Defaults.Exposed

Defaults.Exposed › Raportit

SPF-virhekonfiguraatioraportti: useimmat SPF-tietueet on asetettu liian heikoiksi (2026)

Julkaistu 2026-06-29

Luvut 2026-06-29 mukaan · metodologia v7. Koottua väestölaskentadataa niistä 138,927,207 verkkotunnuksesta, jotka julkaisevat SPF-tietueen, 261 miljoonasta arvioidusta verkkotunnuksesta. Katso miten arvioimme.

SPF:n omistaminen ei ole sama asia kuin sen oikein asettaminen — ja useimmilla verkkotunnuksilla, jotka julkaisevat SPF:n, se on asetettu liian heikoksi tehdäkseen juuri mitään. Niistä 139 miljoonasta verkkotunnuksesta, joilla on SPF-tietue, 55.8 % päättyy ~all-määreeseen (softfail), sallivaan asetukseen, joka kertoo vastaanottajille: “tämä saattaa olla väärennös, mutta toimita se silti.” Vain 39.3 % käyttää tiukkaa -all-määrettä. SPF on laajalti käytössä, mutta useimmiten kynnet katkaistuna.

”all”-mekanismi: missä SPF voitetaan tai hävitään

Jokainen SPF-tietue päättyy “all”-mekanismiin, joka kertoo, mitä tehdä postille palvelimilta, jotka eivät ole listallasi. Se on SPF:n koko tarkoitus — ja yleisin paikka, jossa sitä heikennetään:

PäätösMerkitysVerkkotunnukset, joilla on SPF
-all (hardfail)Hylkää listaamattomat lähettäjät — tiukka, tarkoitettu asetus39.3 %
~all (softfail)“Luultavasti väärennös, mutta hyväksy se silti”55.8 %
?all (neutraali)Ei mielipidettä — käytännössä ei suojaa3.0 %
+allValtuuttaa koko internetin lähettämään nimissäsi36,014 verkkotunnusta
muu / ei mitäänredirect/vain-include tai ei päättävää all-määrettä1.8 %

Pääuutinen on, että softfail (~all) on yleisin asetus 55.8 %:lla — enemmän kuin hardfail. Yksinään softfail tarjoaa heikon suojan: se pyytää vastaanottajia olemaan luottamatta listaamattomaan postiin, mutta ei hylkäämään sitä.

Vaaralliset rajatapaukset

Onko softfail oikeasti ongelma?

Ei, jos sitä tukee DMARC. Nykyaikainen paras käytäntö on ~all sekä DMARC-käytäntö quarantine tai reject — tämä yhdistelmä antaa sinulle tiukan valvonnan rikkomatta edelleenlähetettyä postia. Ongelmana on suuri osa verkkotunnuksista, jotka ovat ~all-asetuksella ilman valvovaa DMARCia takanaan — vain 10.59 % kaikista verkkotunnuksista valvoo DMARCia — mikä jättää softfailin tekemään lähes ei mitään. ~all-asetukseen asetettu SPF on keino päämäärään; ilman DMARCia se on vain ehdotus.

Usein kysytyt kysymykset

Mikä on ero ~all:n ja -all:n välillä SPF:ssä? -all (hardfail) kehottaa vastaanottajia hylkäämään postin palvelimilta, jotka eivät ole listallasi. ~all (softfail) kehottaa heitä hyväksymään sen silti, mutta merkitsemään sen epäilyttäväksi. 55.8 % verkkotunnuksista, joilla on SPF, käyttää ~all-määrettä; 39.3 % käyttää -all-määrettä.

Onko ~all (softfail) turvallista käyttää? Kyllä — mutta vain, kun se on yhdistetty valvovaan DMARC-käytäntöön (quarantine tai reject). Yksinään softfail tarjoaa heikon suojan.

Mitä +all tekee? +all valtuuttaa jokaisen internetin palvelimen lähettämään sähköpostia verkkotunnuksesi nimissä — pahempi kuin ei SPF:ää lainkaan. 36,014 verkkotunnuksella on tämä, lähes aina vahingossa.

Mikä on SPF:n “liian monta hakua” -virhe? SPF sallii enintään 10 sisäkkäistä DNS-hakua; tämän yli tietue epäonnistuu “permerror”-virheenä ja jätetään huomiotta. Se vaikuttaa 7,958 verkkotunnukseen.

Tarkista, että SPF:si on asetettu oikein

SPF:n julkaiseminen on puolet työstä; sen asettaminen tiukaksi ja tukeminen DMARCilla on toinen puoli. Tarkista verkkotunnuksesi yksityisesti ja ilmaiseksi.

Tarkista verkkotunnuksesi → · Korjaa SPF → · Korjaa DMARC → · Miksi sähköpostini menevät roskapostiin → · Vain koottua dataa. Data tallennetaan ja käsitellään EU:ssa.