Defaults.Exposed

Defaults.Exposed › گزارش‌ها

گزارش پیکربندی نادرست SPF: بیشتر رکوردهای SPF بیش از حد ضعیف تنظیم شده‌اند (۲۰۲۶)

منتشرشده 2026-06-29

ارقام تا تاریخ 2026-06-29 · روش‌شناسی نسخه ۷. داده‌های سرشماری تجمیعی در سراسر 138,927,207 دامنه‌ای که رکورد SPF منتشر می‌کنند، از میان 261 میلیون دامنهٔ نمره‌گذاری‌شده. ببینید چگونه نمره دادیم.

داشتن SPF با درست تنظیم‌کردن آن یکسان نیست — و بیشتر دامنه‌هایی که SPF منتشر می‌کنند، آن را آن‌قدر ضعیف تنظیم کرده‌اند که کار چندانی انجام نمی‌دهد. از میان 139 میلیون دامنهٔ دارای رکورد SPF، 55.8% با ~all (softfail) پایان می‌یابند، همان تنظیم سهل‌گیرانه‌ای که به دریافت‌کنندگان می‌گوید «ممکن است این جعلی باشد، اما به‌هرحال تحویلش بده.» تنها 39.3% از -all سخت‌گیرانه استفاده می‌کنند. SPF به‌طور گسترده پذیرفته شده، اما اغلب اوقات بی‌چنگ شده است.

مکانیسم «all»: جایی که SPF برده یا باخته می‌شود

هر رکورد SPF با یک مکانیسم «all» پایان می‌یابد که می‌گوید با نامه‌های دریافتی از سرورهایی که روی فهرست شما نیستند چه باید کرد. این تمام هدف SPF است — و رایج‌ترین جایی که تضعیف می‌شود:

پایانمعنادامنه‌های دارای SPF
-all (hardfail)فرستندگان فهرست‌نشده را رد کن — تنظیم سخت‌گیرانه و موردنظر39.3%
~all (softfail)«احتمالاً جعلی است، اما به‌هرحال بپذیرش»55.8%
?all (خنثی)بدون نظر — عملاً هیچ محافظتی نیست3.0%
+allبه کل اینترنت اجازه می‌دهد به‌جای شما نامه بفرستد36,014 دامنه
سایر / هیچredirect/فقط-include یا بدون all پایانی1.8%

نکتهٔ اصلی این است که softfail (~all) رایج‌ترین تنظیم با 55.8% است — بیشتر از hardfail. softfail به‌تنهایی محافظت ضعیفی فراهم می‌کند: از دریافت‌کنندگان می‌خواهد به نامهٔ فهرست‌نشده اعتماد نکنند، اما آن را رد نکنند.

موارد حاشیه‌ای خطرناک

آیا softfail واقعاً یک مشکل است؟

نه اگر با DMARC پشتیبانی شود. بهترین روش مدرن ~all به‌علاوهٔ یک سیاست DMARC از نوع quarantine یا reject است — این ترکیب اجرای سخت‌گیرانه را بدون به‌هم‌زدن نامهٔ بازارسال‌شده به شما می‌دهد. مشکل، سهم بزرگی از دامنه‌های روی ~all بدون DMARC اجرایی در پشت آن‌ها است — تنها 10.59% از همهٔ دامنه‌ها DMARC را اجرا می‌کنند — که باعث می‌شود softfail تقریباً هیچ کاری نکند. SPF تنظیم‌شده روی ~all وسیله‌ای برای یک هدف است؛ بدون DMARC، فقط یک پیشنهاد است.

پرسش‌های پرتکرار

تفاوت ~all و -all در SPF چیست؟ -all (hardfail) به دریافت‌کنندگان می‌گوید نامهٔ سرورهایی که روی فهرست شما نیستند را رد کنند. ~all (softfail) به آن‌ها می‌گوید به‌هرحال آن را بپذیرند اما مشکوک علامت‌گذاری کنند. 55.8% از دامنه‌های دارای SPF از ~all استفاده می‌کنند؛ 39.3% از -all استفاده می‌کنند.

آیا استفاده از ~all (softfail) امن است؟ بله — اما فقط زمانی که با یک سیاست DMARC اجرایی (quarantine یا reject) همراه باشد. به‌تنهایی، softfail محافظت ضعیفی فراهم می‌کند.

+all چه می‌کند؟ +all به هر سروری روی اینترنت اجازه می‌دهد به‌جای دامنهٔ شما ایمیل بفرستد — بدتر از نداشتن SPF. 36,014 دامنه این را دارند، تقریباً همیشه به‌اشتباه.

خطای SPF «جست‌وجوهای بیش از حد» چیست؟ SPF حداکثر ۱۰ جست‌وجوی تودرتوی DNS را مجاز می‌داند؛ فراتر از آن رکورد به‌عنوان «permerror» شکست می‌خورد و نادیده گرفته می‌شود. این 7,958 دامنه را تحت تأثیر قرار می‌دهد.

بررسی کنید که SPF شما درست تنظیم شده باشد

انتشار SPF نیمی از کار است؛ تنظیم سخت‌گیرانهٔ آن و پشتیبانی از آن با DMARC نیمهٔ دیگر است. دامنهٔ خود را به‌صورت خصوصی و رایگان بررسی کنید.

دامنهٔ خود را بررسی کنید → · رفع SPF → · رفع DMARC → · چرا ایمیل‌های من به اسپم می‌روند → · فقط داده‌های تجمیعی. داده‌ها در اتحادیهٔ اروپا ذخیره و پردازش می‌شوند.