Defaults.Exposed

Defaults.Exposed › Aruanded

SPF väärseadistuse aruanne: enamik SPF-i kirjeid on seatud liiga nõrgaks (2026)

Avaldatud 2026-06-29

Andmed seisuga 2026-06-29 · metoodika v7. Koondloendusandmed 138,927,207 domeeni kohta, mis avaldavad SPF-kirje, 261 miljonist hinnatud domeenist. Vaata kuidas me hindasime.

SPF olemasolu pole sama mis selle õigesti seadistamine — ja enamikul domeenidel, mis SPF-i avaldavad, on see seatud liiga nõrgaks, et midagi ära teha. Neist 139 miljonist SPF-kirjega domeenist lõpeb 55.8% ~all-iga (softfail), lubava seadistusega, mis ütleb vastuvõtjatele „see võib olla võltsing, aga toimeta see siiski kohale.“ Vaid 39.3% kasutab ranget -all-i. SPF on laialdaselt kasutusele võetud, kuid enamasti küünised eemaldatud.

„all“-mehhanism: kus SPF võidetakse või kaotatakse

Iga SPF-kirje lõpeb „all“-mehhanismiga, mis ütleb, mida teha kirjadega serveritest, mida ei ole sinu loendis. See on SPF-i kogu mõte — ja kõige levinum koht, kus seda nõrgendatakse:

LõppTähendusSPF-iga domeenid
-all (hardfail)Lükka loendis mitteolevad saatjad tagasi — range, kavandatud seadistus39.3%
~all (softfail)„Tõenäoliselt võltsing, aga võta siiski vastu“55.8%
?all (neutraalne)Pole arvamust — sisuliselt pole kaitset3.0%
+allVolita kogu internet sinu nimel saatma36,014 domeeni
muu / puudubredirect/ainult-include või lõpetava all-ita1.8%

Põhitulemus on see, et softfail (~all) on kõige levinum seadistus 55.8%-ga — rohkem kui hardfail. Üksinda pakub softfail nõrka kaitset: see palub vastuvõtjatel mitte usaldada loendis mitteolevat kirja, kuid mitte seda tagasi lükata.

Ohtlikud äärmusjuhud

Kas softfail on tegelikult probleem?

Ei ole, kui seda toetab DMARC. Tänapäeva parim tava on ~all pluss DMARC-poliitika quarantine või reject — see paar annab sulle range jõustamise, ilma et see rikuks edasisaadetud kirju. Probleem on suur osa domeene ~all-il ilma jõustava DMARC-ita taga — vaid 10.59% kõigist domeenidest jõustab DMARC-i — mis jätab softfaili peaaegu mitte midagi tegema. ~all-ile seatud SPF on vahend eesmärgi saavutamiseks; ilma DMARC-ita on see vaid soovitus.

Korduma kippuvad küsimused

Mis vahe on ~all ja -all vahel SPF-is? -all (hardfail) ütleb vastuvõtjatele, et nad lükkaksid tagasi kirjad serveritest, mida pole sinu loendis. ~all (softfail) ütleb neile, et nad võtaksid selle siiski vastu, kuid märgiksid kahtlaseks. 55.8% SPF-iga domeenidest kasutab ~all-i; 39.3% kasutab -all-i.

Kas ~all (softfail) on turvaline kasutada? Jah — kuid ainult siis, kui see on paaris jõustava DMARC-poliitikaga (quarantine või reject). Üksinda pakub softfail nõrka kaitset.

Mida teeb +all? +all volitab iga interneti serveri saatma e-kirju sinu domeeni nimel — halvem kui SPF-i puudumine. 36,014 domeenil on see, peaaegu alati kogemata.

Mis on SPF-i „liiga palju päringuid“ viga? SPF lubab kuni 10 pesastatud DNS-päringut; sellest enama korral kirje ebaõnnestub „permerror“-ina ja seda eiratakse. See mõjutab 7,958 domeeni.

Kontrolli, et su SPF on õigesti seadistatud

SPF-i avaldamine on pool tööd; selle range seadistamine ja DMARC-iga toetamine on teine pool. Kontrolli oma domeeni privaatselt ja tasuta.

Kontrolli oma domeeni → · Paranda SPF → · Paranda DMARC → · Miks mu e-kirjad lähevad rämpsposti → · Ainult koondandmed. Andmeid säilitatakse ja töödeldakse ELis.