SPF Permerror: как исправить слишком много DNS-запросов

Sender Policy Framework (SPF) — это метод аутентификации электронной почты, который позволяет владельцам доменов определять, какие почтовые серверы могут отправлять сообщения с использованием их доменного имени. При поступлении сообщения принимающие почтовые серверы проверяют SPF, чтобы убедиться, что оно пришло от одного из утвержденных источников, прежде чем принять решение о его обработке.

Во время проверки SPF PermError указывает на постоянную проблему в записи SPF, которая не позволяет ее правильно оценить. Обычно это происходит, когда запись превышает лимит поиска DNS или содержит структурные проблемы, которые нарушают обработку SPF. Вместо того, чтобы иногда давать сбой, аутентификация сбивается каждый раз.

Когда это происходит, даже легитимные электронные письма могут выглядеть подозрительными для получающих серверов. Сообщения могут быть отклонены, перенаправлены в спам или вызвать сбои DMARC — и все потому, что сама запись SPF не может быть надежно оценена.

Если вы хотите исправить SPF PermError, первым делом необходимо понять, что вызывает эту ошибку. В этой статье мы рассмотрим распространенные причины SPF PermError и объясним практические способы их устранения, чтобы ваши электронные письма правильно аутентифицировались и доходили до нужных почтовых ящиков.

Что такое SPF Permerror?

SPF Permerror - это постоянная ошибка в вашей SPF-записи, означающая, что с ней что-то не так, что мешает ей работать.

Результат Permerror возвращается принимающими почтовыми серверами, когда ваша SPF-запись имеет критические проблемы, из-за которых ее невозможно оценить, например, неправильный синтаксис, слишком большое количество DNS-запросов (более 10) или недействительные механизмы. В отличие от обычного "отказа" SPF (который означает, что письмо не прошло проверку подлинности), Permerror указывает на то, что сама запись SPF повреждена или неправильно сконфигурирована. Это не только влияет на доставляемость, но и может ослабить ваш DMARC если SPF - единственный механизм, который вы используете для согласования почты.

Почему SPF имеет ограничение на 10 DNS-поисков?

Вы можете подумать, что ограничение в 10 DNS-поисков в SPF является ограничительным, но на это есть очень веская причина.

Согласно RFC 7208это ограничение существует в первую очередь в целях безопасности и производительности. В частности, он помогает защитить принимающие почтовые серверы от атак типа "отказ в обслуживании" (DoS) атак, вызванных чрезмерными DNS-запросами.

Вот как этим можно злоупотребить:

Угрожающий субъект может создать вредоносную запись SPF, которая запускает сотни DNS-поисков, ссылаясь на несколько доменов или включений. Это может быть связано с поддельным доменом, выдающим себя за доверенную компанию. Каждый раз, когда сервер-получатель пытается подтвердить такое письмо, ему приходится разрешать все эти запросы, что замедляет работу сервера или даже выводит его из строя.

Благодаря ограничению числа DNS-поисков до 10, SPF помогает:

• Поддерживайте производительность обработки электронной почты
• Защита от атак с исчерпанием ресурсов
• Повышение надежности защиты от подмены путем улучшения дизайна записей SPF

Что вызывает пермерор SPF?

Ошибка SPF Permerror может быть вызвана несколькими причинами, включая чрезмерное количество обращений к DNS, синтаксические ошибки, неправильно настроенные записи или даже слишком большие записи SPF. Давайте разберем наиболее распространенные причины:

1. Синтаксические ошибки SPF

Неправильное форматирование или неверный синтаксис в записи SPF могут привести к пермеррору, препятствующему правильной оценке.

Общие причины:

• Пропущенные или неправильно расставленные символы (например, кавычки " или двоеточия 🙂 .
• Неверные или неправильно оформленные механизмы или квалификаторы (например, использование include_spf.example.com вместо include:spf.example.com)
• Неправильные определения макросов или неподдерживаемые макросы
  

Примеры:

❌ v=spf1 include_spf.example.com -all → отсутствует двоеточие в include

❌ v=spf1 +mx a:mail.example.com -all → + квалификатор не нужен и часто используется неправильно

2. Проблемы с настройкой DNS

Это связано с проблемами в настройках DNS, связанными с вашей SPF-записью.

Общие вопросы:

• Запись SPF, указывающая на несуществующие или неправильно настроенные домены
• Отсутствующие записи SPF на доменах, на которые ссылаются
• Недопустимые или устаревшие типы записей DNS (например, использование записей типа SPF вместо TXT)
  

Пример:

Ссылки на ваш домен включают:spf.partner.com, но spf.partner.com не существует или не имеет TXT-записи, что приводит к ошибке оценки SPF.

3. Слишком много запросов DNS

SPF разрешает только 10 DNS-поисков во время оценки записи, как определено в RFC 7208, раздел 4.6.4. Это мера безопасности, направленная на предотвращение злоупотреблений (например, атак типа "отказ в обслуживании") и сохранение легкости оценок.

Что считается поиском:

• включать
• a, mx, ptr
• существует, перенаправьте
  

Пустые поиски (запросы, не возвращающие никаких данных DNS) также ограничены 2.

Общая причина:

Запись SPF с большим количеством механизмов include: или вложенных include, которые в совокупности превышают лимит в 10 запросов.

4. Циркуляр включает

Циклические включения возникают, когда записи SPF ссылаются друг на друга в цикле, создавая бесконечные циклы разрешения.

Пример:

• Домен A: v=spf1 include:domainB.com -all
• Домен B: v=spf1 include:domainA.com -all

Эта круговая ссылка приводит к сбою оценки SPF, что часто приводит к пермеррору.

5. Недействительные механизмы или квалификаторы

Использование непризнанных или устаревших механизмов в записи SPF может привести к пермеррору.

Распространенные ошибки:

• Опечатки, например ip6v вместо ip6
• Неподдерживаемые механизмы, такие как all:, ptr:, используются некорректно
• Неоправданное или неправильное использование классификаторов + или ?
  

Пример:

❌ v=spf1 ptr:mail.example.com -all → нежелательный механизм
❌ v=spf1 ip4v:192.0.2.0/24 -all → недопустимый механизм (ip4v должен быть ip4)

6. Записи SPF с избыточным размером

Записи SPF должны соответствовать ограничениям по размеру:

• Каждая строка в TXT-записи должна содержать ≤ 255 символов
• Общая длина TXT-записи не должна превышать 512 байт
  

Причины переизбытка записей:

• Слишком много IP, включений или механизмов
• Дублирование или ненужные записи

Пример:

Запись вида v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.0/24 include:spf1.example.com include:spf2.example.com include:spf3.example.com include:spf4.example.com -all может превысить лимиты DNS или ограничения на размер.

Как слишком много DNS-запросов нарушает работу вашей электронной почты

Если ваша SPF-запись вызывает более 10 DNS-запросов, это может серьезно нарушить доставку электронной почты. Вот что может произойти:

• Задержки с доставкой: Серверы электронной почты могут замедлить обработку при попытке оценить вашу запись SPF, что приводит к задержкам в доставке.
• Ошибки таймаута: Слишком большое количество поисков может привести к таймауту во время оценки SPF, в результате чего сообщения не будут приняты или будут отброшены.
• Отклоненные письма: Некоторые серверы-получатели в целях защиты своей инфраструктуры могут напрямую отклонять или отмечать письма с SPF Permerror.
• Сбой DMARC: Если ваша политика DMARC опирается на выравнивание SPF, то неудачная проверка SPF может нарушить DMARC и снизить доверие к вашему домену.

Как исправить ошибку SPF (шаг за шагом)

Ручные исправления

• Удалите неиспользуемые механизмы включения

Просмотрите каждый include: в вашей записи SPF и проверьте, нужен ли он еще. Если он связан с сервисом, который вы больше не используете, удалите его.

• Замените include на IP-адреса (если они статические)

Если include: просто указывает на статический IP или небольшой диапазон IP-адресов, замените его непосредственно механизмом ip4: или ip6:, чтобы избежать поиска DNS.

• Устранить механизмы PTR

PTR не рекомендуется RFC 7208 из-за проблем с производительностью и надежностью. Удалите его полностью, чтобы уменьшить количество поисков и избежать ошибок.

• Консолидировать включить домены

Некоторые сервисы (например, почтовые платформы или провайдеры) предлагают несколько записей SPF. Проверьте их документацию, так как часто они предоставляют одну консолидированную запись, которую вы можете использовать вместо нескольких.

• Используйте ip4 / ip6, где это возможно

Если вы знаете IP-адреса серверов-отправителей, добавьте их напрямую, используя ip4: или ip6:, вместо того чтобы полагаться на такие механизмы, как MX или A, которые требуют поиска.

Лучшая практика: используйте инструмент автоматического сглаживания SPF

Автоматическое сглаживание SPF это процесс динамического преобразования множества утверждений "include" и других DNS-поисков в упрощенный список IP-адресов. Такой подход позволяет сократить количество DNS-поисков при проверке SPF.

Ручное упрощение SPF может показаться быстрым решением, но оно сопряжено с серьезными рисками. Если ваш поставщик услуг электронной почты изменит свои IP-адреса отправки, ваша запись SPF не будет отражать это изменение, если вы не обновите ее вручную. Следовательно, для обеспечения соответствия требованиям необходимо постоянное мониторинг и ручное редактирование. Устаревший IP-адрес в вашей упрощенной записи может привести к сбою SPF, что повлияет на доставку электронной почты и согласование DMARC.

PowerSPF Это наш хостинговый инструмент для сглаживания и оптимизации SPF, который автоматизирует весь процесс, так что вам больше никогда не придется беспокоиться о лимитах поиска или смене IP-адресов.

• Автоматическое обновление при смене IP-адресов поставщиками: мы обновляем вашу запись SPF в режиме реального времени.
• Однократная настройка: настройте один раз и забудьте. Не требует постоянного обслуживания.
• Количество запросов остается низким: Ваша запись SPF остается компактной и соответствует рекомендациям и ограничениям RFC.

Основные различия между SPF Fail и SPF Permerror

Предотвращение слишком большого количества DNS-запросов и других ошибок SPF

Предотвращение ошибок SPF требует постоянного внимания, особенно по мере изменения инфраструктуры электронной почты и добавления новых сторонних служб с течением времени. Несколько последовательных действий помогут сохранить ваши записи SPF действительными и в пределах протокольных ограничений (даже при постоянном развитии вашей конфигурации).

Обновление настроек поставщика услуг электронной почты гарантирует, что авторизованные источники отправки остаются согласованными с вашей записью SPF. Когда поставщики обновляют свою инфраструктуру отправки или рекомендуют изменения для включения доменов, неспособность отразить эти обновления может привести к сбоям в аутентификации.

Не менее важно проверять конфигурацию SPF при добавлении, удалении или замене поставщиков. Маркетинговые платформы, системы биллинга, инструменты поддержки и службы автоматизации часто отправляют электронные письма от имени вашего домена, и каждое изменение должно вызывать проверку, чтобы подтвердить, что ваша запись SPF по-прежнему отражает всех активных отправителей.

Соблюдение графика периодических проверок помогает предотвратить чрезмерное усложнение записей. Регулярные проверки упрощают удаление неиспользуемых операторов include, отслеживание DNS-запросов и обеспечение того, чтобы запись оставалась в пределах лимита SPF-запросов до возникновения ошибок.

Документирование всех служб, которые отправляют электронную почту от имени вашего домена, обеспечивает четкую отправную точку для будущих обновлений. Простой перечень утвержденных отправителей сокращает количество догадок, ускоряет устранение неполадок и помогает поддерживать чистую и надежную конфигурацию SPF на протяжении длительного времени.

Заключение

SPF Permerror может повлиять на доставляемость, здоровье домена и безопасность. Простые усилия, такие как удаление избыточных механизмов, замена механизмов на диапазоны IP-адресов и мониторинг доставляемости, могут принести много пользы.

А для организаций, которые хотят избежать хлопот и сэкономить время, существуют хостинговые решения, такие как PowerSPF. Хотите узнать, как оно работает и как может изменить вашу систему аутентификации?Закажите бесплатную демонстрациюу одного из наших экспертов уже сегодня!

Часто задаваемые вопросы (FAQ)

Может ли SPF при необходимости превышать 10 поисков?

Нет, SPF строго ограничен 10 DNS-поисками во время оценки, как определено в RFC 7208. Превышение этого лимита приводит к пермеррору, и ваши письма могут быть отклонены или помечены как спам.

Можно ли иметь несколько записей SPF?

Нет. Вы должны установить только 1 SPF-запись на домен, которая авторизует все ваши источники отправки для этого домена. Несколько записей могут сделать недействительными все из них, что приведет к ошибкам.

Какой самый надежный способ починить Permerror?

Самый надежный способ исправить Permerror - использовать размещенное SPF-решение, такое как PowerSPF, для динамической оптимизации SPF с круглосуточной поддержкой экспертов.  

Безопасно ли сплющивание для динамических IP?

Если ваш провайдер использует динамические IP-адреса, ручное упрощение может быстро устареть, что приведет к сбоям SPF. Для динамических или часто меняющихся IP-адресов самым безопасным вариантом является использование хостингового решения, которое автоматически извлекает и обновляет IP-адреса от вашего имени. 

• О сайте
• Последние сообщения

Майтхам аль-Лоуати

Эксперт по кибербезопасности, генеральный директор PowerDMARC

Майтем - технологический предприниматель, эксперт по кибербезопасности, генеральный директор и основатель PowerDMARC с 15-летним опытом работы в отрасли. Майтем получил степень Global MBA в Манчестерском университете и различные профессиональные сертификаты, включая CISSP, CISM, CRISC и ISC2 CCSP.

Последние сообщения Maitham Al Lawati (см. все)

• Статистика фишинга и DMARC: тенденции в области безопасности электронной почты на 2026 год — 6 января 2026 г.
• Как исправить ошибку «SPF-запись не найдена» в 2026 году — 3 января 2026 года
• SPF Permerror: как исправить слишком много DNS-запросов — 24 декабря 2025 г.