Defaults.Exposed

Defaults.Exposed › Rapporter

Rapporten om SPF-fejlkonfiguration: De fleste SPF-poster er sat for svagt (2026)

Udgivet 2026-06-29

Tal pr. 2026-06-29 · metodologi v7. Aggregerede folketællingsdata på tværs af de 138,927,207 domæner, der offentliggør en SPF-post, ud af 261 millioner bedømte domæner. Se hvordan vi bedømmer.

At have SPF er ikke det samme som at have det sat korrekt op — og de fleste domæner, der offentliggør SPF, har det sat for svagt til at gøre den store forskel. Af de 139 millioner domæner med en SPF-post slutter 55.8%~all (softfail), den eftergivende indstilling, der fortæller modtagere “dette kan være en forfalskning, men lever det alligevel”. Kun 39.3% bruger det strikse -all. SPF er bredt udbredt, men oftest tandløst.

”all”-mekanismen: hvor SPF vindes eller tabes

Hver SPF-post slutter på en “all”-mekanisme, der siger, hvad der skal ske med post fra servere, der ikke er på din liste. Det er hele formålet med SPF — og det mest almindelige sted, det svækkes:

AfslutningBetydningDomæner med SPF
-all (hardfail)Afvis ikke-listede afsendere — den strikse, tilsigtede indstilling39.3%
~all (softfail)“Sandsynligvis en forfalskning, men accepter det alligevel”55.8%
?all (neutral)Ingen mening — reelt ingen beskyttelse3.0%
+allGiv hele internettet tilladelse til at sende som dig36,014 domæner
andet / intetredirect/include-only eller ingen afsluttende all1.8%

Hovedpointen er, at softfail (~all) er den mest almindelige indstilling med 55.8% — mere end hardfail. Alene giver softfail svag beskyttelse: den beder modtagere om ikke at stole på ikke-listet post, men ikke om at afvise den.

De farlige grænsetilfælde

Er softfail egentlig et problem?

Ikke hvis det er understøttet af DMARC. Moderne bedste praksis er ~all plus en DMARC-politik på quarantine eller reject — den kombination giver dig striks håndhævelse uden at ødelægge videresendt post. Problemet er den store andel af domæner på ~all uden en håndhævende DMARC bag — kun 10.59% af alle domæner håndhæver DMARC — hvilket efterlader softfail med næsten ingen effekt. SPF sat til ~all er et middel til et mål; uden DMARC er det blot et forslag.

Ofte stillede spørgsmål

Hvad er forskellen mellem ~all og -all i SPF? -all (hardfail) beder modtagere om at afvise post fra servere, der ikke er på din liste. ~all (softfail) beder dem om at acceptere den alligevel, men markere den som mistænkelig. 55.8% af domænerne med SPF bruger ~all; 39.3% bruger -all.

Er ~all (softfail) sikkert at bruge? Ja — men kun når det kombineres med en håndhævende DMARC-politik (quarantine eller reject). Alene giver softfail svag beskyttelse.

Hvad gør +all? +all giver enhver server på internettet tilladelse til at sende e-mail som dit domæne — værre end ingen SPF. 36,014 domæner har dette, næsten altid ved en fejl.

Hvad er SPF-fejlen “for mange opslag”? SPF tillader højst 10 indlejrede DNS-opslag; derudover fejler posten som en “permerror” og ignoreres. Det påvirker 7,958 domæner.

Tjek, at din SPF er sat korrekt op

At offentliggøre SPF er det halve arbejde; at sætte det strikt op og understøtte det med DMARC er den anden halvdel. Tjek dit domæne privat og gratis.

Tjek dit domæne → · Ret SPF → · Ret DMARC → · Hvorfor havner mine e-mails i spam → · Kun aggregerede data. Data lagres og behandles i EU.