Napraw błąd SPF: Overcome SPF Too Many DNS Lookups Limit
Czas odczytu: 7 min
Sender Policy Framework (SPF) to metoda uwierzytelniania poczty e-mail, która pomaga chronić domenę przed spoofingiem. Czasami jednak można napotkać błąd o nazwie SPF Permerror - znany również jako stały błąd SPF - zwykle spowodowany zbyt dużą liczbą wyszukiwań DNS w rekordzie SPF.
Dlaczego jest to ważne? Ponieważ jeśli Twój rekord SPF zostanie uszkodzony, Twoje legalne wiadomości e-mail mogą wylądować w folderach spamu lub zostać całkowicie odrzucone. Może to również spowodować DMARC zawiedziewpływając na ogólne bezpieczeństwo i dostarczalność wiadomości e-mail w Twojej domenie.
Osiągnąłeś limit 10 wyszukiwań? Oto co należy zrobić. Na tym blogu wyjaśnimy, co powoduje ten błąd i przedstawimy proste sposoby jego naprawienia.
Kluczowe wnioski
- SPF Permerror wskazuje, że istnieje podstawowy problem z rekordem SPF domeny, uniemożliwiający dokładną ocenę.
- Przekroczenie limitu 10 wyszukiwań DNS może spowodować poważne problemy, takie jak odrzucenie wiadomości e-mail lub zaklasyfikowanie ich jako spam.
- Błędy składni w rekordzie SPF mogą prowadzić do Permerror, co wymaga starannego formatowania i weryfikacji.
- Zbyt duże rekordy SPF mogą przekraczać ustalone limity znaków, przyczyniając się do problemów z dostarczalnością i potencjalnych błędów SPF.
- Korzystanie z narzędzi do spłaszczania SPF może pomóc zoptymalizować rekordy, aby zapobiec permerrorom i poprawić uwierzytelnianie wiadomości e-mail.
Co to jest SPF Permerror?
Permerror SPF jest trwałym błędem w rekordzie SPF, co oznacza, że jest z nim coś nie tak, co uniemożliwia jego działanie.
Wynik Permerror jest zwracany przez odbierające serwery pocztowe, gdy rekord SPF ma krytyczny problem, który uniemożliwia jego ocenę, taki jak nieprawidłowa składnia, zbyt wiele wyszukiwań DNS (ponad limit 10) lub nieprawidłowe mechanizmy. W przeciwieństwie do zwykłego "niepowodzenia" SPF (co oznacza, że wiadomość e-mail nie przeszła uwierzytelnienia), Permerror wskazuje, że sam rekord SPF jest uszkodzony lub źle skonfigurowany. Wpływa to nie tylko na dostarczalność, ale może również osłabić działanie DMARC jeśli SPF jest jedynym mechanizmem używanym do wyrównywania wiadomości e-mail.
Kluczowe różnice: SPF Fail i SPF Permerror
| SPF Fail | Błąd SPF | |
|---|---|---|
| Co to oznacza | Rekord SPF został znaleziony i oceniony, ale nadawca nie jest autoryzowany. | Rekord SPF nie mógł zostać oceniony z powodu błędu lub nieprawidłowej konfiguracji. |
| Przyczyna | Adres IP nadawcy nie jest wymieniony w rekordzie SPF domeny | Uszkodzona składnia SPF, zbyt wiele wyszukiwań DNS lub inne krytyczne problemy. |
| Typ emisji | Problem tymczasowy (e-mail nieautoryzowany) | Trwały błąd (rekord SPF jest nieprawidłowy lub nieczytelny) |
| Wpływ | Wiadomości e-mail mogą zostać odrzucone lub oznaczone jako spam | Wiadomości e-mail mogą zostać odrzucone lub przepuszczone bez weryfikacji SPF |
| Dostosowanie DMARC | Może spowodować niepowodzenie DMARC, jeśli SPF nie jest wyrównany. | Może złamać DMARC, zwłaszcza jeśli SPF jest jedynym mechanizmem wyrównania. |
| Fix | Przejrzyj listę nadawców, aby autoryzować legalnych nadawców. | Wymaga naprawienia rekordu SPF w celu przywrócenia funkcjonalności |
Dlaczego SPF ma limit 10 wyszukiwań DNS?
Limit 10 wyszukiwań DNS w SPF może wydawać się restrykcyjny, ale istnieje on z bardzo dobrego powodu.
Zgodnie z RFC 7208limit ten istnieje przede wszystkim ze względów bezpieczeństwa i wydajności. W szczególności pomaga chronić odbierające serwery pocztowe przed Denial-of-Service (DoS) spowodowanymi nadmierną liczbą zapytań DNS.
Oto jak można go nadużywać:
Podmiot stanowiący zagrożenie może utworzyć złośliwy rekord SPF, który wyzwala setki wyszukiwań DNS, odwołując się do wielu domen lub elementów. Może to być powiązane z fałszywą domeną udającą zaufaną firmę. Za każdym razem, gdy serwer odbierający próbuje zweryfikować taką wiadomość e-mail, byłby zmuszony do rozwiązania wszystkich tych wyszukiwań, spowalniając serwer lub nawet go zawieszając.
Ograniczając liczbę wyszukiwań DNS do 10, SPF pomaga:
- Utrzymanie wydajności przetwarzania wiadomości e-mail
- Ochrona przed atakami wyczerpania zasobów
- Poprawa niezawodności antyspoofingu poprzez zachęcanie do lepszego projektowania rekordów SPF.
Co powoduje SPF Permerror?
Permerror SPF może być wywołany przez kilka czynników, w tym nadmierne wyszukiwania DNS, błędy składni, źle skonfigurowane rekordy, a nawet zbyt duże wpisy SPF. Przeanalizujmy najczęstsze przyczyny:
1. Błędy składni SPF
Nieprawidłowe formatowanie lub niepoprawna składnia w rekordzie SPF może prowadzić do błędu Permerror, uniemożliwiając prawidłową ocenę.
Najczęstsze przyczyny:
- Brakujące lub niewłaściwie umieszczone znaki (np. cudzysłowy " lub dwukropki 🙂
- Nieprawidłowe lub zniekształcone mechanizmy lub kwalifikatory (np. użycie include_spf.example.com zamiast include:spf.example.com)
- Nieprawidłowe definicje makr lub nieobsługiwane makra
Przykłady:
❌ v=spf1 include_spf.example.com -all → brakujący dwukropek w include
❌ v=spf1 +mx a:mail.example.com -all → + kwalifikator jest niepotrzebny i często nadużywany
2. Problemy z konfiguracją DNS
Obejmują one problemy z konfiguracją DNS związaną z rekordem SPF.
Typowe problemy:
- Rekord SPF wskazujący na nieistniejące lub źle skonfigurowane domeny
- Brakujące rekordy SPF w przywoływanych domenach
- Nieprawidłowe lub przestarzałe typy rekordów DNS (np. używanie rekordów typu SPF zamiast TXT).
Przykład:
Odniesienia do domeny zawierają:spf.partner.com, ale spf.partner.com nie istnieje lub nie ma rekordu TXT, co prowadzi do niepowodzenia oceny SPF.
3. Zbyt wiele wyszukiwań DNS
SPF zezwala tylko na 10 wyszukiwań DNS podczas oceny rekordu, zgodnie z definicją w RFC 7208, sekcja 4.6.4. Jest to środek bezpieczeństwa mający na celu zapobieganie nadużyciom (np. atakom typu Denial-of-Service) i utrzymanie niskiej wagi ocen.
Co liczy się jako wyszukiwanie:
- zamieścić
- a, mx, ptr
- istnieje, przekieruj
Puste wyszukiwania (zapytania, które nie zwracają żadnych danych DNS) są również ograniczone do 2.
Wspólna przyczyna:
Rekord SPF z wieloma mechanizmami include: lub zagnieżdżonymi mechanizmami include, które łącznie przekraczają limit 10 wyszukiwań.
4. Okrągły Obejmuje
Circular includes występuje, gdy rekordy SPF odwołują się do siebie w pętli, tworząc nieskończone cykle rozwiązywania.
Przykład:
- Domena A: v=spf1 include:domainB.com -all
- Domena B: v=spf1 include:domainA.com -all
To odwołanie cykliczne powoduje, że ewaluacja SPF kończy się niepowodzeniem, co często skutkuje błędem Permerror.
5. Nieprawidłowe mechanizmy lub kwalifikatory
Używanie nierozpoznanych lub przestarzałych mechanizmów w rekordzie SPF może spowodować błąd Permerror.
Typowe błędy:
- Literówki, takie jak ip6v zamiast ip6
- Nieobsługiwane mechanizmy, takie jak all:, ptr: używane nieprawidłowo
- Niepotrzebne lub nieprawidłowe używanie kwalifikatorów + lub ?
Przykład:
❌ v=spf1 ptr:mail.example.com -all → odradzany mechanizm
❌ v=spf1 ip4v:192.0.2.0/24 -all → nieprawidłowy mechanizm (ip4v powinno być ip4)
6. Ponadwymiarowe rekordy SPF
Rekordy SPF muszą przestrzegać ograniczeń rozmiaru:
- Każdy ciąg znaków w rekordzie TXT musi mieć długość ≤ 255 znaków
- Całkowita długość rekordu TXT nie powinna przekraczać 512 bajtów
Przyczyny zbyt dużych rekordów:
- Zbyt wiele adresów IP, elementów lub mechanizmów
- Zduplikowane lub niepotrzebne wpisy
Przykład:
Rekord taki jak v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.0/24 include:spf1.example.com include:spf2.example.com include:spf3.example.com include:spf4.example.com -all może przekroczyć limity DNS lub ograniczenia rozmiaru.
Jak SPF Lookup Overload psuje twoje wiadomości e-mail
Gdy rekord SPF uruchamia więcej niż 10 wyszukiwań DNS, może to poważnie zakłócić dostarczanie wiadomości e-mail. Oto co może się stać:
- Opóźnienia w dostawie: Serwery pocztowe mogą spowolnić przetwarzanie podczas próby oceny rekordu SPF, powodując opóźnienia w dostarczaniu.
- Błędy przekroczenia limitu czasu: Zbyt wiele wyszukiwań może prowadzić do przekroczenia limitu czasu podczas oceny SPF, powodując, że wiadomości kończą się niepowodzeniem lub są porzucane.
- Odrzucone wiadomości e-mail: Niektóre serwery odbiorcze mogą wprost odrzucać lub oznaczać wiadomości e-mail z SPF Permerror w celu ochrony swojej infrastruktury.
- DMARC zawodzi: Jeśli polityka DMARC opiera się na wyrównaniu SPF, nieudane sprawdzenie SPF może złamać DMARC i zmniejszyć wiarygodność domeny.
Jak naprawić SPF Permerror (krok po kroku)
Poprawki ręczne
- Usuń nieużywane mechanizmy dołączania
Przejrzyj każdy include: w rekordzie SPF i sprawdź, czy jest on nadal potrzebny. Jeśli jest on powiązany z usługą, z której już nie korzystasz, usuń go.
- Zastąp include adresami IP (jeśli są statyczne)
Jeśli include: wskazuje tylko na statyczny adres IP lub mały zakres adresów IP, zastąp go bezpośrednio mechanizmem ip4: lub ip6:, aby uniknąć wyszukiwania DNS.
- Eliminacja mechanizmów PTR
PTR jest odradzany przez RFC 7208 ze względu na wydajność i niezawodność. Należy go całkowicie usunąć, aby zmniejszyć liczbę wyszukiwań i uniknąć błędów.
- Konsolidacja obejmuje domeny
Niektóre usługi (np. platformy e-mail lub dostawcy) oferują wiele wpisów SPF. Sprawdź ich dokumentację, ponieważ często zapewniają one jeden skonsolidowany wpis, którego można użyć zamiast wielu.
- Używaj ip4 / ip6 tam, gdzie to możliwe
Jeśli znasz adresy IP swoich serwerów wysyłających, dodaj je bezpośrednio za pomocą ip4: lub ip6: zamiast polegać na mechanizmach takich jak MX lub A, które wymagają wyszukiwania.
Najlepsze praktyki: Używaj automatycznego narzędzia do spłaszczania SPF
Automatyczne spłaszczanie SPF to proces dynamicznego przekształcania wielu instrukcji "include" i innych wyszukiwań opartych na DNS w uproszczoną listę adresów IP. Takie podejście zmniejsza liczbę wyszukiwań DNS podczas sprawdzania SPF.
Ręczne spłaszczanie SPF może wydawać się szybkim rozwiązaniem, ale wiąże się z poważnym ryzykiem. Jeśli Twój dostawca usług poczty elektronicznej zmieni swoje wysyłające adresy IP, Twój rekord SPF nie odzwierciedli tej zmiany, chyba że zaktualizujesz go ręcznie. W związku z tym wymaga to ciągłego monitorowania i ręcznej edycji, aby zachować zgodność. Nieaktualny adres IP w spłaszczonym rekordzie może spowodować niepowodzenie SPF, wpływając na dostarczalność wiadomości e-mail i zgodność z DMARC.
PowerSPF to nasze hostowane narzędzie do spłaszczania i optymalizacji SPF, które automatyzuje cały proces, dzięki czemu nigdy więcej nie musisz martwić się o limity wyszukiwania lub zmiany adresów IP.
- Automatyczne aktualizacje, gdy sprzedawcy zmieniają adresy IP: Aktualizujemy rekord SPF w czasie rzeczywistym.
- Jednorazowa konfiguracja: Ustaw raz i zapomnij. Brak bieżącej konserwacji.
- Liczba wyszukiwań pozostaje niska: Rekord SPF pozostaje niski i zgodny z wytycznymi i ograniczeniami RFC.
Najczęściej zadawane pytania
- Czy w razie potrzeby SPF może przekroczyć 10 wyszukiwań?
Nie, SPF jest ściśle ograniczony do 10 wyszukiwań DNS podczas oceny, zgodnie z definicją w RFC 7208. Przekroczenie tego limitu powoduje Permerror, a wiadomości e-mail mogą zostać odrzucone lub oznaczone jako spam.
- Czy mogę mieć wiele rekordów SPF?
Nie. Powinieneś skonfigurować tylko 1 rekord SPF na domenę, który autoryzuje wszystkie źródła wysyłania dla tej domeny. Wiele rekordów może unieważnić wszystkie z nich, powodując błędy.
- Jaki jest najbezpieczniejszy sposób na naprawienie Permerror?
Najbezpieczniejszym sposobem naprawienia Permerror jest użycie hostowanego rozwiązania SPF, takiego jak PowerSPF, do dynamicznej optymalizacji SPF, z pomocą ekspertów dostępną 24/7.
- Czy spłaszczanie jest bezpieczne dla dynamicznych adresów IP?
Jeśli Twój dostawca korzysta z dynamicznych adresów IP, ręczne spłaszczanie może szybko stać się nieaktualne, powodując błędy SPF. W przypadku dynamicznych lub często zmieniających się adresów IP, najbezpieczniejszą opcją jest skorzystanie z hostowanego rozwiązania, które automatycznie pobiera i aktualizuje adresy IP w imieniu użytkownika.
"Świetny produkt i świetny zespół"
Hakob Sharabkhanyan (dyrektor generalny Hacktech)
Przemyślenia końcowe
SPF Permerror może mieć wpływ na dostarczalność, kondycję domeny i bezpieczeństwo. Proste wysiłki, takie jak usunięcie zbędnych mechanizmów, zastąpienie mechanizmów zakresami IP i monitorowanie dostarczalności, mogą przejść długą drogę.
A dla organizacji, które chcą uniknąć kłopotów i zaoszczędzić czas, dostępne są rozwiązania hostowane, takie jak PowerSPF. Chcesz dowiedzieć się, jak to działa i jak może zmienić Twój stan uwierzytelniania? Zaplanuj bezpłatne demo już dziś z jednym z naszych wewnętrznych ekspertów!
Ekspert ds. cyberbezpieczeństwa, CEO w PowerDMARC
Maitham jest przedsiębiorcą technologicznym, ekspertem ds. cyberbezpieczeństwa, dyrektorem generalnym i założycielem PowerDMARC z ponad 15-letnim doświadczeniem w branży. Maitham posiada tytuł Global MBA Uniwersytetu w Manchesterze oraz różne certyfikaty zawodowe, w tym CISSP, CISM, CRISC i ISC2 CCSP.
Najnowsze posty autorstwa Maitham Al Lawati (zobacz wszystkie)
- Co to jest DMARC? Jak to działa, zasady i wskazówki dotyczące konfiguracji - 28 listopada 2025 r.
- Czym jest polityka DMARC? Brak, kwarantanna i odrzucenie - 27 listopada 2025 r.
- Jak skonfigurować DMARC: Przewodnik konfiguracji krok po kroku - 25 listopada 2025 r.
