Defaults.Exposed

Defaults.Exposed › التقارير

‏SPF ‏~all مقابل ‏-all: الفشل الليّن أم الفشل الصارم — ماذا اختار 139 مليون سجل (2026)

نُشر 2026-07-03

الأرقام حتى 2026-06-29 · المنهجية الإصدار 7. بيانات إحصائية مجمّعة عبر 261 مليون نطاق مُقيَّم. جميع الأرقام مجمّعة — نحن لا ننشر أبدًا سجل نشاط تجاري فردي. راجع كيف نمنح الدرجات.

كل سجل SPF ينتهي بآلية “all” — وهي الحكم على البريد القادم من أي مكان ليس على قائمتك — وقد اختار الإنترنت بأغلبية ساحقة الخيار الليّن: ‏55.8٪ من الـ 139 مليون نطاق التي تنشر SPF تنتهي بـ ~all (الفشل الليّن)، مقابل 39.3٪ تنتهي بـ -all (الفشل الصارم). حرف واحد يفصل بين “ارفض التزييف” و”على الأرجح تزييف — سلّمه على أي حال”. أيُّهما مناسب لك يعتمد على إعداد ثانٍ لا يضبطه معظم المالكين إطلاقًا.

ماذا يخبر ‏~all و‏-all المستقبِل فعليًا؟

هل ‏~all خاطئ إذن؟ فقط إن كان وحيدًا — وهو كذلك في الغالب

للفشل الليّن مبرّر حديث يمكن الدفاع عنه: إرشادات المُرسِلين من Google، ومعظم ممارسات إمكانية التسليم المتوافقة معها، تتّجه نحو ~all مقترنًا بسياسة DMARC مُنفِّذة (p=reject). هذا الاقتران يحمي بنفس قدر -all عند كل مستقبِل يُقيِّم DMARC — وهو ما يشمل الآن جميع مزوّدي صناديق البريد الرئيسيين — دون أن يرتدّ البريد المُعاد توجيهه المشروع بشكل صارم، وهو الضحية الكلاسيكية لـ -all. في هذه التهيئة يكتسب التجاهل أنيابًا: DMARC يوفّر الحكم الذي رفض SPF إصداره.

لكن الاقتران هو جوهر الأمر كلّه، وإليك ما يضيفه الإحصاء وما لا تستطيع أدلّة الإعداد إضافته: من بين الـ 77,484,057 سجل فشل ليّن على الإنترنت، لدى 7.1 مليون فقط — أي نحو واحد من كل 11 — سياسة DMARC مُنفِّذة خلفها. أما بالنسبة إلى الـ 70.4 مليون نطاق الأخرى، فإن ~all هو تمامًا ما يبدو عليه. سجلّها يتعرّف على التزييف ويمرّره.

ألم تُصلِح تفويضات 2024 هذا الأمر؟

لا — والتمييز يهمّ أكثر ممّا توحي به معظم التغطيات. بدأت Google وYahoo باشتراط المصادقة من المُرسِلين بالجملة في فبراير 2024، وتبعتهما Microsoft في مايو 2025: ‏SPF أو DKIM ناجح ومُوائم، إضافةً إلى سجل DMARC بحد أدنى p=none. تتوقّف التفويضات دون اشتراط التنفيذ — فالنطاق الذي لديه ~all وسجل p=none وDKIM مُوائم يمتثل امتثالًا كاملًا، ويبقى قابلًا للتزييف تمامًا. التفويضات طبّعت الأوراق، لا الحماية. ذلك الوسط غير المُنفَّذ — مُمتثل، منشور، قابل للتزييف — هو بالضبط الفجوة التي يقيسها هذا الإحصاء، وهو أكبر مجموعة في أمن البريد الإلكتروني.

فبمَ يجب أن ينتهي سجلّك إذن؟

  1. أنت تُرسِل بريدًا وإعادة التوجيه مهمّة (النشرات الإخبارية، القوائم البريدية، الأسماء البديلة): ~all مع DMARC p=reject خلفه — الاقتران الموصى به أعلاه.
  2. أنت تُرسِل بريدًا من إعداد محكوم بإحكام:-all يعمل ويُصرّح بالسياسة في السجل نفسه. اربط خرائط مُرسِليك أولًا — فالنهاية الصارمة على سجل غير مُخطَّط تُعطّل البريد الحقيقي، أو ما هو أسوأ.
  3. النطاق لا يُرسِل أبدًا:-all إضافةً إلى p=reject، اليوم. لا يوجد شيء مشروع لحمايته، فلا يوجد ما يمكن تعطيله.

أيًّا كانت النهاية التي تختارها، يبقى درس الإحصاء المُلخَّص في سطر واحد صحيحًا: المُحدِّد لا يهمّ إلا بقدر ما يُنفِّذه. أين تقف على ذلك السُّلَّم أمرٌ قابل للقياس.

الأسئلة الشائعة

هل ‏SPF ‏~all أفضل أم ‏-all؟ لا هذا ولا ذاك، على نحو مطلق. ‏~all مع سياسة DMARC مُنفِّذة هو النمط الذي توصي به إرشادات Google — حماية متساوية عند المستقبِلين الذين يُقيِّمون DMARC دون تعطيل البريد المُعاد توجيهه. ‏-all يناسب المُرسِلين المحكومين بإحكام. أما ~all وحده — وهو حال كل نطاقات الفشل الليّن باستثناء واحد من كل 11 — فهو الخيار الضعيف.

ماذا يعني الفشل الليّن في SPF؟~all يُخبِر المستقبِلين بأن البريد القادم من خوادم غير مُدرَجة على الأرجح غير مشروع لكن ينبغي قبوله رغم ذلك، عادةً مع الارتياب. لا يصبح حمايةً حقيقية إلا عندما تتصرّف سياسة DMARC حيال الفشل؛ راجع ‏SPF بدون DMARC.

هل سيُعطّل الفشل الصارم ‏-all بريدي المُعاد توجيهه؟ يمكن ذلك: إعادة التوجيه تُعيد إرسال بريدك من خادم جهة التوجيه، وهو ما لا يُدرِجه SPF الخاص بك، والفشل الصارم يدعو إلى الرفض قبل أن يتدخّل DKIM أو DMARC. تلك المخاطرة هي سبب وجود اقتران ~all + p=reject.

هل تشترط Google وMicrosoft ‏-all الآن؟ لا. تفويضات المُرسِلين بالجملة تشترط مصادقة مُوائمة وناجحة وسجل DMARC بحد أدنى p=none — لا تنفيذ، ولا مُحدِّد بعينه. رفض Google للبريد الجماعي غير المُمتثل قائم فعليًا؛ وMicrosoft ما فتئت تُلقي الرسائل الفاشلة في البريد غير المرغوب وتتّجه نحو الرفض التامّ. الامتثال ليس حماية.

تحقّق ممّا ينتهي به سجلّك — وما الذي يقف خلفه

استعلامان يُخبرانك بالأمرين، مجانًا، في 30 ثانية. إن كنت أحد الـ 70.4 مليون تجاهل غير مُنفَّذ، فالإصلاح سجل DNS، لا عملية شراء.

تحقّق من نطاقك ← · أصلِح SPF ← · أصلِح DMARC ← · نموذج نضج SPF ← · خريطة ‏+all ← · بيانات مجمّعة فقط. البيانات مُخزَّنة ومُعالَجة في الاتحاد الأوروبي.