Defaults.Exposed

Defaults.Exposed › Доклади

Докладът за неправилни конфигурации на SPF: Повечето SPF записи са настроени твърде слабо (2026)

Публикувано 2026-06-29

Данни към 2026-06-29 · методология v7. Обобщени данни от преброяването в 138,927,207 домейна, публикуващи SPF запис, от 261 милиона оценени домейна. Вижте как оценяваме.

Наличието на SPF не е същото като правилното му задаване — и повечето домейни, публикуващи SPF, го имат настроен твърде слабо, за да постигне нещо. От 139 милиона домейна с SPF запис, 55.8% завършват с ~all (softfail), разрешителната настройка, казваща на получателите „може да е фалшификат, но доставете го все пак”. Само 39.3% използват строгото -all. SPF е широко прието, но по-често отколкото не — безопасен.

Механизмът „all”: където SPF се печели или губи

Всеки SPF запис завършва с механизъм „all”, казващ какво да се прави с поща от сървъри, неизброени в списъка ви. Това е целият смисъл на SPF — и най-честото място, където се отслабва:

КрайЗначениеДомейни с SPF
-all (hardfail)Отхвърли неизброените изпращачи — строгата, предназначена настройка39.3%
~all (softfail)„Вероятно е фалшификат, но приемете го все пак”55.8%
?all (неутрален)Без мнение — ефективно без защита3.0%
+allУпълномощи целия интернет да изпраща от вас36,014 домейна
друг / никакъвсамо redirect/include или без краен all1.8%

Главното е, че softfail (~all) е най-честата настройка при 55.8% — повече от hardfail. Само по себе си softfail осигурява слаба защита: иска от получателите да не се доверяват на неизброена поща, но не и да я отхвърлят.

Опасните гранични случаи

Проблем ли е наистина softfail?

Не ако е подкрепено от DMARC. Съвременната добра практика е ~all плюс DMARC политика quarantine или reject — тази комбинация дава строго прилагане, без да чупи препратената поща. Проблемът е голямата група домейни при ~all без прилагащ DMARC зад него — само 10.59% от всички домейни прилагат DMARC — което оставя softfail да прави почти нищо. SPF, зададен на ~all, е средство за цел; без DMARC, той е само предложение.

Често задавани въпроси

Каква е разликата между ~all и -all в SPF? -all (hardfail) казва на получателите да отхвърлят поща от сървъри, неизброени в списъка ви. ~all (softfail) им казва да я приемат все пак, но да я маркират като подозрителна. 55.8% от домейните с SPF използват ~all; 39.3% използват -all.

Безопасно ли е да се използва ~all (softfail)? Да — но само при сдвояване с прилагаща DMARC политика (quarantine или reject). Само по себе си softfail осигурява слаба защита.

Какво прави +all? +all упълномощава всеки сървър в интернет да изпраща имейл от вашия домейн — по-лошо от никакъв SPF. 36,014 домейна имат това, почти винаги по погрешка.

Какво е грешката „твърде много търсения” при SPF? SPF позволява най-много 10 вложени DNS търсения; след тях записът се проваля като „permerror” и се игнорира. Засяга 7,958 домейна.

Проверете дали SPF е зададен правилно

Публикуването на SPF е половината от работата; правилното му задаване и подкрепянето му с DMARC е другата половина. Проверете домейна си частно и безплатно.

Проверете вашия домейн → · Поправете SPF → · Поправете DMARC → · Защо имейлите отиват в спам → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.