Defaults.Exposed

Defaults.Exposed › דוחות

דוח תצורות SPF שגויות: רוב רשומות ה-SPF מוגדרות חלש מדי (2026)

פורסם 2026-06-29

נתונים נכון ל-2026-06-29 · מתודולוגיה v7. נתוני מפקד מצרפיים על פני 138,927,207 הדומיינים שמפרסמים רשומת SPF, מתוך 261 מיליון דומיינים שדורגו. ראו כיצד דירגנו.

להחזיק SPF אינו זהה להגדרתו נכון — ולרוב הדומיינים שמפרסמים SPF הוא מוגדר חלש מדי מכדי לעשות הרבה. מתוך 139 מיליון הדומיינים בעלי רשומת SPF, 55.8% מסתיימים ב-~all (softfail), ההגדרה המתירנית שאומרת לנמענים “זה אולי זיוף, אבל שלח את זה בכל זאת.” רק 39.3% משתמשים ב--all הקפדני. ה-SPF מאומץ בהרחבה, אך לרוב נטול ציפורניים.

מנגנון “all”: היכן ה-SPF נמצא או נאבד

כל רשומת SPF מסתיימת במנגנון “all” שאומר מה לעשות בדואר משרתים שאינם ברשימה שלך. זו כל מטרת ה-SPF — והמקום הנפוץ ביותר שבו הוא מוחלש:

סיומתמשמעותדומיינים עם SPF
-all (hardfail)דחיית שולחים שאינם ברשימה — ההגדרה הקפדנית והמיועדת39.3%
~all (softfail)“כנראה זיוף, אבל קבל אותו בכל זאת”55.8%
?all (ניטרלי)אין דעה — למעשה אין הגנה3.0%
+allהרשאה לכל האינטרנט לשלוח בשמך36,014 דומיינים
אחר / ללאredirect/include-בלבד או ללא all מסיים1.8%

הכותרת היא שsoftfail (~all) הוא ההגדרה הנפוצה ביותר ב-55.8% — יותר מ-hardfail. בפני עצמו, softfail מספק הגנה חלשה: הוא מבקש מהנמענים לא לבטוח בדואר שאינו ברשימה, אך לא לדחות אותו.

מקרי הקצה המסוכנים

האם softfail הוא באמת בעיה?

לא אם הוא מגובה ב-DMARC. שיטת העבודה המומלצת המודרנית היא ~all בתוספת מדיניות DMARC של quarantine או reject — השילוב הזה מעניק לך אכיפה קפדנית מבלי לשבור דואר מועבר. הבעיה היא החלק הגדול של דומיינים על ~all ללא DMARC אוכף מאחוריהם — רק 10.59% מכלל הדומיינים אוכפים DMARC — מה שמשאיר את ה-softfail לא עושה כמעט כלום. SPF המוגדר ל-~all הוא אמצעי למטרה; ללא DMARC, זו רק הצעה.

שאלות נפוצות

מה ההבדל בין ~all ל—all ב-SPF? -all (hardfail) אומר לנמענים לדחות דואר משרתים שאינם ברשימה שלך. ~all (softfail) אומר להם לקבל אותו בכל זאת אך לסמן אותו כחשוד. 55.8% מהדומיינים עם SPF משתמשים ב-~all; 39.3% משתמשים ב--all.

האם בטוח להשתמש ב-~all (softfail)? כן — אך רק כשהוא משולב עם מדיניות DMARC אוכפת (quarantine או reject). בפני עצמו, softfail מספק הגנה חלשה.

מה עושה +all? +all מעניק לכל שרת באינטרנט הרשאה לשלוח דוא”ל בשם הדומיין שלך — גרוע יותר מאשר ללא SPF. ל-36,014 דומיינים יש זאת, כמעט תמיד בטעות.

מהי שגיאת ה-SPF “יותר מדי חיפושים”? SPF מתיר לכל היותר 10 חיפושי DNS מקוננים; מעבר לכך הרשומה נכשלת כ-”permerror” ומתעלמים ממנה. היא משפיעה על 7,958 דומיינים.

בדקו שה-SPF שלכם מוגדר נכון

פרסום SPF הוא חצי מהעבודה; הגדרתו בקפדנות וגיבויו ב-DMARC הם החצי השני. בדקו את הדומיין שלכם באופן פרטי וחינם.

בדקו את הדומיין שלכם → · תקנו SPF → · תקנו DMARC → · מדוע הדוא”ל שלי מגיע לספאם → · נתונים מצרפיים בלבד. הנתונים מאוחסנים ומעובדים באיחוד האירופי.