Defaults.Exposed › Доклади
SPF ~all срещу -all: мека или твърда грешка — какво избраха 139 милиона записа (2026)
Публикувано 2026-07-03
Данни към 2026-06-29 · методология v7. Обобщени данни от преброяването за 261 милиона оценени домейна. Всички данни са обобщени — никога не публикуваме записа на отделен бизнес. Вижте как оценяваме.
Всеки SPF запис завършва с механизъм „all” — вердикта за поща от всяко място, незалегнало в списъка ви — и интернетът е избрал масово меката опция: 55.8% от 139 милиона домейна, публикуващи SPF, завършват с ~all (softfail), срещу 39.3% завършващи с -all (hardfail). Един символ разделя „отхвърли фалшификати” от „вероятно фалшификат — достави го все пак”. Кой е правилният за вас зависи от втора настройка, която повечето собственици никога не конфигурират.
Какво всъщност казват ~all и -all на приемащия?
-all(hardfail): „Откажи поща от всяко друго място.” Категорично „не”.~all(softfail): „Поща от другаде вероятно не е легитимна — приемете я, може и с маркировка.” Свиване на рамене.?all(неутрален): „Без мнение.” Избран от 3.0% от публикувалите; защита само по название.+all: „Всеки може да изпраща като мен.” Публикуван от 36,014 домейна, и по-лошо от липсата на запис — проблемът с изтривалката за крака има собствен доклад.
Грешен ли е ~all тогава? Само ако е сам — а почти винаги е
Softfail има защитима съвременна обосновка: насоките за изпращачи на Google, и повечето практики за доставяемост с тях, се обединяват около ~all в комбинация с прилагаща DMARC политика (p=reject). Комбинацията защитава толкова добре, колкото -all при всеки приемащ DMARC — което вече включва всички основни доставчици на пощенски кутии — без твърдо отхвърляне на легитимно препратена поща, класическата жертва на -all. В тази конфигурация свиването на рамене има зъби: DMARC дава вердикта, от който SPF се е отказал.
Но комбинацията е цялата точка, и ето какво добавя преброяването, което ръководствата за настройка не могат: от 77,484,057 softfail записи в интернет само 7.1 милиона — около 1 на 11 — имат зад себе си прилагаща DMARC политика. За другите 70.4 милиона домейна ~all е точно това, което звучи. Записът им идентифицира фалшификата и го пропуска.
Нали мандатите от 2024 г. поправиха това?
Не — и разграничението е по-важно, отколкото повечето коментари подсказват. Google и Yahoo започнаха да изискват удостоверяване от масовите изпращачи от февруари 2024 г., с Microsoft последвал от май 2025 г.: преминаване, подравнен SPF или DKIM, плюс DMARC запис при минимум p=none. Мандатите не стигат до изискване за прилагане — домейн с ~all, p=none запис и подравнен DKIM изцяло отговаря на изискванията и остава напълно подправяем. Мандатите нормализираха документацията, а не защитата. Тази неприложена средна зона — съответстваща, публикувана, подправяема — е именно пропастта, която мери това преброяване, и тя е най-голямата популация в сигурността на имейл.
Така с какво трябва да завършва вашият запис?
- Изпращате поща и препращането е важно (бюлетини, пощенски списъци, псевдоними):
~allс DMARCp=rejectзад него — препоръчаната комбинация по-горе. - Изпращате поща от строго контролирана настройка:
-allработи и заявява политиката в самия запис. Картографирайте изпращачите си първо — строг край на немартографиран запис чупи реална поща, или по-лошо. - Домейнът никога не изпраща:
-allплюсp=reject, сега. Нищо легитимно не съществува за защита, така че няма какво да се счупи.
Каквото и да изберете, еднолинейният извод от преброяването важи: квалификаторът е важен толкова, колкото е важно това, което го прилага. На коя стъпка от тази стълба стоите е измеримо.
Често задавани въпроси
По-добър ли е SPF ~all или -all?
Нито единият, универсално. ~all с прилагаща DMARC политика е моделът, препоръчан от насоките на Google — равна защита при приемащите DMARC без счупване на препратена поща. -all подхожда на строго контролирани изпращачи. ~all само — състоянието на всички освен 1 на 11 softfail домейна — е слабата опция.
Какво означава SPF softfail?
~all казва на приемащите, че поща от нелизирани сървъри е вероятно нелегитимна, но трябва да се приема, обикновено с подозрение. Превръща се в реална защита само когато DMARC политика действа при грешката; вижте SPF без DMARC.
Ще счупи ли hardfail -all препратения ми имейл?
Може: препращането изпраща повторно вашата поща от сървъра на препращача, когото вашият SPF не включва в списъка, и hardfail кани отхвърляне преди DKIM или DMARC да са изразили мнение. Затова съществува комбинацията ~all + p=reject.
Изискват ли вече Google и Microsoft -all?
Не. Мандатите за масови изпращачи изискват подравнено, преминаващо удостоверяване и DMARC запис при минимум p=none — без прилагане, без специфичен квалификатор. Отхвърлянето от Google на несъответстваща масова поща е активно; Microsoft блокира грешките и се насочва към пълно отхвърляне. Съответствието не е защита.
Проверете с какво завършва вашият запис — и какво стои зад него
Две проверки ви дават и двете, безплатно, за 30 секунди. Ако сте сред 70.4 милиона неприложени свивания на рамене, поправката е DNS запис, не покупка.
Проверете домейна си → · Поправете SPF → · Поправете DMARC → · Моделът за зрялост на SPF → · Картата +all → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.