Defaults.Exposed › Zprávy
Zpráva o chybných konfiguracích SPF: Většina záznamů SPF je nastavena příliš slabě (2026)
Publikováno 2026-06-29
Údaje k 2026-06-29 · metodika v7. Agregovaná data ze sčítání napříč 138,927,207 doménami, které publikují záznam SPF, z 261 milionů ohodnocených domén. Viz jak hodnotíme.
Mít SPF není totéž jako mít ho správně nastavený — a většina domén, které SPF publikují, ho má nastavený příliš slabě, než aby moc zmohl. Z 139 milionů domén se záznamem SPF jich 55.8% končí na ~all (softfail), permisivním nastavení, které příjemcům říká „tohle může být podvrh, ale stejně to doruč”. Pouze 39.3% používá přísné -all. SPF je široce nasazený, ale většinou zbavený drápů.
Mechanismus „all”: kde se SPF vyhrává nebo prohrává
Každý záznam SPF končí mechanismem „all”, který určuje, co dělat s poštou ze serverů, které nejsou na vašem seznamu. To je celý smysl SPF — a nejčastější místo, kde se oslabuje:
| Zakončení | Význam | Domény s SPF |
|---|---|---|
-all (hardfail) | Odmítat neuvedené odesílatele — přísné, zamýšlené nastavení | 39.3% |
~all (softfail) | „Pravděpodobně podvrh, ale stejně to přijmi” | 55.8% |
?all (neutrální) | Žádný názor — fakticky žádná ochrana | 3.0% |
+all | Oprávnit celý internet k odesílání vaším jménem | 36,014 domén |
| jiné / žádné | redirect/include-only nebo žádné koncové all | 1.8% |
Hlavní zjištění je, že softfail (~all) je nejčastější nastavení na úrovni 55.8% — častější než hardfail. Samotný softfail poskytuje slabou ochranu: žádá příjemce, aby neuvedené poště nedůvěřovali, ale ne aby ji odmítali.
Nebezpečné hraniční případy
+all— 36,014 domén. Toto je nejhorší možná hodnota SPF: výslovně světu sděluje, že jakýkoli server smí odesílat poštu jménem domény. Téměř vždy jde o omyl při kopírování a vkládání a je to striktně horší než nemít SPF vůbec.- Příliš mnoho DNS dotazů — 7,958 domén. SPF povoluje nejvýše 10 vnořených DNS dotazů; při překročení se ze záznamu stane „permerror”, který příjemci považují za vadný. Je to vzácnější, než se obává (0.01% záznamů SPF), ale když udeří, tiše zcela zneplatní celý váš SPF.
Je softfail vlastně problém?
Ne, pokud je podpořen DMARC. Moderní osvědčený postup je ~all plus zásada DMARC quarantine nebo reject — tato kombinace vám dá přísné vynucování, aniž by rozbila přeposílanou poštu. Problémem je velký podíl domén na ~all bez vynucujícího DMARC v pozadí — pouze 10.59% všech domén vynucuje DMARC — což nechává softfail dělat téměř nic. SPF nastavený na ~all je prostředek k cíli; bez DMARC je to jen návrh.
Často kladené otázky
Jaký je rozdíl mezi ~all a -all v SPF?
-all (hardfail) říká příjemcům, aby odmítali poštu ze serverů, které nejsou na vašem seznamu. ~all (softfail) jim říká, aby ji přesto přijali, ale označili jako podezřelou. 55.8% domén s SPF používá ~all; 39.3% používá -all.
Je ~all (softfail) bezpečné používat?
Ano — ale pouze ve spojení s vynucující zásadou DMARC (quarantine nebo reject). Samotný softfail poskytuje slabou ochranu.
Co dělá +all?
+all oprávní každý server na internetu k odesílání pošty jménem vaší domény — horší než žádný SPF. 36,014 domén to má, téměř vždy omylem.
Co je chyba SPF „příliš mnoho dotazů”? SPF povoluje nejvýše 10 vnořených DNS dotazů; nad tento limit záznam selže jako „permerror” a je ignorován. Postihuje 7,958 domén.
Zkontrolujte, zda je váš SPF nastaven správně
Publikovat SPF je polovina práce; nastavit ho přísně a podpořit DMARC je ta druhá polovina. Zkontrolujte svou doménu soukromě a zdarma.
Zkontrolujte svou doménu → · Opravit SPF → · Opravit DMARC → · Proč mé e-maily končí ve spamu → · Pouze agregovaná data. Data uložena a zpracována v EU.