Defaults.Exposed › گزارشها
گزارش پیکربندی نادرست SPF: بیشتر رکوردهای SPF بیش از حد ضعیف تنظیم شدهاند (۲۰۲۶)
منتشرشده 2026-06-29
ارقام تا تاریخ 2026-06-29 · روششناسی نسخه ۷. دادههای سرشماری تجمیعی در سراسر 138,927,207 دامنهای که رکورد SPF منتشر میکنند، از میان 261 میلیون دامنهٔ نمرهگذاریشده. ببینید چگونه نمره دادیم.
داشتن SPF با درست تنظیمکردن آن یکسان نیست — و بیشتر دامنههایی که SPF منتشر میکنند، آن را آنقدر ضعیف تنظیم کردهاند که کار چندانی انجام نمیدهد. از میان 139 میلیون دامنهٔ دارای رکورد SPF، 55.8% با ~all (softfail) پایان مییابند، همان تنظیم سهلگیرانهای که به دریافتکنندگان میگوید «ممکن است این جعلی باشد، اما بههرحال تحویلش بده.» تنها 39.3% از -all سختگیرانه استفاده میکنند. SPF بهطور گسترده پذیرفته شده، اما اغلب اوقات بیچنگ شده است.
مکانیسم «all»: جایی که SPF برده یا باخته میشود
هر رکورد SPF با یک مکانیسم «all» پایان مییابد که میگوید با نامههای دریافتی از سرورهایی که روی فهرست شما نیستند چه باید کرد. این تمام هدف SPF است — و رایجترین جایی که تضعیف میشود:
| پایان | معنا | دامنههای دارای SPF |
|---|---|---|
-all (hardfail) | فرستندگان فهرستنشده را رد کن — تنظیم سختگیرانه و موردنظر | 39.3% |
~all (softfail) | «احتمالاً جعلی است، اما بههرحال بپذیرش» | 55.8% |
?all (خنثی) | بدون نظر — عملاً هیچ محافظتی نیست | 3.0% |
+all | به کل اینترنت اجازه میدهد بهجای شما نامه بفرستد | 36,014 دامنه |
| سایر / هیچ | redirect/فقط-include یا بدون all پایانی | 1.8% |
نکتهٔ اصلی این است که softfail (~all) رایجترین تنظیم با 55.8% است — بیشتر از hardfail. softfail بهتنهایی محافظت ضعیفی فراهم میکند: از دریافتکنندگان میخواهد به نامهٔ فهرستنشده اعتماد نکنند، اما آن را رد نکنند.
موارد حاشیهای خطرناک
+all— 36,014 دامنه. این بدترین مقدار ممکن SPF است: صریحاً به جهان میگوید که هر سروری مجاز است بهجای دامنه ایمیل بفرستد. تقریباً همیشه یک اشتباه کپی-پیست است و بهطور قطع از نداشتن SPF هم بدتر است.- جستوجوهای DNS بیش از حد — 7,958 دامنه. SPF حداکثر ۱۰ جستوجوی تودرتوی DNS را مجاز میداند؛ از آن فراتر بروید، رکورد به یک «permerror» تبدیل میشود که دریافتکنندگان آن را خراب تلقی میکنند. این کمتر از آنچه میترسند رخ میدهد (0.01% از رکوردهای SPF)، اما وقتی رخ دهد، در سکوت SPF شما را بهطور کامل باطل میکند.
آیا softfail واقعاً یک مشکل است؟
نه اگر با DMARC پشتیبانی شود. بهترین روش مدرن ~all بهعلاوهٔ یک سیاست DMARC از نوع quarantine یا reject است — این ترکیب اجرای سختگیرانه را بدون بههمزدن نامهٔ بازارسالشده به شما میدهد. مشکل، سهم بزرگی از دامنههای روی ~all بدون DMARC اجرایی در پشت آنها است — تنها 10.59% از همهٔ دامنهها DMARC را اجرا میکنند — که باعث میشود softfail تقریباً هیچ کاری نکند. SPF تنظیمشده روی ~all وسیلهای برای یک هدف است؛ بدون DMARC، فقط یک پیشنهاد است.
پرسشهای پرتکرار
تفاوت ~all و -all در SPF چیست؟
-all (hardfail) به دریافتکنندگان میگوید نامهٔ سرورهایی که روی فهرست شما نیستند را رد کنند. ~all (softfail) به آنها میگوید بههرحال آن را بپذیرند اما مشکوک علامتگذاری کنند. 55.8% از دامنههای دارای SPF از ~all استفاده میکنند؛ 39.3% از -all استفاده میکنند.
آیا استفاده از ~all (softfail) امن است؟
بله — اما فقط زمانی که با یک سیاست DMARC اجرایی (quarantine یا reject) همراه باشد. بهتنهایی، softfail محافظت ضعیفی فراهم میکند.
+all چه میکند؟
+all به هر سروری روی اینترنت اجازه میدهد بهجای دامنهٔ شما ایمیل بفرستد — بدتر از نداشتن SPF. 36,014 دامنه این را دارند، تقریباً همیشه بهاشتباه.
خطای SPF «جستوجوهای بیش از حد» چیست؟ SPF حداکثر ۱۰ جستوجوی تودرتوی DNS را مجاز میداند؛ فراتر از آن رکورد بهعنوان «permerror» شکست میخورد و نادیده گرفته میشود. این 7,958 دامنه را تحت تأثیر قرار میدهد.
بررسی کنید که SPF شما درست تنظیم شده باشد
انتشار SPF نیمی از کار است؛ تنظیم سختگیرانهٔ آن و پشتیبانی از آن با DMARC نیمهٔ دیگر است. دامنهٔ خود را بهصورت خصوصی و رایگان بررسی کنید.
دامنهٔ خود را بررسی کنید → · رفع SPF → · رفع DMARC → · چرا ایمیلهای من به اسپم میروند → · فقط دادههای تجمیعی. دادهها در اتحادیهٔ اروپا ذخیره و پردازش میشوند.