dodatkowe zapytanie DNS, liczy się to do tego limitu.

Zapytania te są uruchamiane przez takie mechanizmy, jak:

• zamieścić
• a
• mx
• ptr
• istnieje
• przekierowanie

Gdy konieczne jest przeprowadzenie 11. sprawdzenia, ocena SPF zostaje natychmiast przerwana i zwracany jest wynik:

Błąd stały SPF: zbyt wiele operacji wyszukiwania DNS

Każde wyszukiwanie DNS pochłania czas i zasoby, takie jak moc procesora, przepustowość i pamięć, na serwerze odbierającym. Bez ograniczeń złośliwy podmiot mógłby utworzyć rekord SPF zawierający głęboko zagnieżdżone elementy include, zmuszając serwery do wykonania setek zapytań DNS.

W efekcie sprawiłoby to, że weryfikacja certyfikatu SPF stałaby się wektorem ataku typu „odmowa usługi” (DoS).

Dzięki wprowadzeniu ścisłego limitu 10 zapytań specyfikacja SPF gwarantuje:

• przewidywalny czas przetwarzania wiadomości e-mail
• ochrona przed nadużyciami związanymi z DNS
• stała wydajność we wszystkich systemach pocztowych 

Co wlicza się do limitu 10 zapytań DNS w ramach SPF? 

Nie każdy element w rekordzie SPF powoduje wyszukiwanie DNS. Świadomość tego, co ma znaczenie, a co nie, to najszybszy sposób na zmniejszenie liczby wyszukiwań.

Mechanizmy SPF, które się liczą, a te, które się nie liczą

Właśnie dlatego zawiera: oraz mechanizmy mechanizmy w największym stopniu przyczyniają się do niepowodzeń SPF, zwłaszcza gdy zawierają zagnieżdżone wyszukiwania.

Zastąpienie mechanizmów wymagających intensywnego wyszukiwania bezpośrednim ip4: lub ip6: (tam, gdzie to możliwe) jest jednym z najskuteczniejszych sposobów na utrzymanie się w limicie.

Typowa sytuacja: dostawcy usług zarządzanych (MSP) zarządzający wieloma rekordami SPF klientów

Dostawcy usług zarządzanych często borykają się z ograniczeniami SPF, gdy klienci korzystają z wielu platform pocztowych. Typowy klient MSP może korzystać z usług takich jak Office 365, Mailchimp, Salesforce i HubSpot — a każda z nich wymaga dodania instrukcji include, co może szybko doprowadzić do osiągnięcia limitu 10 zapytań.

Dlaczego prawdopodobnie osiągasz limit SPF (zagnieżdżone pliki include)

W Twoich danych mogą figurować tylko trzy lub cztery w tym: wierszy, ale nadal osiągasz limit. Oto dlaczego.

v=spf1 include:sendgrid.net include:_spf.google.com include:salesforce.com ~all

Na pierwszy rzut oka wygląda to na 3 zapytania DNS, ale ocena SPF nie kończy się na tym. Każde wkluczenie jest sprawdzane rekurencyjnie.

A tak naprawdę wygląda to następująco:

1. include:sendgrid.net → Rekord SPF serwisu SendGrid zawiera 2 dodatkowe include: → łącznie 3 wyszukiwania
2. dołącz:_spf.google.com → Rekord SPF firmy Google zawiera 3 dodatkowe mechanizmy → Łącznie 4 zapytania
3. include:salesforce.com → Rekord SPF firmy Salesforce zawiera 3 dodatkowe mechanizmy → Łącznie 4 wpisy

Razem: 11 zapytań DNS

Wśród dodajesz: nie jest tylko jednym wyszukiwaniem. To jedno wyszukiwanie plus tyle, ile wynosi liczba wymaga wymaga. Dlatego limit zostaje osiągnięty znacznie szybciej, niż oczekuje większość właścicieli domen, zwłaszcza w przypadku korzystania z usług wielu dostawców poczty elektronicznej.

Dlaczego istnieje limit wyszukiwania SPF 10?

Limit 10 zapytań DNS może wydawać się restrykcyjny, zwłaszcza dla organizacji korzystających z usług wielu dostawców poczty elektronicznej, jednak wynika on z ważnych względów związanych z bezpieczeństwem i wydajnością, które administratorzy i zespoły ds. bezpieczeństwa powinni zrozumieć.

Podsumowanie: Limit wyszukiwań chroni infrastrukturę DNS przed nadużyciami, zapewniając jednocześnie terminowe przetwarzanie wiadomości e-mail, ale wymaga starannego zarządzania rekordami SPF.

Zapobieganie atakom typu „odmowa usługi”

Limit 10 dodatkowych wyszukiwań został nałożony, aby uniknąć nadmiernego obciążenia systemu DNS i zapobiec atakom typu „odmowa usługi” (DoS).

Bez tego ograniczenia osoba atakująca mogłaby stworzyć rekord SPF zawierający setki zagnieżdżonych odwołań, zmuszając każdy serwer pocztowy odbierający wiadomości z tej domeny do wykonania ogromnej liczby zapytań DNS. Mogłoby to przeciążyć serwery DNS i obniżyć wydajność w całym Internecie.

Zapewnienie terminowego przetwarzania wiadomości e-mail

Każde wyszukiwanie DNS podczas sprawdzania SPF wydłuża czas dostarczania wiadomości e-mail. Gdyby rekordy SPF miały nieograniczoną liczbę wyszukiwań, czas potrzebny na weryfikację SPF mógłby znacznie wzrosnąć, co prowadziłoby do przekroczenia limitów czasu zapytań DNS i tymczasowych awarii serwerów DNS.

Limit 10 wyszukiwań gwarantuje, że kontrole SPF mogą być przeprowadzane szybko i niezawodnie, bez tworzenia wąskich gardeł w dostarczaniu wiadomości e-mail.

Utrzymanie stabilności DNS

Infrastruktura DNS stanowi zasób współdzielony. Zezwolenie na nieograniczoną liczbę wyszukiwań podczas uwierzytelniania SPF spowodowałoby nadmierne obciążenie rekurencyjnych programów rozpoznających nazwy i autorytatywnych serwerów nazw, szczególnie w przypadku nadawców wysyłających duże ilości wiadomości.

Limit ten chroni szerszy ekosystem DNS, utrzymując liczbę zapytań związanych z SPF na rozsądnym poziomie.

Co się dzieje, gdy przekroczysz limit wyszukiwania SPF

Przekroczenie limitu wyszukiwań SPF to nie tylko drobne ostrzeżenie. Powoduje poważny błąd, który może bezpośrednio wpłynąć na to, czy Twoje e-maile dotrą do skrzynek odbiorczych adresatów.

Ocena SPF kończy się na wpisie nr 11

Rekord SPF jest analizowany od lewej do prawej. Gdy serwer odbierający napotka jedenasty mechanizm wysyłania zapytań DNS lub modyfikator w rekordzie SPF, natychmiast przerywa przetwarzanie rekordu i zwraca:

Błąd stały SPF: zbyt wiele operacji wyszukiwania DNS

Jest to trwały błąd weryfikacji SPF, a nie wynik częściowej niepowodzenia lub wynik neutralny. Odbiorca uznaje rekord SPF za nieprawidłowy, ponieważ nie może zakończyć procesu uwierzytelniania.

DMARC traktuje błąd „SPF PermError” jako niepowodzenie weryfikacji SPF

Gdy SPF zwraca błąd PermError, DMARC interpretuje to jako niepowodzenie weryfikacji SPF. Jeśli do pozytywnego wyniku weryfikacji DMARC wymagana była zgodność z SPF, wiadomość może w ogóle nie przejść uwierzytelnienia DMARC.

Wynik zależy zatem od:

• Twoja polityka DMARC (p=none, kwarantannalub odrzucić)
• Reguły filtrowania serwera odbierającego
• Czy weryfikacja DKIM przebiegła pomyślnie i czy dane są poprawnie zsynchronizowane

Wiadomości e-mail mogą zostać odrzucone, umieszczone w kwarantannie lub przeniesione do folderu ze spamem

Gdy SPF nie działa z powodu błędu PermError:

• Niektórzy dostawcy mogą od razu odrzucić tę wiadomość e-mail
• Inni mogą skierować tę wiadomość do folderu ze spamem lub do kwarantanny
• Filtry bezpieczeństwa mogą oznaczyć tę wiadomość jako podejrzaną lub nieautoryzowaną

Sytuacja ta staje się szczególnie szkodliwa w przypadku bardziej rygorystycznych zasad DMARC, takich jak p=quarantine lub p=reject.

Szczególnie wrażliwe są tu środowiska Microsoftu. Programy Outlook i Exchange Online rygorystycznie egzekwują kontrole uwierzytelniania, więc błędy SPF PermError mogą znacząco wpłynąć na skuteczność dostarczania wiadomości przez organizacje wysyłające je do odbiorców korzystających z Office 365.

Ponieważ SPF jest sprawdzany od lewej do prawej, niektóre usługi wysyłające mogą pomyślnie przejść uwierzytelnienie, zanim zostanie osiągnięty limit sprawdzeń, podczas gdy inne mogą zakończyć się niepowodzeniem w dalszej części łańcucha.

Oznacza to, że:

• Niektóre wiadomości e-mail wydają się być dostarczane bez problemów
• Inne nie przechodzą uwierzytelnienia w nieoczekiwany sposób
• Bez narzędzi do raportowania DMARC i analizy SPF trudno jest zdiagnozować ten problem

Właśnie dlatego problemy związane z limitami wyszukiwania SPF często pozostają niezauważone, dopóki nie spadnie skuteczność dostarczania wiadomości lub raporty DMARC nie ujawnią sporadycznych niepowodzeń.

Inne przyczyny błędu SPF PermError

Przekroczenie limitu 10 zapytań DNS jest najczęstszą przyczyną błędu SPF PermError, ale nie jedyną. Błędy PermError mogą również wystąpić, gdy:

• Wiele rekordów SPF dla tej samej domeny
• Rekord SPF zawiera błędy składniowe
• Wykorzystywane są przestarzałe lub nieobsługiwane mechanizmy
• W okólniku zawiera: instrukcje tworzą nieskończone pętle wyszukiwania

Każda z tych kwestii może zakłócić proces uwierzytelniania SPF i negatywnie wpłynąć na dostarczalność wiadomości e-mail.

Sprawdź swoją politykę DMARC, aby poznać swoje ryzyko, korzystając z narzędzia do sprawdzania rekordów DMARC

Każda z tych kwestii może prowadzić do niepowodzenie SPF i niedostarczeniem wiadomości e-mail, dlatego ważne jest, aby regularnie weryfikować całą konfigurację SPF.

Limit wyszukiwania pustych rekordów w SPF: kolejne ograniczenie, na które możesz natrafić

Większość przewodników dotyczących protokołu SPF skupia się na limicie 10 zapytań DNS, ale w RFC 7208 istnieje jeszcze jedno ograniczenie, które może spowodować ten sam błąd, nawet jeśli liczba zapytań znacznie nie przekracza 10: limit zapytań o adresy nieważne.

Wyszukiwanie bez wyników to zapytanie DNS, które nie zwraca żadnego użytecznego wyniku.

Dzieje się tak, gdy funkcja wyszukiwania zwraca:

• NXDOMAIN (domena nie istnieje)
• NOERROR bez rekordów (pusta odpowiedź)

Standard RFC 7208 ogranicza liczbę nieudanych wyszukiwań podczas oceny SPF do maksymalnie dwóch na jedno sprawdzenie.

Jeśli wystąpi trzecie nieudane wyszukiwanie, serwer odbierający zwraca:

Błąd stały SPF

Oznacza to, że:

Błąd SPF PermError może wystąpić nawet wtedy, gdy Twój rekord ma mniej niż 10 zapytań DNS.

Właśnie dlatego wyszukiwanie pustych wpisów jest niebezpieczne, ponieważ trudniej je wykryć i często pomija się je podczas audytów SPF.

Błędy podczas sprawdzania zwykle wynikają z nieaktualnych lub nieprawidłowo skonfigurowanych wpisów SPF:

• zawiera: odwołanie do domeny, która nie posiada już rekordu SPF
• a lub mx mechanizmy odwołujące się do domen bez prawidłowych rekordów DNS
• Wycofane lub nieczynne serwisy pocztowe
• Błędy w nazwach domen w mechanizmach SPF

Nawet jedna nieaktualna sekcja `include` może w tle generować bezskuteczne wyszukiwanie przy każdym sprawdzeniu SPF.

Oto, czym różnią się limit 10 wyszukiwań i limit wyszukiwań bezskutecznych:

W obu przypadkach skutkiem jest ten sam błąd: SPF PermError.

Aby zapobiec błędom związanym z niepowodzeniem wyszukiwania:

• Regularnie sprawdzaj swój rekord SPF pod kątem nieaktualnych obejmują: instrukcje
• Usuń usługi, z których już nie korzystasz
• Sprawdź, czy wszystkie domeny, do których istnieją odniesienia, zwracają prawidłowe rekordy DNS
• Skorzystaj z narzędzia do sprawdzania SPF , który sygnalizuje nieudane wyszukiwania, a nie tylko całkowitą liczbę wyszukiwań

Narzędzie do sprawdzania SPF firmy PowerDMARC wykrywa zarówno całkowitą liczbę zapytań, jak i zapytania bez wyników, dzięki czemu możesz wykryć te ukryte błędy, zanim wpłyną one na skuteczność dostarczania wiadomości.

Jak sprawdzić, czy rekord SPF przekracza limit

Sprawdzenie, czy Twój rekord SPF przekracza limit 10 wyszukiwań DNS, to pierwszy krok w kierunku rozwiązania problemów z dostarczalnością. Istnieje kilka sposobów na sprawdzenie rekordu SPF i zweryfikowanie aktualnej liczby wyszukiwań.

Podsumowanie: Regularne monitorowanie SPF przy użyciu narzędzi diagnostycznych i ręcznej weryfikacji pomaga zapobiegać przekroczeniom limitów wyszukiwania, zanim wpłyną one na dostarczanie wiadomości e-mail.

Użyj narzędzia diagnostycznego SPF

Korzystanie z narzędzia diagnostycznego SPF pozwala sprawdzić, czy rekord SPF jest poprawny i działa prawidłowo. Narzędzia te analizują rekord SPF, zliczają każde wyszukiwanie DNS, w tym zagnieżdżone, i sygnalizują wszelkie błędy lub ostrzeżenia.

Bezpłatne narzędzie PowerDMARC do sprawdzania rekordów SPF pozwala błyskawicznie sprawdzić łączną liczbę zapytań, zidentyfikować mechanizmy generujące najwięcej zapytań oraz wykryć błędy w konfiguracji, zanim spowodują one problemy z dostarczaniem wiadomości.

Ręcznie prześledź swój rekord SPF

Jeśli wolisz samodzielnie sprawdzić swój rekord SPF, możesz ręcznie policzyć wyszukiwania DNS, przechodząc przez każdy mechanizm w rekordzie.

Zacznij od rekordu TXT SPF swojej domeny i zlicz wszystkie mechanizmy typu „include”, „a”, „mx”, „ptr”, „redirect” oraz „exists”. Następnie dla każdego „include” sprawdź rekord SPF domeny, do której jest odwołanie, i policz również mechanizmy powodujące jej wyszukiwanie.

Zagnieżdżone elementy szybko się sumują, dlatego organizacje korzystające z usług wielu dostawców poczty elektronicznej często przekraczają limit, nie zdając sobie z tego sprawy.

Monitoruj walidację SPF w czasie

Rekordy SPF nie są statyczne. W miarę dodawania lub usuwania dostawców usług poczty elektronicznej, zmiany środowisk hostingowych lub aktualizacji infrastruktury poczty elektronicznej rekord SPF również ulega zmianie. Zaleca się weryfikację rekordów SPF po wprowadzeniu zmian, aby zapewnić zgodność z limitem 10 wyszukiwań.

Skonfigurowanie stałego monitorowania za pomocą platformy PowerDMARC zapewnia ciągłą widoczność konfiguracji SPF i powiadamia o zmianach, które powodują przekroczenie limitu rekordu.

Jak naprawić i zoptymalizować rekord SPF

Jeśli rekord SPF przekracza lub zbliża się do limitu 10 wyszukiwań DNS, można podjąć kilka praktycznych kroków, aby zmniejszyć liczbę wyszukiwań bez utraty zakresu uwierzytelniania poczty e-mail.

Podsumowanie: Optymalizacja SPF polega na usuwaniu nieużywanych usług, zastępowaniu mechanizmów wymagających intensywnego wyszukiwania bezpośrednimi adresami IP oraz wdrażaniu automatycznego zarządzania złożonymi infrastrukturami.

Sprawdź swój aktualny rekord SPF i policz liczbę zapytań

Zacznij od analizy rekordu SPF za pomocą niezawodnego narzędzia do sprawdzania SPF. Pomoże Ci to określić całkowitą liczbę wyszukiwań DNS, w tym zagnieżdżone włączenia, oraz zidentyfikować problemy, takie jak bezpłatne wyszukiwania lub błędne konfiguracje. Wskazuje również, które mechanizmy generują najwięcej zapytań.

Ręczne liczenie jest możliwe, ale często bywa niedokładne z powodu rekurencji w domenach zawartych w innych domenach, dlatego w miarę możliwości należy korzystać z odpowiedniego narzędzia.

Usuń nieużywane lub niepotrzebne usługi

Najprostszą optymalizacją jest sprawdzenie rekordu SPF i usunięcie wszelkich mechanizmów, które odwołują się do usług, z których już nie korzystasz.

Z biegiem czasu organizacje dodają dostawców usług poczty elektronicznej, platformy marketingowe i narzędzia innych firm do swoich rekordów SPF, ale zapominają o ich usunięciu, gdy przestają być aktywne.

Aby zmniejszyć liczbę wymaganych wyszukiwań, organizacje powinny usunąć nieużywane usługi ze swoich rekordów SPF. Oznacza to również usunięcie domyślnych wartości SPF, które zostały dodane podczas początkowej konfiguracji, ale obecnie nie mają żadnego zastosowania.

Unikaj ptr i ograniczaj niepotrzebne mx .

Wskaźnik mechanizm ptr jest zdecydowanie odradzany przez standardy SPF. Wykonuje on odwrotne wyszukiwania DNS dla każdego adresu IP nadawcy, co sprawia, że jest powolny, zawodny i obciąża serwer. Jeśli jest obecny, usuń go i zastąp bezpośrednimi odniesieniami do adresów IP.

The mechanizm może również zwiększyć liczbę wyszukiwań. Najpierw rozpoznaje rekordy MX, a następnie wykonuje dodatkowe wyszukiwania dla każdego powiązanego serwera pocztowego. Jeśli Twoja infrastruktura jest stabilna, zastąp mx na ip4: lub ip6: w celu uzyskania większej wydajności.

Zastąp mechanizmy wymagające intensywnego wyszukiwania mechanizmami ip4 lub ip6.

Każdy mechanizm typu „include”, „a” i „mx” wymaga co najmniej jednego wyszukiwania w systemie DNS. Tam, gdzie to możliwe, należy je zastąpić mechanizmami ip4 lub ip6, które bezpośrednio określają autoryzowane adresy IP. Użycie mechanizmów ip4 lub ip6 w rekordach SPF nie wymaga dodatkowych wyszukiwań i może pomóc w zachowaniu zgodności z limitem wyszukiwań.

Na przykład, jeśli rekord SPF dostawcy usług poczty elektronicznej odwołuje się do znanego zestawu statycznych adresów IP, można bezpośrednio wymienić te adresy IP zamiast używać „include”, które powoduje wielokrotne wyszukiwania DNS.

Użyj spłaszczania SPF (rozwiązanie tymczasowe)

Wyrównanie SPF zastępuje obejmuje: mechanizmów wraz z ich rozpoznanymi adresami IP, co ogranicza liczbę wyszukiwań DNS niemal do zera. Aby szybko przywrócić rekord poniżej limitu, użyj automatycznego spłaszczania SPF, a następnie zweryfikuj zaktualizowany rekord przed jego opublikowaniem.

Wiąże się to jednak z pewnymi kompromisami. Jeśli dostawca zmieni swoje adresy IP, a Twój wpis nie zostanie zaktualizowany, legalne wiadomości e-mail mogą nie przejść weryfikacji SPF. Ręczne spłaszczanie wymaga ciągłego monitorowania i konserwacji.

Skorzystaj z hostowanego SPF lub makr SPF (trwałe rozwiązanie)

Aby zapewnić długoterminową stabilność, warto rozważyć skorzystanie z hostowanego rozwiązania SPF, takiego jak PowerDMARC. Systemy te dynamicznie zarządzają rekordem SPF za pomocą makr lub zewnętrznego rozpoznawania adresów, automatycznie dbając o to, by nie przekroczyć limitów wyszukiwań.

Takie podejście pozwala wyeliminować:

• Ręczne aktualizacje w przypadku zmiany adresów IP dostawców
• Ryzyko związane z nieaktualnymi, spłaszczonymi zapisami
• Bieżące koszty utrzymania

Jest to szczególnie przydatne dla organizacji korzystających z wielu usług zewnętrznych lub zarządzających złożoną infrastrukturą pocztową.

Unikaj mechanizmu ptr

Zdecydowanie odradza się stosowanie mechanizmu ptr, ponieważ może to spowodować wzrost liczby wymaganych operacji wyszukiwania, co prowadzi do problemów związanych z błędem Permerror.

Mechanizm ptr przeprowadza odwrotne wyszukiwanie DNS dla każdego podłączającego się adresu IP, co jest zarówno powolne, jak i zawodne. Sama specyfikacja SPF odradza jego stosowanie. Jeśli Twój rekord SPF zawiera obecnie mechanizm ptr, usuń go i zastąp bezpośrednimi odniesieniami do adresów IP.

Zminimalizuj użycie mechanizmu mx.

Unikanie mechanizmu MX w rekordach SPF może pomóc w utrzymaniu się w limicie 10 wyszukiwań DNS. Mechanizm MX najpierw rozpoznaje rekord MX domeny, a następnie wykonuje dodatkowe wyszukiwania w celu ustalenia adresu IP każdego z wymienionych serwerów pocztowych.

Jeśli Twoja domena ma wiele rekordów MX, pojedyncze wywołanie mechanizmu „mx” może wymagać kilku operacji wyszukiwania. W miarę możliwości zastąp go wpisami ip4 lub ip6 dla swoich serwerów pocztowych.

Konsolidacja obejmuje zestawienia

Jeśli rekord SPF zawiera wiele mechanizmów „include” wskazujących na powiązane usługi, sprawdź, czy można je skonsolidować.

Niektórzy dostawcy usług poczty elektronicznej korzystają z tej samej infrastruktury, co oznacza, że możesz wykonywać zbędne wyszukiwania. Sprawdź każde odwołanie, aby ustalić, czy jest ono nadal konieczne i czy można bezpośrednio odwołać się do podstawowych adresów IP.

Sprawdzaj po każdej zmianie

Sprawdzanie poprawności rekordów SPF po wprowadzeniu zmian jest niezbędne, aby zapewnić zgodność z limitem 10 wyszukiwań.

Nawet niewielka zmiana, taka jak dodanie jednego nowego wpisu „include” dla platformy marketingowej, może spowodować przekroczenie limitu, jeśli wywoła to zagnieżdżone wyszukiwania. Po każdej aktualizacji sprawdź swój rekord za pomocą narzędzia diagnostycznego SPF, aby upewnić się, że pozostaje on ważny.

Spłaszczanie rekordów SPF: co to jest i kiedy należy je stosować

Spłaszczanie rekordów SPF to technika stosowana w celu optymalizacji rekordów SPF, pozwalająca obejść ograniczenie do 10 zapytań DNS dla SPF. Jest to jedno z najczęściej omawianych rozwiązań dla organizacji posiadających złożoną infrastrukturę poczty elektronicznej, ale wiąże się z pewnymi kompromisami, które należy dobrze zrozumieć.

Aby uzyskać pełny przewodnik po optymalizacji dotyczący optymalizacji rekordu SPF, przeczytaj nasz blog z poradnikiem optymalizacji SPF

Jak działa spłaszczanie rekordów SPF

Spłaszczanie rekordów SPF zastępuje mechanizmy powodujące wyszukiwanie w rekordzie SPF odpowiednimi adresami IP lub zakresami CIDR, zmniejszając liczbę zapytań DNS wymaganych do weryfikacji rekordu SPF.

Zamiast dodawać odniesienie typu „include:emailprovider.com”, które powoduje jedno lub więcej wyszukiwań DNS, należy przekształcić to odniesienie na podstawowe adresy IP i wpisać je bezpośrednio w rekordzie, używając mechanizmów ip4 lub ip6.

Na przykład, jeśli „include:emailprovider.com” rozdziela się na trzy adresy IP, spłaszczenie zastępuje instrukcję „include” tymi trzema wpisami IPv4. Sprawdzenie SPF zwraca teraz ten sam wynik bez konieczności wysyłania dodatkowych zapytań DNS do tego dostawcy.

Kiedy spłaszczanie pomaga

Spłaszczenie rekordu SPF może zmniejszyć liczbę mechanizmów i modyfikatorów wysyłających zapytania DNS, tak aby była ona mniejsza niż 10. Jest to szczególnie przydatne, gdy:

• Twoja domena wysyła wiadomości e-mail za pośrednictwem wielu usług stron trzecich, a sama liczba dołączonych plików przekracza 10.
• Usunąłeś już nieużywane usługi i skonsolidowałeś je tam, gdzie to możliwe, ale nadal przekraczasz limit.
• Potrzebujesz szybkiego sposobu na dostosowanie swoich danych do wymogów, jednocześnie planując długoterminową strategię optymalizacji.

Dlaczego ręczne spłaszczanie SPF to rozwiązanie tymczasowe

Spłaszczenie rekordu SPF może szybko sprawić, że liczba zapytań spadnie poniżej limitu 10, jednak ręczne spłaszczanie rekordu SPF nie jest rozwiązaniem długoterminowym, ponieważ wiąże się z innym zestawem zagrożeń, które równie łatwo mogą zakłócić dostarczanie wiadomości e-mail.

Ryzyko 1: Zmiana adresów IP dostawców

Większość dostawców usług poczty elektronicznej zmienia lub rozszerza zakresy adresów IP służących do wysyłania wiadomości bez uprzedzenia.

Gdy ręcznie spłaszczasz swój rekord SPF:

• wprowadzisz te adresy IP na stałe w swoich ustawieniach DNS
• ale Twój dostawca nieustannie się rozwija za kulisami

W momencie, gdy lista adresów IP ulegnie zmianie, Twój rekord SPF stanie się nieaktualny, a legalne wiadomości e-mail zaczną nie przechodzić uwierzytelniania.

Ryzyko 2: Rozmiar rekordu SPF (255 znaków + ograniczenia DNS)

Spłaszczanie zastępuje wpisy „includes” zawierające wiele adresów IP, co może szybko spowodować nadmierne rozrostu rekordu SPF.

Powoduje to dwa problemy:

• Długość rekordów TXT w systemie DNS jest ograniczona do 255 znaków na ciąg
• Zbyt długie rekordy SPF mogą zakłócić proces analizowania lub przekroczyć limity DNS

Próba „naprawienia” limitów wyszukiwania może nieumyślnie spowodować błędy składniowe lub problemy z obcięciem rekordów.

Ryzyko 3: Brak monitorowania lub wglądu

Ręczne spłaszczanie ma charakter statyczny. Nie ma wbudowanej funkcji umożliwiającej:

• wykrywać zmiany zakresów adresów IP
• liczba wyszukiwań utworów w czasie
• powiadamiać o niepowodzeniach uwierzytelniania

Oznacza to, że problemy często pozostają niezauważone, dopóki nie spadnie skuteczność dostarczania wiadomości.

Ryzyko 4: Ciągłe obciążenie związane z konserwacją

Za każdym razem, gdy:

• dodaj nową usługę poczty elektronicznej
• zmiana infrastruktury
• lub Twój dostawca aktualizuje adresy IP

Należy ręcznie odtworzyć i zweryfikować rekord SPF.

Dla zespołów zarządzających wieloma domenami lub klientami sytuacja ta szybko staje się nie do utrzymania.

Instrukcja obsługi Spłaszczanie SPF rozwiązuje symptom (limit wyszukiwania), a nie leżącą u jego podstaw złożoność (infrastruktura dynamiczna).

Właśnie tu z pomocą przychodzą hostowane rozwiązania SPF.

Zamiast na stałe wpisywać adresy IP, platformy takie jak PowerDMARC dynamicznie zarządzają rekordem SPF za pomocą makr i automatycznych aktualizacji, dzięki czemu nie przekraczasz limitu zapytań bez konieczności ciągłej ręcznej interwencji.

Inne ograniczenia dotyczące rekordów SPF, o których należy wiedzieć

Limit 10 zapytań DNS jest najbardziej znanym ograniczeniem SPF, ale nie jedynym. Właściciele domen powinni być świadomi tych dodatkowych ograniczeń dotyczących rekordów SPF, aby uniknąć nieoczekiwanych błędów uwierzytelniania.

Podsumowanie: Oprócz limitu 10 wyszukiwań, protokół SPF nakłada ograniczenia dotyczące liczby rekordów, długości znaków, nieudanych wyszukiwań oraz scenariuszy przekazywania, które mają wpływ na uwierzytelnianie wiadomości e-mail.

Tylko jeden rekord SPF na domenę

Specyfikacja SPF wymaga, aby każda domena publikowała tylko jeden rekord SPF TXT.

Jeśli rekord SPF zawiera wiele wpisów dotyczących tej samej domeny, może to spowodować błąd SPF PermError, a serwer odbiorczy może odrzucić wiadomość e-mail lub nieprawidłowo ją przetworzyć. Jeśli chcesz autoryzować dodatkowych nadawców, dodaj ich do istniejącego rekordu SPF zamiast tworzyć nowy.

SPF sprawdza ścieżkę zwrotną, a nie adres nadawcy.

SPF uwierzytelnia domenę w adresie zwrotnym, a nie w czytelnym dla człowieka polu „Od”, które widzi odbiorca. Oznacza to, że osoba atakująca może sfałszować adres „Od”, przechodząc przez SPF, używając innej domeny zwrotnej.

DMARC wypełnia tę lukę, wymagając zgodności lub dopasowania między czytelnym dla człowieka polem „Od” a domeną uwierzytelnioną przez SPF.

Limit długości ciągu znaków wynoszący 255 znaków

Chociaż rekord SPF może zawierać łącznie ponad 255 znaków, pojedynczy rekord DNS typu TXT jest ograniczony do 255 znaków. Dłuższe rekordy SPF należy podzielić na wiele ciągów znaków w ramach tego samego rekordu TXT.

Większość dostawców DNS obsługuje to automatycznie, ale nieprawidłowo skonfigurowane podziały mogą powodować błędy analizy.

Limit wyszukiwania pustych wartości

Oprócz limitu 10 wyszukiwań DNS specyfikacja SPF ogranicza również liczbę „wyszukiwań nieważnych”, czyli zapytań DNS, które nie zwracają żadnych rekordów (pusta odpowiedź lub odpowiedź NXDOMAIN).

Przekroczenie tego limitu, który zazwyczaj wynosi dwa nieprawidłowe wyszukiwania, może również spowodować błąd SPF PermError.

Brak ochrony dla przekazywanych wiadomości e-mail

W przypadku przekazania wiadomości e-mail adres IP nadawcy zmienia się na adres serwera przekazującego, który najprawdopodobniej nie figuruje w rekordzie SPF pierwotnego nadawcy. Może to spowodować, że przekazana wiadomość nie przejdzie weryfikacji SPF, nawet jeśli pierwotna wiadomość była autentyczna.

Najlepsze praktyki pozwalające nie przekroczyć limitu wyszukiwań SPF

Przestrzeganie limitu 10 zapytań DNS wymaga stałej dyscypliny. Skorzystaj z poniższych sprawdzonych praktyk, aby zoptymalizować swój rekord i zapobiec nieoczekiwanym awariom:

• Sprawdzaj swój rekord SPF za każdym razem, gdy dodajesz lub usuwasz platformę wysyłkową
• Nigdy nie publikuj więcej niż jednego rekordu SPF na domenę
• Unikaj mechanizmu ptr , usuń go, jeśli występuje w twoim rekordzie
• Użyj ip4: oraz ip6: wszędzie tam, gdzie zakresy adresów IP są stabilne i znane
• Skonfiguruj raportowanie DMARC, aby wcześnie wykrywać sporadyczne błędy SPF
• Skorzystaj z automatycznego monitorowania (np. PowerDMARC), aby otrzymywać powiadomienia w przypadku zmian liczby zapytań
• Jeśli korzystasz z więcej niż trzech lub czterech zewnętrznych usług wysyłania wiadomości, rozważ skorzystanie z usługi Hosted SPF

W jaki sposób usługa Hosted SPF firmy PowerDMARC pomaga zapobiegać niepowodzeniom podczas sprawdzania SPF 

Ręczne zarządzanie rekordami SPF szybko staje się niemożliwe w nowoczesnych środowiskach poczty elektronicznej. Każda nowa platforma pocztowa, narzędzie marketingowe, system CRM, system obsługi klienta lub usługa w chmurze może powodować konieczność dodawania wpisów SPF, zagnieżdżonych wyszukiwań oraz zwiększać nakłady związane z utrzymaniem.

Ręczne spłaszczanie adresów SPF może tymczasowo zmniejszyć liczbę wyszukiwań, ale powoduje to kolejny problem: konieczność dbania o aktualność stałych adresów IP w miarę jak dostawcy modernizują swoją infrastrukturę wysyłkową.

Usługa Hosted SPF firmy PowerDMARC, czyli PowerSPF, rozwiązuje podstawowy problem związany z zarządzaniem, aktualizując rekordy SPF w miarę zmian w infrastrukturze wysyłkowej. W przeciwieństwie do statycznego spłaszczania SPF, Hosted SPF dynamicznie zarządza konfiguracją SPF w tle, pomagając organizacjom zachować zgodność z RFC 7208 bez konieczności ciągłej konserwacji DNS.

Dzięki PowerSPF organizacje mogą:

• Automatyczna aktualizacja rekordów SPF w przypadku zmiany adresów IP dostawców
• Używaj makr SPF, aby nie przekroczyć limitu 10 zapytań DNS oraz ograniczeń dotyczących długości znaków w DNS
• Wystarczy wprowadzić jednorazową zmianę w ustawieniach DNS zamiast wielokrotnie ręcznie edytować rekordy SPF
• Zarządzaj złożonymi konfiguracjami SPF obejmującymi wielu dostawców, zagnieżdżone pliki dołączane, infrastrukturę regionalną oraz domeny korporacyjne
• Monitoruj błędy SPF, nieudane wyszukiwania adresów oraz problemy z uwierzytelnianiem, zanim wpłyną one na dostarczalność wiadomości

Jest to szczególnie cenne dla organizacji korzystających jednocześnie z platform takich jak Microsoft 365, Salesforce, HubSpot, SendGrid, Mailchimp i innych zewnętrznych dostawców usług wysyłkowych, gdzie zagnieżdżone elementy include mogą niepostrzeżenie spowodować przekroczenie limitów określonych w RFC w rekordach SPF.

Dzięki automatycznemu spłaszczaniem SPF, monitorowanie wyszukiwań w czasie rzeczywistym, alerty o błędach oraz narzędzia do obsługi SPF, DKIM, DMARC i BIMI, PowerDMARC pomaga organizacjom utrzymać rekordy SPF w granicach limitu wyszukiwań i zapewnić bardziej przejrzystą konfigurację uwierzytelniania.

Na początek sprawdź liczbę wyszukiwań SPF za pomocą narzędzia do sprawdzania SPF firmy PowerDMARC i zidentyfikuj problemy, zanim wpłyną one na uwierzytelnianie wiadomości e-mail.

Najczęściej zadawane pytania

1. Jaki jest limit wyszukiwania DNS przy współczynniku SPF 10?

Specyfikacja SPF, określona w dokumencie RFC 7208, ogranicza liczbę mechanizmów wysyłania zapytań DNS w ramach każdego sprawdzenia SPF do maksymalnie 10.

Jeśli podczas sprawdzania rekord SPF wymaga wykonania ponad 10 operacji wyszukiwania, serwer odbierający zwraca błąd SPF PermError, który jest traktowany przez DMARC jako niepowodzenie. Może to spowodować, że legalne wiadomości e-mail zostaną odrzucone lub trafią do folderu ze spamem.

2. Które mechanizmy SPF wliczają się do limitu 10 wyszukiwań?

Następujące mechanizmy powodują wyszukiwanie adresów DNS i są wliczane do limitu:

• zamieścić
• a
• mx
• ptr
• istnieje
• przekierowanie=

Te się nie liczą:

• ip4, ip6 (adresy IP bezpośrednie)
• wszystkie (ogólne)
• v=spf1 (znacznik wersji)
• Pierwsze zapytanie DNS w celu pobrania rekordu SPF

3. Czym jest błąd SPF PermError?

Błąd SPF PermError (błąd trwały) występuje, gdy serwer odbierający nie jest w stanie poprawnie zweryfikować Twojego rekordu SPF.

Najczęstszą przyczyną jest przekroczenie limitu 10 wyszukiwań DNS, ale może to również wynikać z:

• błędy składni
• wiele rekordów SPF
• naruszenia limitu wyszukiwań
• okólnik zawiera

W takiej sytuacji SPF przestaje działać całkowicie, co może wpłynąć na dostarczanie wiadomości e-mail.

4. Jaki jest limit wyszukiwania pustych wpisów w SPF?

Oprócz limitu 10 wyszukiwań, RFC 7208 ogranicza również wyszukiwania bezowocne, czyli zapytania DNS, które nie zwracają żadnego wyniku (NXDOMAIN lub puste odpowiedzi).

Limit wynosi 2 nieudane próby wyszukiwania na jedną kontrolę SPF.

Jeśli Twój rekord SPF spowoduje trzecie nieudane wyszukiwanie, serwer odbierający zwróci błąd PermError, nawet jeśli łączna liczba wyszukiwań nie przekracza 10.

5. Czy wypoziomowanie SPF rozwiązuje problem ograniczenia do 10 wyszukiwań?

Tak, ale tylko na chwilę.

Wyrównanie SPF zastępuje mechanizmów mechanizmami bezpośrednich adresów IP, co ogranicza liczbę wyszukiwań DNS. Wymaga to jednak ciągłej konserwacji, ponieważ dostawcy usług pocztowych często aktualizują swoje zakresy adresów IP.

Jeśli Twoje spłaszczone dane staną się nieaktualne, nawet prawidłowe wiadomości e-mail mogą nie przejść kontroli SPF.

6. Jak sprawdzić, ile zapytań DNS generuje mój rekord SPF?

Możesz skorzystać z narzędzia do sprawdzania SPF, aby przeanalizować swój rekord i policzyć operacje wyszukiwania DNS, w tym zagnieżdżone wpisy.

Narzędzie do sprawdzania SPF firmy PowerDMARC pokazuje:

• łączna liczba wyszukiwań
• liczba wyszukiwań
• które mechanizmy generują zapytania

Dzięki temu można wykryć problemy, zanim wpłyną one na skuteczność dostarczania wiadomości.

7. Jaka jest różnica między zdjęciami SPF z efektem spłaszczenia a makrofotografią SPF?

Funkcja SPF Flattening statycznie zastępuje pliki dołączane adresami IP, co zmniejsza liczbę operacji wyszukiwania, ale wymaga ręcznych aktualizacji.

Makra SPF (wykorzystywane w hostowanych rozwiązaniach SPF) dynamicznie rozpoznają rekordy SPF podczas oceny, co pozwala zachować zgodność z limitami wyszukiwania bez konieczności ręcznego aktualizowania list adresów IP.

Makra są bardziej skalowalne i lepiej sprawdzają się w złożonych konfiguracjach poczty elektronicznej lub w systemach obsługujących wielu dostawców.

8. Jak często należy sprawdzać swój wpis w rejestrze SPF?

Warto sprawdzić swój rekord SPF:

• za każdym razem, gdy dodajesz lub usuwasz usługę poczty elektronicznej
• po wprowadzeniu zmian w infrastrukturze
• przynajmniej raz w miesiącu

W przypadku złożonych konfiguracji zaleca się stałe monitorowanie, aby na wczesnym etapie wykrywać problemy związane z limitami wyszukiwania i zapewnić stałą skuteczność dostarczania wiadomości.

• O
• Latest Posts

Ahona Rudra

Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC

Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.

Latest posts by Ahona Rudra (zobacz wszystkie)

• Jak dostawcy usług zarządzanych (MSP) mogą szybciej zarządzać ustawieniami DMARC dla każdego klienta dzięki serwerowi MCP firmy PowerDMARC - 25 maja 2026 r.
• Jak dodać adres IP do rekordu SPF (przewodnik krok po kroku) - 11 maja 2026 r.
• Rekord SPF Avanan: jak skonfigurować, naprawić i zoptymalizować rekord SPF dla usługi Check Point Harmony Email - 7 maja 2026 r.