Błąd SPF: Jak naprawić zbyt dużą liczbę wyszukiwań DNS

Sender Policy Framework (SPF) to metoda uwierzytelniania wiadomości e-mail, która pozwala właścicielom domen określić, które serwery pocztowe mogą wysyłać wiadomości przy użyciu ich nazwy domeny. Po otrzymaniu wiadomości serwery pocztowe sprawdzają SPF, aby upewnić się, że pochodzi ona z jednego z zatwierdzonych źródeł, zanim podejmą decyzję o jej dalszym losie.

Podczas walidacji SPF błąd PermError wskazuje na trwały problem w rekordzie SPF, który uniemożliwia jego prawidłową ocenę. Zazwyczaj dzieje się tak, gdy rekord przekracza limit wyszukiwania DNS lub zawiera problemy strukturalne, które zakłócają przetwarzanie SPF. Zamiast sporadycznych niepowodzeń, uwierzytelnianie kończy się niepowodzeniem za każdym razem.

W takiej sytuacji nawet legalne wiadomości e-mail mogą zacząć wyglądać podejrzanie dla serwerów odbiorczych. Wiadomości mogą zostać odrzucone, przekierowane do folderu spam lub spowodować błędy DMARC — wszystko dlatego, że sam rekord SPF nie może zostać wiarygodnie oceniony.

Jeśli chcesz naprawić błąd SPF PermError, pierwszym krokiem jest zrozumienie, co go wywołuje. W tym artykule omówimy najczęstsze przyczyny błędu SPF PermError i wyjaśnimy praktyczne sposoby ich rozwiązania, aby Twoje wiadomości e-mail były poprawnie uwierzytelniane i docierały do zamierzonych skrzynek odbiorczych.

Co to jest SPF Permerror?

Permerror SPF jest trwałym błędem w rekordzie SPF, co oznacza, że jest z nim coś nie tak, co uniemożliwia jego działanie.

Wynik Permerror jest zwracany przez odbierające serwery pocztowe, gdy rekord SPF ma krytyczny problem, który uniemożliwia jego ocenę, taki jak nieprawidłowa składnia, zbyt wiele wyszukiwań DNS (ponad limit 10) lub nieprawidłowe mechanizmy. W przeciwieństwie do zwykłego "niepowodzenia" SPF (co oznacza, że wiadomość e-mail nie przeszła uwierzytelnienia), Permerror wskazuje, że sam rekord SPF jest uszkodzony lub źle skonfigurowany. Wpływa to nie tylko na dostarczalność, ale może również osłabić działanie DMARC jeśli SPF jest jedynym mechanizmem używanym do wyrównywania wiadomości e-mail.

Dlaczego SPF ma limit 10 wyszukiwań DNS?

Limit 10 wyszukiwań DNS w SPF może wydawać się restrykcyjny, ale istnieje on z bardzo dobrego powodu.

Zgodnie z RFC 7208limit ten istnieje przede wszystkim ze względów bezpieczeństwa i wydajności. W szczególności pomaga chronić odbierające serwery pocztowe przed Denial-of-Service (DoS) spowodowanymi nadmierną liczbą zapytań DNS.

Oto jak można go nadużywać:

Podmiot stanowiący zagrożenie może utworzyć złośliwy rekord SPF, który wyzwala setki wyszukiwań DNS, odwołując się do wielu domen lub elementów. Może to być powiązane z fałszywą domeną udającą zaufaną firmę. Za każdym razem, gdy serwer odbierający próbuje zweryfikować taką wiadomość e-mail, byłby zmuszony do rozwiązania wszystkich tych wyszukiwań, spowalniając serwer lub nawet go zawieszając.

Ograniczając liczbę wyszukiwań DNS do 10, SPF pomaga:

• Utrzymanie wydajności przetwarzania wiadomości e-mail
• Ochrona przed atakami wyczerpania zasobów
• Poprawa niezawodności antyspoofingu poprzez zachęcanie do lepszego projektowania rekordów SPF.

Co powoduje SPF Permerror?

Permerror SPF może być wywołany przez kilka czynników, w tym nadmierne wyszukiwania DNS, błędy składni, źle skonfigurowane rekordy, a nawet zbyt duże wpisy SPF. Przeanalizujmy najczęstsze przyczyny:

1. Błędy składniowe SPF

Nieprawidłowe formatowanie lub niepoprawna składnia w rekordzie SPF może prowadzić do błędu Permerror, uniemożliwiając prawidłową ocenę.

Najczęstsze przyczyny:

• Brakujące lub niewłaściwie umieszczone znaki (np. cudzysłowy " lub dwukropki 🙂
• Nieprawidłowe lub zniekształcone mechanizmy lub kwalifikatory (np. użycie include_spf.example.com zamiast include:spf.example.com)
• Nieprawidłowe definicje makr lub nieobsługiwane makra
  

Przykłady:

❌ v=spf1 include_spf.example.com -all → brakujący dwukropek w include

❌ v=spf1 +mx a:mail.example.com -all → + kwalifikator jest niepotrzebny i często nadużywany

2. Problemy z konfiguracją DNS

Obejmują one problemy z konfiguracją DNS związaną z rekordem SPF.

Typowe problemy:

• Rekord SPF wskazujący na nieistniejące lub źle skonfigurowane domeny
• Brakujące rekordy SPF w przywoływanych domenach
• Nieprawidłowe lub przestarzałe typy rekordów DNS (np. używanie rekordów typu SPF zamiast TXT).
  

Przykład:

Odniesienia do domeny zawierają:spf.partner.com, ale spf.partner.com nie istnieje lub nie ma rekordu TXT, co prowadzi do niepowodzenia oceny SPF.

3. Zbyt wiele wyszukiwań DNS

SPF zezwala tylko na 10 wyszukiwań DNS podczas oceny rekordu, zgodnie z definicją w RFC 7208, sekcja 4.6.4. Jest to środek bezpieczeństwa mający na celu zapobieganie nadużyciom (np. atakom typu Denial-of-Service) i utrzymanie niskiej wagi ocen.

Co liczy się jako wyszukiwanie:

• zamieścić
• a, mx, ptr
• istnieje, przekieruj
  

Puste wyszukiwania (zapytania, które nie zwracają żadnych danych DNS) są również ograniczone do 2.

Wspólna przyczyna:

Rekord SPF z wieloma mechanizmami include: lub zagnieżdżonymi mechanizmami include, które łącznie przekraczają limit 10 wyszukiwań.

4. Okólnik zawiera

Circular includes występuje, gdy rekordy SPF odwołują się do siebie w pętli, tworząc nieskończone cykle rozwiązywania.

Przykład:

• Domena A: v=spf1 include:domainB.com -all
• Domena B: v=spf1 include:domainA.com -all

To odwołanie cykliczne powoduje, że ewaluacja SPF kończy się niepowodzeniem, co często skutkuje błędem Permerror.

5. Nieprawidłowe mechanizmy lub kwalifikatory

Używanie nierozpoznanych lub przestarzałych mechanizmów w rekordzie SPF może spowodować błąd Permerror.

Typowe błędy:

• Literówki, takie jak ip6v zamiast ip6
• Nieobsługiwane mechanizmy, takie jak all:, ptr: używane nieprawidłowo
• Niepotrzebne lub nieprawidłowe używanie kwalifikatorów + lub ?
  

Przykład:

❌ v=spf1 ptr:mail.example.com -all → odradzany mechanizm
❌ v=spf1 ip4v:192.0.2.0/24 -all → nieprawidłowy mechanizm (ip4v powinno być ip4)

6. Nadmiernie duże rekordy SPF

Rekordy SPF muszą przestrzegać ograniczeń rozmiaru:

• Każdy ciąg znaków w rekordzie TXT musi mieć długość ≤ 255 znaków
• Całkowita długość rekordu TXT nie powinna przekraczać 512 bajtów
  

Przyczyny zbyt dużych rekordów:

• Zbyt wiele adresów IP, elementów lub mechanizmów
• Zduplikowane lub niepotrzebne wpisy

Przykład:

Rekord taki jak v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.0/24 include:spf1.example.com include:spf2.example.com include:spf3.example.com include:spf4.example.com -all może przekroczyć limity DNS lub ograniczenia rozmiaru.

Jak zbyt duża liczba wyszukiwań DNS zakłóca działanie poczty elektronicznej

Gdy rekord SPF uruchamia więcej niż 10 wyszukiwań DNS, może to poważnie zakłócić dostarczanie wiadomości e-mail. Oto co może się stać:

• Opóźnienia w dostawie: Serwery pocztowe mogą spowolnić przetwarzanie podczas próby oceny rekordu SPF, powodując opóźnienia w dostarczaniu.
• Błędy przekroczenia limitu czasu: Zbyt wiele wyszukiwań może prowadzić do przekroczenia limitu czasu podczas oceny SPF, powodując, że wiadomości kończą się niepowodzeniem lub są porzucane.
• Odrzucone wiadomości e-mail: Niektóre serwery odbiorcze mogą wprost odrzucać lub oznaczać wiadomości e-mail z SPF Permerror w celu ochrony swojej infrastruktury.
• DMARC zawodzi: Jeśli polityka DMARC opiera się na wyrównaniu SPF, nieudane sprawdzenie SPF może złamać DMARC i zmniejszyć wiarygodność domeny.

Jak naprawić SPF Permerror (krok po kroku)

Poprawki ręczne

• Usuń nieużywane mechanizmy dołączania

Przejrzyj każdy include: w rekordzie SPF i sprawdź, czy jest on nadal potrzebny. Jeśli jest on powiązany z usługą, z której już nie korzystasz, usuń go.

• Zastąp include adresami IP (jeśli są statyczne)

Jeśli include: wskazuje tylko na statyczny adres IP lub mały zakres adresów IP, zastąp go bezpośrednio mechanizmem ip4: lub ip6:, aby uniknąć wyszukiwania DNS.

• Wyeliminuj mechanizmy PTR

PTR jest odradzany przez RFC 7208 ze względu na wydajność i niezawodność. Należy go całkowicie usunąć, aby zmniejszyć liczbę wyszukiwań i uniknąć błędów.

• Konsolidacja obejmuje domeny

Niektóre usługi (np. platformy e-mail lub dostawcy) oferują wiele wpisów SPF. Sprawdź ich dokumentację, ponieważ często zapewniają one jeden skonsolidowany wpis, którego można użyć zamiast wielu.

• W miarę możliwości używaj ip4 / ip6.

Jeśli znasz adresy IP swoich serwerów wysyłających, dodaj je bezpośrednio za pomocą ip4: lub ip6: zamiast polegać na mechanizmach takich jak MX lub A, które wymagają wyszukiwania.

Najlepsza praktyka: użyj automatycznego narzędzia do spłaszczania SPF.

Automatyczne spłaszczanie SPF to proces dynamicznego przekształcania wielu instrukcji "include" i innych wyszukiwań opartych na DNS w uproszczoną listę adresów IP. Takie podejście zmniejsza liczbę wyszukiwań DNS podczas sprawdzania SPF.

Ręczne spłaszczanie SPF może wydawać się szybkim rozwiązaniem, ale wiąże się z poważnym ryzykiem. Jeśli dostawca usług poczty elektronicznej zmieni adresy IP wysyłające wiadomości, rekord SPF nie odzwierciedli tej zmiany, chyba że zostanie ręcznie zaktualizowany. Dlatego też, aby zachować zgodność, konieczne jest stałe monitorowanie i ręczne wprowadzanie zmian. Nieaktualny adres IP w spłaszczonym rekordzie może spowodować awarię SPF, co wpłynie na dostarczalność wiadomości e-mail i zgodność z DMARC.

PowerSPF to nasze hostowane narzędzie do spłaszczania i optymalizacji SPF, które automatyzuje cały proces, dzięki czemu nigdy więcej nie musisz martwić się o limity wyszukiwania lub zmiany adresów IP.

• Automatyczne aktualizacje w przypadku zmiany adresów IP przez dostawców: Aktualizujemy rekord SPF w czasie rzeczywistym.
• Jednorazowa konfiguracja: Skonfiguruj raz i zapomnij. Nie wymaga bieżącej konserwacji.
• Liczba wyszukiwań pozostaje niska: Twój rekord SPF pozostaje zwięzły i zgodny z wytycznymi i ograniczeniami RFC.

Najważniejsze różnice między błędem SPF Fail a błędem SPF Permerror

Zapobieganie zbyt dużej liczbie pętli DNS i innym błędom SPF

Zapobieganie błędom SPF wymaga ciągłej uwagi, zwłaszcza w miarę zmian infrastruktury poczty elektronicznej i dodawania nowych usług stron trzecich. Kilka spójnych praktyk pomaga utrzymać rekordy SPF w stanie ważnym i bezpiecznym w ramach limitów protokołu (nawet jeśli konfiguracja nadal ewoluuje).

Aktualizowanie ustawień dostawcy usług poczty elektronicznej gwarantuje, że autoryzowane źródła wysyłania pozostają zgodne z rekordem SPF. Gdy dostawcy aktualizują swoją infrastrukturę wysyłania lub zalecają zmiany w celu uwzględnienia domen, brak odzwierciedlenia tych aktualizacji może prowadzić do błędów uwierzytelniania.

Równie ważne jest sprawdzanie konfiguracji SPF za każdym razem, gdy dodawani są nowi dostawcy, usuwani lub zastępowani są dotychczasowi. Platformy marketingowe, systemy rozliczeniowe, narzędzia wsparcia i usługi automatyzacji często wysyłają wiadomości e-mail w imieniu Twojej domeny, a każda zmiana powinna powodować sprawdzenie, czy rekord SPF nadal odzwierciedla wszystkich aktywnych nadawców.

Utrzymanie harmonogramu okresowych audytów pomaga zapobiegać nadmiernemu komplikowaniu rekordów. Regularne przeglądy ułatwiają usuwanie nieużywanych instrukcji include, śledzenie wyszukiwań DNS i zapewnienie, że rekord pozostaje w granicach limitu wyszukiwania SPF, zanim pojawią się błędy.

Dokumentowanie wszystkich usług, które wysyłają wiadomości e-mail w imieniu Twojej domeny, zapewnia jasny punkt odniesienia dla przyszłych aktualizacji. Prosta lista zatwierdzonych nadawców ogranicza domysły, przyspiesza rozwiązywanie problemów i pomaga utrzymać czystą, niezawodną konfigurację SPF przez długi czas.

Wniosek

SPF Permerror może mieć wpływ na dostarczalność, kondycję domeny i bezpieczeństwo. Proste wysiłki, takie jak usunięcie zbędnych mechanizmów, zastąpienie mechanizmów zakresami IP i monitorowanie dostarczalności, mogą przejść długą drogę.

A dla organizacji, które chcą uniknąć kłopotów i zaoszczędzić czas, dostępne są rozwiązania hostowane, takie jak PowerSPF. Chcesz dowiedzieć się, jak to działa i jak może zmienić Twoje podejście do uwierzytelniania?Umów sięjuż dziśna bezpłatną prezentacjęz jednym z naszych ekspertów!

Często zadawane pytania (FAQ)

Czy SPF może przekroczyć 10 wyszukiwań, jeśli zajdzie taka potrzeba?

Nie, SPF jest ściśle ograniczony do 10 wyszukiwań DNS podczas oceny, zgodnie z definicją w RFC 7208. Przekroczenie tego limitu powoduje Permerror, a wiadomości e-mail mogą zostać odrzucone lub oznaczone jako spam.

Czy mogę mieć wiele rekordów SPF?

Nie. Powinieneś skonfigurować tylko 1 rekord SPF na domenę, który autoryzuje wszystkie źródła wysyłania dla tej domeny. Wiele rekordów może unieważnić wszystkie z nich, powodując błędy.

Jaki jest najbezpieczniejszy sposób na naprawienie Permerror?

Najbezpieczniejszym sposobem naprawienia Permerror jest użycie hostowanego rozwiązania SPF, takiego jak PowerSPF, do dynamicznej optymalizacji SPF, z pomocą ekspertów dostępną 24/7.  

Czy spłaszczanie jest bezpieczne dla dynamicznych adresów IP?

Jeśli Twój dostawca korzysta z dynamicznych adresów IP, ręczne spłaszczanie może szybko stać się nieaktualne, powodując awarie SPF. W przypadku dynamicznych lub często zmieniających się adresów IP najbezpieczniejszą opcją jest skorzystanie z hostowanego rozwiązania, które automatycznie pobiera i aktualizuje adresy IP w Twoim imieniu. 

• O
• Latest Posts

Maitham Al Lawati

Ekspert ds. cyberbezpieczeństwa, CEO w PowerDMARC

Maitham jest przedsiębiorcą technologicznym, ekspertem ds. cyberbezpieczeństwa, dyrektorem generalnym i założycielem PowerDMARC z ponad 15-letnim doświadczeniem w branży. Maitham posiada tytuł Global MBA Uniwersytetu w Manchesterze oraz różne certyfikaty zawodowe, w tym CISSP, CISM, CRISC i ISC2 CCSP.

Najnowsze posty autorstwa Maitham Al Lawati (zobacz wszystkie)

• Statystyki dotyczące phishingu e-mailowego i DMARC: trendy w zakresie bezpieczeństwa poczty elektronicznej w 2026 r. – 6 stycznia 2026 r.
• Jak naprawić błąd „Nie znaleziono rekordu SPF” w 2026 r. – 3 stycznia 2026 r.
• SPF Permerror: Jak naprawić zbyt dużą liczbę wyszukiwań DNS – 24 grudnia 2025 r.