Defaults.Exposed › Rapporter
Rapporten om SPF-fejlkonfiguration: De fleste SPF-poster er sat for svagt (2026)
Udgivet 2026-06-29
Tal pr. 2026-06-29 · metodologi v7. Aggregerede folketællingsdata på tværs af de 138,927,207 domæner, der offentliggør en SPF-post, ud af 261 millioner bedømte domæner. Se hvordan vi bedømmer.
At have SPF er ikke det samme som at have det sat korrekt op — og de fleste domæner, der offentliggør SPF, har det sat for svagt til at gøre den store forskel. Af de 139 millioner domæner med en SPF-post slutter 55.8% på ~all (softfail), den eftergivende indstilling, der fortæller modtagere “dette kan være en forfalskning, men lever det alligevel”. Kun 39.3% bruger det strikse -all. SPF er bredt udbredt, men oftest tandløst.
”all”-mekanismen: hvor SPF vindes eller tabes
Hver SPF-post slutter på en “all”-mekanisme, der siger, hvad der skal ske med post fra servere, der ikke er på din liste. Det er hele formålet med SPF — og det mest almindelige sted, det svækkes:
| Afslutning | Betydning | Domæner med SPF |
|---|---|---|
-all (hardfail) | Afvis ikke-listede afsendere — den strikse, tilsigtede indstilling | 39.3% |
~all (softfail) | “Sandsynligvis en forfalskning, men accepter det alligevel” | 55.8% |
?all (neutral) | Ingen mening — reelt ingen beskyttelse | 3.0% |
+all | Giv hele internettet tilladelse til at sende som dig | 36,014 domæner |
| andet / intet | redirect/include-only eller ingen afsluttende all | 1.8% |
Hovedpointen er, at softfail (~all) er den mest almindelige indstilling med 55.8% — mere end hardfail. Alene giver softfail svag beskyttelse: den beder modtagere om ikke at stole på ikke-listet post, men ikke om at afvise den.
De farlige grænsetilfælde
+all— 36,014 domæner. Dette er den værst mulige SPF-værdi: den fortæller eksplicit verden, at enhver server har lov til at sende e-mail som domænet. Det er næsten altid en copy-paste-fejl, og det er strengt taget værre end slet ikke at have SPF.- For mange DNS-opslag — 7,958 domæner. SPF tillader højst 10 indlejrede DNS-opslag; overskrider du det, bliver posten en “permerror”, som modtagere behandler som ødelagt. Det er sjældnere end frygtet (0.01% af SPF-posterne), men når det rammer, annullerer det lydløst hele din SPF.
Er softfail egentlig et problem?
Ikke hvis det er understøttet af DMARC. Moderne bedste praksis er ~all plus en DMARC-politik på quarantine eller reject — den kombination giver dig striks håndhævelse uden at ødelægge videresendt post. Problemet er den store andel af domæner på ~all uden en håndhævende DMARC bag — kun 10.59% af alle domæner håndhæver DMARC — hvilket efterlader softfail med næsten ingen effekt. SPF sat til ~all er et middel til et mål; uden DMARC er det blot et forslag.
Ofte stillede spørgsmål
Hvad er forskellen mellem ~all og -all i SPF?
-all (hardfail) beder modtagere om at afvise post fra servere, der ikke er på din liste. ~all (softfail) beder dem om at acceptere den alligevel, men markere den som mistænkelig. 55.8% af domænerne med SPF bruger ~all; 39.3% bruger -all.
Er ~all (softfail) sikkert at bruge?
Ja — men kun når det kombineres med en håndhævende DMARC-politik (quarantine eller reject). Alene giver softfail svag beskyttelse.
Hvad gør +all?
+all giver enhver server på internettet tilladelse til at sende e-mail som dit domæne — værre end ingen SPF. 36,014 domæner har dette, næsten altid ved en fejl.
Hvad er SPF-fejlen “for mange opslag”? SPF tillader højst 10 indlejrede DNS-opslag; derudover fejler posten som en “permerror” og ignoreres. Det påvirker 7,958 domæner.
Tjek, at din SPF er sat korrekt op
At offentliggøre SPF er det halve arbejde; at sætte det strikt op og understøtte det med DMARC er den anden halvdel. Tjek dit domæne privat og gratis.
Tjek dit domæne → · Ret SPF → · Ret DMARC → · Hvorfor havner mine e-mails i spam → · Kun aggregerede data. Data lagres og behandles i EU.