为什么 /audit 只需 3 秒？

我们只读 DNS 与邮件头关键字段，采用多解析器并发与 2 秒超时策略，返回结构化结果与建议。

什么是 Proof‑of‑Scan？

对规范化 JSON 计算 sha256，并提供 Verify 接口，用多个公共 DNS 复算以比对哈希一致。

会保存邮件正文吗？

不会。仅解析头部；.eml 在解析后立即删除；PDF 与 JSON 仅用于证据目的。

为什么有 10 次查询上限？

为避免过度的 DNS 查询造成拒绝服务风险，RFC 7208 规定接收方可在 10 次查询后停止评估；超过后结果不再可靠，可能被视为 fail 或中止。

哪些机制会触发查询？

include、a、mx、ptr、exists、redirect 会触发；ip4/ip6/all 不会。子查询的递归也计入总数。

扁平化会不会影响供应商变更？

建议仅扁平化“多年稳定不变”的 IP 范围；对频繁变化的供应商，保留 include 并与其 SRE 沟通变更节奏。

如何验证修复是否成功？

用 /audit 体检确认 lookups ≤ 10，同时生成 PDF（含 scanId/sha256）并通过 Verify 多解析器复算，确保哈希一致。

SPF 10 次查询上限：原理、诊断与扁平化（实战）

这是一篇可直接执行的实战长文，帮助你在不牺牲可维护性的前提下，把 SPF 的 DNS 查询次数稳稳压到 10 次以内，并且留下可以对外自证的证据。阅读时间约 8–10 分钟，建议在迁移/大促前一周完成一次“拉通体检 + 扁平化 + 灰度验证”。

快速开始：体检与验证

输入域名，3 秒得分与徽章；点击 Verify 可用多个公共解析器复算结果，生成可验证证据。

一、背景与原理

SPF 通过一组机制（ip4、ip6、a、mx、include 等）声明“哪些服务器被允许代表此域名发信”。解析这些机制往往需要多次 DNS 查询。为避免被恶意配置拖垮，RFC 7208 允许接收方在累计 10 次查询后停止评估。超过该阈值，你的 SPF 结果可能被接收方视为 permerror 或直接中断，进而影响 DMARC 对齐与投递。

典型诱因包括：深度 include 链、供应商“套餐”域名绑定了多个下游、以及误用 ptr/exists。这些问题往往隐藏在多人协作与历史遗留中，平时不显，关键时刻放大。

二、诊断：如何“数清楚”

拉取 TXT 记录：获取 example.com 与可能的 _spf.example.com、_spf.vendor.com 等 TXT。
展开 include：逐级解析 include: 指向的记录，记录每条机制触发的查询。
累计 lookups：把 include/a/mx/ptr/exists/redirect 的查询累计起来，得到“最坏路径”。
标注稳定/易变：给每个来源打标签——“供应商长期稳定”或“可能频繁变化”。

场景	风险	应对
深度 include 链（>3 层）	lookups 失控，供应商无感新增记录	绘制拓扑并计数，限制深度≤3；与供应商建立变更通知
迁移/大促前临时加白	临时 include 遗留导致常态超限	切换后回收 include；把稳定范围改为 ip4/ip6
PTR/EXISTS 滥用	查询多且不可控	避免使用；以显式 ip4/ip6 取代

提示：我们在 /audit 的结果中会直接给出 lookups 计数，并在建议中标注“可扁平化候选”。

三、修复：三步 SOP

绘制链路并计数（目标 ≤ 8）：留出 2 次缓冲，让供应商的轻微变更不至于立刻踩线。
扁平化“稳定范围”：将“多年不变”的供应商范围改写为 ip4:/ip6:；避免 ptr/exists；可把同一供应商的多个网段归并。
灰度上线 + 监控：先在 mail-staging.example.com 等子域进行 10–20% 灰度，观察 24–48h 后再全量切换。

# 示例 A：多供应商叠加导致超限
v=spf1 include:_spf.vendor-a.com include:_spf.vendor-b.com include:_spf.crm-x.com -all
# 供应商 A 与 B 的 include 又各自包含 a/mx/ptr 等机制，合计 >10

# 示例 B：扁平化（仅对长期稳定范围）
v=spf1 ip4:203.0.113.0/24 ip4:198.51.100.0/24 ip6:2001:db8::/48 include:_spf.crm-x.com -all

四、回归：如何“自证正确”

绘制 include/a/mx/ptr/exists/redirect 全链路，逐一计数（目标 ≤ 8）
区分稳定 vs 易变：仅扁平化长期稳定的供应商 IP 范围
新增供应商先走子域灰度：如 mail-staging.example.com
监控指标：DMARC 对齐通过率、投诉率、退订可用性
完成后生成 PDF 证据（含 scanId/sha256/Verify 链接）

把以上证据固化在变更单中：每次体检生成的 PDF 尾页会打印 scanId/sha256/Verify 链接，任何第三方都可以在你授权的前提下复算并比对哈希一致性，从而“不要相信我们，相信证据”。

五、进阶策略：与供应商协同

当你依赖大型邮件服务商时（例如 _spf.google.com），完全扁平化并不现实。最佳实践是在关键路径保留 include，但与供应商达成“变更提前通知”或“稳定窗口”的协定；在你的 RulePack 中设置 lookups ≥ 8 的预警阈值，一旦超过自动提醒你回归。

六、与 DMARC/对齐/退订的联动

SPF 超限往往与“对齐失败”“退订头丢失”一起出现，因为它们同属一次发布或配置大变动。建议联动检查：

七、常见误区

把所有供应商都扁平化：会失去动态更新能力。只扁平化“多年稳定”的网段。
用 ptr 或 exists 兜底：查询多、不可控，且部分收件方明确不推荐。
忽略灰度：直接全量切换导致大面积失败；务必先做 24–48h 观察。

八、错误 vs 正确（对照表）

场景	风险	应对
深度 include 链（>3 层）	lookups 失控，供应商无感新增记录	绘制拓扑并计数，限制深度≤3；与供应商建立变更通知
迁移/大促前临时加白	临时 include 遗留导致常态超限	切换后回收 include；把稳定范围改为 ip4/ip6
PTR/EXISTS 滥用	查询多且不可控	避免使用；以显式 ip4/ip6 取代

九、落地清单（可打印）

绘制 include/a/mx/ptr/exists/redirect 全链路，逐一计数（目标 ≤ 8）
区分稳定 vs 易变：仅扁平化长期稳定的供应商 IP 范围
新增供应商先走子域灰度：如 mail-staging.example.com
监控指标：DMARC 对齐通过率、投诉率、退订可用性
完成后生成 PDF 证据（含 scanId/sha256/Verify 链接）

十、结语：把“体检→证据→灰度”做成习惯

SPF 只是邮件合规的一部分，但它的“连坐效应”极强：一旦超限，DMARC/对齐/退订的收益都会被抵消。把“体检→证据→灰度”固化为团队 SOP，才是长期稳定的关键。