Defaults.Exposed

Defaults.Exposed › Zprávy

SPF ~all vs -all: Softfail nebo Hardfail — co si vybralo 139 milionů záznamů (2026)

Publikováno 2026-07-03

Údaje k 2026-06-29 · metodika v7. Agregovaná census data napříč 261 miliony ohodnocených domén. Všechny údaje jsou agregované — nikdy nezveřejňujeme záznam konkrétní firmy. Viz jak hodnotíme.

Každý SPF záznam končí mechanismem „all“ — verdiktem nad poštou odkudkoli, co není na vašem seznamu — a internet si drtivou většinou vybral ten měkký: 55.8 % z 139 milionů domén publikujících SPF končí na ~all (softfail), oproti 39.3 % končícím na -all (hardfail). Jeden znak odděluje „odmítej padělky“ od „pravděpodobně padělek — přesto ho doruč“. Které je pro vás správné, závisí na druhém nastavení, které většina vlastníků nikdy nekonfiguruje.

Co ~all a -all příjemci vlastně říkají?

Je tedy ~all špatně? Jen pokud je osamocené — a téměř vždycky je

Softfail má obhajitelný moderní argument: pokyny Google pro odesílatele a s nimi většina praxe doručitelnosti se sbíhají na ~all v páru s vynucující DMARC politikou (p=reject). Tento pár chrání stejně dobře jako -all u každého příjemce vyhodnocujícího DMARC — což teď zahrnuje všechny hlavní poskytovatele schránek — bez toho, aby tvrdě odrážel legitimní přeposlanou poštu, což je klasická oběť -all. V této konfiguraci má pokrčení rameny zuby: DMARC dodá verdikt, který SPF odmítlo dát.

Ale právě ten pár je celý smysl a tady je to, co census přidává a co návody na nastavení nemohou: z 77,484,057 softfail záznamů na internetu má jen 7.1 milionů — zhruba 1 z 11 — za sebou vynucující DMARC politiku. U zbývajících 70.4 milionů domén je ~all přesně tím, jak to zní. Jejich záznam padělek identifikuje a mávnutím ho propustí.

Nevyřešily to mandáty z roku 2024?

Ne — a ten rozdíl je důležitější, než většina pokrytí naznačuje. Google a Yahoo začaly vyžadovat autentizaci od hromadných odesílatelů v únoru 2024, Microsoft následoval v květnu 2025: procházející, zarovnané SPF nebo DKIM, plus DMARC záznam s minimálně p=none. Mandáty se zastavují před požadavkem na vynucení — doména s ~all, záznamem p=none a zarovnaným DKIM plně vyhovuje a zůstává plně padělatelná. Mandáty normalizovaly papírování, ne ochranu. Právě tento nevynucený střed — vyhovující, publikovaný, padělatelný — je přesně ta mezera, kterou tento census měří, a je to největší populace v e-mailové bezpečnosti.

Na co by tedy váš záznam měl končit?

  1. Odesíláte poštu a přeposílání je důležité (newslettery, mailing listy, aliasy): ~all s DMARC p=reject za tím — doporučený pár výše.
  2. Odesíláte poštu z pevně kontrolovaného nastavení: -all funguje a uvádí politiku přímo v záznamu. Nejprve zmapujte své odesílatele — striktní zakončení na nezmapovaném záznamu rozbije skutečnou poštu, nebo hůř.
  3. Doména nikdy neodesílá: -all plus p=reject, ještě dnes. Neexistuje nic legitimního, co by bylo třeba chránit, takže není co rozbít.

Ať už zvolíte jakékoli zakončení, jednořádkové ponaučení z census platí: kvalifikátor má význam jen do té míry, do jaké ho něco vynucuje. Kde na tomto žebříčku stojíte, je měřitelné.

Často kladené otázky

Je lepší SPF ~all nebo -all? Ani jedno, univerzálně. ~all s vynucující DMARC politikou je vzor, který doporučují pokyny Google — stejná ochrana u příjemců vyhodnocujících DMARC bez rozbití přeposlané pošty. -all se hodí pro pevně kontrolované odesílatele. Samotné ~all — stav všech softfail domén kromě 1 z 11 — je slabá volba.

Co znamená SPF softfail? ~all říká příjemcům, že pošta z neuvedených serverů je pravděpodobně nelegitimní, ale měla by být přesto přijata, obvykle s podezřením. Skutečnou ochranou se stává, jen když DMARC politika na selhání zareaguje; viz SPF bez DMARC.

Rozbije hardfail -all můj přeposílaný e-mail? Může: přeposílání znovu odesílá vaši poštu ze serveru přeposílatele, který vaše SPF neuvádí, a hardfail vybízí k odmítnutí dřív, než se do toho vloží DKIM nebo DMARC. Právě kvůli tomuto riziku existuje pár ~all + p=reject.

Vyžadují teď Google a Microsoft -all? Ne. Mandáty pro hromadné odesílatele vyžadují zarovnanou, procházející autentizaci a DMARC záznam s minimálně p=none — žádné vynucení, žádný konkrétní kvalifikátor. Odmítání nevyhovující hromadné pošty ze strany Google je aktivní; Microsoft řadí selhání do spamu a směřuje k přímému odmítnutí. Vyhovění není ochrana.

Zkontrolujte, na co váš záznam končí — a co za ním stojí

Dvě vyhledání vám řeknou obojí, zdarma, za 30 sekund. Pokud jste jedním z 70.4 milionů nevynucených pokrčení rameny, opravou je DNS záznam, ne nákup.

Zkontrolujte svou doménu → · Opravit SPF → · Opravit DMARC → · Model zralosti SPF → · Mapa +all → · Pouze agregovaná data. Data uložena a zpracována v EU.