Defaults.Exposed › Доклади
Докладът за неправилни конфигурации на SPF: Повечето SPF записи са настроени твърде слабо (2026)
Публикувано 2026-06-29
Данни към 2026-06-29 · методология v7. Обобщени данни от преброяването в 138,927,207 домейна, публикуващи SPF запис, от 261 милиона оценени домейна. Вижте как оценяваме.
Наличието на SPF не е същото като правилното му задаване — и повечето домейни, публикуващи SPF, го имат настроен твърде слабо, за да постигне нещо. От 139 милиона домейна с SPF запис, 55.8% завършват с ~all (softfail), разрешителната настройка, казваща на получателите „може да е фалшификат, но доставете го все пак”. Само 39.3% използват строгото -all. SPF е широко прието, но по-често отколкото не — безопасен.
Механизмът „all”: където SPF се печели или губи
Всеки SPF запис завършва с механизъм „all”, казващ какво да се прави с поща от сървъри, неизброени в списъка ви. Това е целият смисъл на SPF — и най-честото място, където се отслабва:
| Край | Значение | Домейни с SPF |
|---|---|---|
-all (hardfail) | Отхвърли неизброените изпращачи — строгата, предназначена настройка | 39.3% |
~all (softfail) | „Вероятно е фалшификат, но приемете го все пак” | 55.8% |
?all (неутрален) | Без мнение — ефективно без защита | 3.0% |
+all | Упълномощи целия интернет да изпраща от вас | 36,014 домейна |
| друг / никакъв | само redirect/include или без краен all | 1.8% |
Главното е, че softfail (~all) е най-честата настройка при 55.8% — повече от hardfail. Само по себе си softfail осигурява слаба защита: иска от получателите да не се доверяват на неизброена поща, но не и да я отхвърлят.
Опасните гранични случаи
+all— 36,014 домейна. Това е най-лошата възможна SPF стойност: тя изрично казва на света, че всеки сървър може да изпраща имейл като домейна. Почти винаги е грешка при копиране-поставяне и е строго по-лошо от изобщо липсата на SPF.- Твърде много DNS търсения — 7,958 домейна. SPF позволява максимум 10 вложени DNS търсения; надхвърлянето им прави записа „permerror”, третиран от получателите като нарушен. По-рядко е отколкото се страхуват (0.01% от SPF записите), но когато се случи, тихо анулира SPF ви напълно.
Проблем ли е наистина softfail?
Не ако е подкрепено от DMARC. Съвременната добра практика е ~all плюс DMARC политика quarantine или reject — тази комбинация дава строго прилагане, без да чупи препратената поща. Проблемът е голямата група домейни при ~all без прилагащ DMARC зад него — само 10.59% от всички домейни прилагат DMARC — което оставя softfail да прави почти нищо. SPF, зададен на ~all, е средство за цел; без DMARC, той е само предложение.
Често задавани въпроси
Каква е разликата между ~all и -all в SPF?
-all (hardfail) казва на получателите да отхвърлят поща от сървъри, неизброени в списъка ви. ~all (softfail) им казва да я приемат все пак, но да я маркират като подозрителна. 55.8% от домейните с SPF използват ~all; 39.3% използват -all.
Безопасно ли е да се използва ~all (softfail)?
Да — но само при сдвояване с прилагаща DMARC политика (quarantine или reject). Само по себе си softfail осигурява слаба защита.
Какво прави +all?
+all упълномощава всеки сървър в интернет да изпраща имейл от вашия домейн — по-лошо от никакъв SPF. 36,014 домейна имат това, почти винаги по погрешка.
Какво е грешката „твърде много търсения” при SPF? SPF позволява най-много 10 вложени DNS търсения; след тях записът се проваля като „permerror” и се игнорира. Засяга 7,958 домейна.
Проверете дали SPF е зададен правилно
Публикуването на SPF е половината от работата; правилното му задаване и подкрепянето му с DMARC е другата половина. Проверете домейна си частно и безплатно.
Проверете вашия домейн → · Поправете SPF → · Поправете DMARC → · Защо имейлите отиват в спам → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.