Defaults.Exposed

Defaults.Exposed › Αναφορές

SPF ~all vs -all: Softfail ή Hardfail — Τι Επέλεξαν 139 Εκατομμύρια Εγγραφές (2026)

Δημοσιεύτηκε 2026-07-03

Στοιχεία από 2026-06-29 · μεθοδολογία v7. Συγκεντρωτικά δεδομένα απογραφής σε 261 εκατομμύρια βαθμολογημένους τομείς. Όλα τα στοιχεία είναι συγκεντρωτικά — δεν δημοσιεύουμε ποτέ την εγγραφή μιας μεμονωμένης επιχείρησης. Δείτε πώς βαθμολογούμε.

Κάθε εγγραφή SPF λήγει σε έναν μηχανισμό “all” — την ετυμηγορία για αλληλογραφία από οπουδήποτε δεν βρίσκεται στη λίστα σας — και το διαδίκτυο έχει επιλέξει συντριπτικά την ήπια εκδοχή: 55.8% από τους 139 εκατομμύρια τομείς που δημοσιεύουν SPF λήγουν σε ~all (softfail), έναντι 39.3% που λήγουν σε -all (hardfail). Ένας χαρακτήρας χωρίζει το “απόρριψε τις πλαστογραφίες” από το “μάλλον πλαστογραφία — παράδωσέ την ούτως ή άλλως”. Ποια είναι η σωστή για εσάς εξαρτάται από μια δεύτερη ρύθμιση που οι περισσότεροι ιδιοκτήτες δεν διαμορφώνουν ποτέ.

Τι λένε στην πραγματικότητα τα ~all και -all σε έναν παραλήπτη;

Είναι λοιπόν το ~all λάθος; Μόνο αν είναι μόνο του — και σχεδόν πάντα είναι

Το softfail έχει μια βάσιμη σύγχρονη επιχειρηματολογία: οι οδηγίες αποστολέων της Google, και μαζί τους οι περισσότερες πρακτικές παραδοσιμότητας, συγκλίνουν στο ~all σε συνδυασμό με μια πολιτική DMARC επιβολής (p=reject). Ο συνδυασμός προστατεύει εξίσου καλά με το -all σε κάθε παραλήπτη που αξιολογεί DMARC — που πλέον περιλαμβάνει όλους τους μεγάλους παρόχους γραμματοκιβωτίων — χωρίς να απορρίπτει σκληρά τη νόμιμη προωθημένη αλληλογραφία, το κλασικό θύμα του -all. Σε αυτή τη διαμόρφωση το ανασήκωμα των ώμων αποκτά δόντια: το DMARC παρέχει την ετυμηγορία που το SPF αρνήθηκε να δώσει.

Αλλά ο συνδυασμός είναι όλο το νόημα, και να τι προσθέτει η απογραφή που οι οδηγοί ρύθμισης δεν μπορούν: από τις 77,484,057 εγγραφές softfail στο διαδίκτυο, μόνο 7.1 εκατομμύρια — περίπου 1 στις 11 — έχουν μια πολιτική DMARC επιβολής πίσω τους. Για τους υπόλοιπους 70.4 εκατομμύρια τομείς, το ~all είναι ακριβώς αυτό που ακούγεται. Η εγγραφή τους αναγνωρίζει την πλαστογραφία και της κάνει νόημα να περάσει.

Δεν το διόρθωσαν αυτό οι εντολές του 2024;

Όχι — και η διάκριση έχει μεγαλύτερη σημασία απ’ ό,τι υπονοεί η περισσότερη κάλυψη. Η Google και η Yahoo άρχισαν να απαιτούν ταυτοποίηση από μαζικούς αποστολείς τον Φεβρουάριο του 2024, με τη Microsoft να ακολουθεί τον Μάιο του 2025: επιτυχές, ευθυγραμμισμένο SPF ή DKIM, συν μια εγγραφή DMARC τουλάχιστον p=none. Οι εντολές δεν φτάνουν μέχρι να απαιτούν επιβολή — ένας τομέας με ~all, μια εγγραφή p=none και ευθυγραμμισμένο DKIM συμμορφώνεται πλήρως, και παραμένει πλήρως πλαστογραφήσιμος. Οι εντολές τυποποίησαν τη γραφειοκρατία, όχι την προστασία. Αυτό το ανεπίβλητο ενδιάμεσο — συμμορφωμένο, δημοσιευμένο, πλαστογραφήσιμο — είναι ακριβώς το κενό που μετρά αυτή η απογραφή, και είναι ο μεγαλύτερος πληθυσμός στην ασφάλεια email.

Σε τι λοιπόν πρέπει να λήγει η εγγραφή σας;

  1. Στέλνετε αλληλογραφία και η προώθηση έχει σημασία (ενημερωτικά δελτία, λίστες αλληλογραφίας, ψευδώνυμα): ~all με DMARC p=reject πίσω του — ο συνιστώμενος συνδυασμός παραπάνω.
  2. Στέλνετε αλληλογραφία από μια αυστηρά ελεγχόμενη εγκατάσταση: το -all λειτουργεί και δηλώνει την πολιτική στην ίδια την εγγραφή. Χαρτογραφήστε πρώτα τους αποστολείς σας — μια αυστηρή κατάληξη σε μια μη χαρτογραφημένη εγγραφή σπάει πραγματική αλληλογραφία, ή και χειρότερα.
  3. Ο τομέας δεν στέλνει ποτέ: -all συν p=reject, σήμερα. Δεν υπάρχει τίποτα νόμιμο για να προστατευτεί, οπότε δεν υπάρχει τίποτα για να σπάσει.

Όποια κατάληξη κι αν επιλέξετε, το μονόγραμμο δίδαγμα της απογραφής ισχύει: ο χαρακτηριστής έχει σημασία μόνο τόση όση κι αυτό που τον επιβάλλει. Το πού στέκεστε σε αυτή τη σκάλα είναι μετρήσιμο.

Συχνές ερωτήσεις

Είναι το SPF ~all ή το -all καλύτερο; Κανένα, καθολικά. Το ~all με μια πολιτική DMARC επιβολής είναι το μοτίβο που συνιστούν οι οδηγίες της Google — ίση προστασία σε παραλήπτες που αξιολογούν DMARC χωρίς να σπάει η προωθημένη αλληλογραφία. Το -all ταιριάζει σε αυστηρά ελεγχόμενους αποστολείς. Το ~all μόνο του — η κατάσταση όλων εκτός από 1 στις 11 τομείς softfail — είναι η αδύναμη επιλογή.

Τι σημαίνει SPF softfail; Το ~all λέει στους παραλήπτες ότι η αλληλογραφία από μη καταχωρημένους διακομιστές είναι μάλλον μη νόμιμη αλλά θα πρέπει και πάλι να γίνει δεκτή, συνήθως με καχυποψία. Γίνεται πραγματική προστασία μόνο όταν μια πολιτική DMARC ενεργεί επί της αποτυχίας· δείτε SPF χωρίς DMARC.

Θα σπάσει το hardfail -all την προωθημένη μου αλληλογραφία; Μπορεί: η προώθηση ξαναστέλνει την αλληλογραφία σας από τον διακομιστή του προωθητή, τον οποίο το SPF σας δεν καταχωρεί, και ένα hardfail προσκαλεί την απόρριψη πριν καν ζυγιστούν το DKIM ή το DMARC. Αυτός ο κίνδυνος είναι ο λόγος που υπάρχει ο συνδυασμός ~all + p=reject.

Απαιτούν τώρα η Google και η Microsoft το -all; Όχι. Οι εντολές μαζικών αποστολέων απαιτούν ευθυγραμμισμένη, επιτυχή ταυτοποίηση και μια εγγραφή DMARC τουλάχιστον p=none — καμία επιβολή, κανέναν συγκεκριμένο χαρακτηριστή. Η απόρριψη μη συμμορφωμένης μαζικής αλληλογραφίας από την Google είναι ενεργή· η Microsoft απορρίπτει στα ανεπιθύμητα τις αποτυχίες και κινείται προς την ευθεία απόρριψη. Η συμμόρφωση δεν είναι προστασία.

Ελέγξτε σε τι λήγει η εγγραφή σας — και τι στέκεται πίσω της

Δύο αναζητήσεις σας λένε και τα δύο, δωρεάν, σε 30 δευτερόλεπτα. Αν είστε ένα από τα 70.4 εκατομμύρια ανεπίβλητα ανασηκώματα των ώμων, η διόρθωση είναι μια εγγραφή DNS, όχι μια αγορά.

Ελέγξτε τον τομέα σας → · Διορθώστε το SPF → · Διορθώστε το DMARC → · Το μοντέλο ωριμότητας SPF → · Ο χάρτης +all → · Μόνο συγκεντρωτικά δεδομένα. Τα δεδομένα αποθηκεύονται και επεξεργάζονται στην ΕΕ.