Defaults.Exposed

Defaults.Exposed › Zprávy

Zpráva o chybných konfiguracích SPF: Většina záznamů SPF je nastavena příliš slabě (2026)

Publikováno 2026-06-29

Údaje k 2026-06-29 · metodika v7. Agregovaná data ze sčítání napříč 138,927,207 doménami, které publikují záznam SPF, z 261 milionů ohodnocených domén. Viz jak hodnotíme.

Mít SPF není totéž jako mít ho správně nastavený — a většina domén, které SPF publikují, ho má nastavený příliš slabě, než aby moc zmohl. Z 139 milionů domén se záznamem SPF jich 55.8% končí na ~all (softfail), permisivním nastavení, které příjemcům říká „tohle může být podvrh, ale stejně to doruč”. Pouze 39.3% používá přísné -all. SPF je široce nasazený, ale většinou zbavený drápů.

Mechanismus „all”: kde se SPF vyhrává nebo prohrává

Každý záznam SPF končí mechanismem „all”, který určuje, co dělat s poštou ze serverů, které nejsou na vašem seznamu. To je celý smysl SPF — a nejčastější místo, kde se oslabuje:

ZakončeníVýznamDomény s SPF
-all (hardfail)Odmítat neuvedené odesílatele — přísné, zamýšlené nastavení39.3%
~all (softfail)„Pravděpodobně podvrh, ale stejně to přijmi”55.8%
?all (neutrální)Žádný názor — fakticky žádná ochrana3.0%
+allOprávnit celý internet k odesílání vaším jménem36,014 domén
jiné / žádnéredirect/include-only nebo žádné koncové all1.8%

Hlavní zjištění je, že softfail (~all) je nejčastější nastavení na úrovni 55.8% — častější než hardfail. Samotný softfail poskytuje slabou ochranu: žádá příjemce, aby neuvedené poště nedůvěřovali, ale ne aby ji odmítali.

Nebezpečné hraniční případy

Je softfail vlastně problém?

Ne, pokud je podpořen DMARC. Moderní osvědčený postup je ~all plus zásada DMARC quarantine nebo reject — tato kombinace vám dá přísné vynucování, aniž by rozbila přeposílanou poštu. Problémem je velký podíl domén na ~all bez vynucujícího DMARC v pozadí — pouze 10.59% všech domén vynucuje DMARC — což nechává softfail dělat téměř nic. SPF nastavený na ~all je prostředek k cíli; bez DMARC je to jen návrh.

Často kladené otázky

Jaký je rozdíl mezi ~all a -all v SPF? -all (hardfail) říká příjemcům, aby odmítali poštu ze serverů, které nejsou na vašem seznamu. ~all (softfail) jim říká, aby ji přesto přijali, ale označili jako podezřelou. 55.8% domén s SPF používá ~all; 39.3% používá -all.

Je ~all (softfail) bezpečné používat? Ano — ale pouze ve spojení s vynucující zásadou DMARC (quarantine nebo reject). Samotný softfail poskytuje slabou ochranu.

Co dělá +all? +all oprávní každý server na internetu k odesílání pošty jménem vaší domény — horší než žádný SPF. 36,014 domén to má, téměř vždy omylem.

Co je chyba SPF „příliš mnoho dotazů”? SPF povoluje nejvýše 10 vnořených DNS dotazů; nad tento limit záznam selže jako „permerror” a je ignorován. Postihuje 7,958 domén.

Zkontrolujte, zda je váš SPF nastaven správně

Publikovat SPF je polovina práce; nastavit ho přísně a podpořit DMARC je ta druhá polovina. Zkontrolujte svou doménu soukromě a zdarma.

Zkontrolujte svou doménu → · Opravit SPF → · Opravit DMARC → · Proč mé e-maily končí ve spamu → · Pouze agregovaná data. Data uložena a zpracována v EU.