Defaults.Exposed › דוחות
דוח תצורות SPF שגויות: רוב רשומות ה-SPF מוגדרות חלש מדי (2026)
פורסם 2026-06-29
נתונים נכון ל-2026-06-29 · מתודולוגיה v7. נתוני מפקד מצרפיים על פני 138,927,207 הדומיינים שמפרסמים רשומת SPF, מתוך 261 מיליון דומיינים שדורגו. ראו כיצד דירגנו.
להחזיק SPF אינו זהה להגדרתו נכון — ולרוב הדומיינים שמפרסמים SPF הוא מוגדר חלש מדי מכדי לעשות הרבה. מתוך 139 מיליון הדומיינים בעלי רשומת SPF, 55.8% מסתיימים ב-~all (softfail), ההגדרה המתירנית שאומרת לנמענים “זה אולי זיוף, אבל שלח את זה בכל זאת.” רק 39.3% משתמשים ב--all הקפדני. ה-SPF מאומץ בהרחבה, אך לרוב נטול ציפורניים.
מנגנון “all”: היכן ה-SPF נמצא או נאבד
כל רשומת SPF מסתיימת במנגנון “all” שאומר מה לעשות בדואר משרתים שאינם ברשימה שלך. זו כל מטרת ה-SPF — והמקום הנפוץ ביותר שבו הוא מוחלש:
| סיומת | משמעות | דומיינים עם SPF |
|---|---|---|
-all (hardfail) | דחיית שולחים שאינם ברשימה — ההגדרה הקפדנית והמיועדת | 39.3% |
~all (softfail) | “כנראה זיוף, אבל קבל אותו בכל זאת” | 55.8% |
?all (ניטרלי) | אין דעה — למעשה אין הגנה | 3.0% |
+all | הרשאה לכל האינטרנט לשלוח בשמך | 36,014 דומיינים |
| אחר / ללא | redirect/include-בלבד או ללא all מסיים | 1.8% |
הכותרת היא שsoftfail (~all) הוא ההגדרה הנפוצה ביותר ב-55.8% — יותר מ-hardfail. בפני עצמו, softfail מספק הגנה חלשה: הוא מבקש מהנמענים לא לבטוח בדואר שאינו ברשימה, אך לא לדחות אותו.
מקרי הקצה המסוכנים
+all— 36,014 דומיינים. זהו ערך ה-SPF הגרוע ביותר האפשרי: הוא אומר במפורש לעולם כולו שכל שרת רשאי לשלוח דוא”ל בשם הדומיין. כמעט תמיד זו תקלת העתק-הדבק, וזה גרוע באופן מובהק מאשר לא להחזיק SPF כלל.- יותר מדי חיפושי DNS — 7,958 דומיינים. SPF מתיר לכל היותר 10 חיפושי DNS מקוננים; אם תחרוג מכך, הרשומה הופכת ל-”permerror” שהנמענים מתייחסים אליו כשבור. זה נדיר יותר מהחשש (0.01% מרשומות ה-SPF), אך כשזה קורה, זה מבטל בשקט את כל ה-SPF שלך.
האם softfail הוא באמת בעיה?
לא אם הוא מגובה ב-DMARC. שיטת העבודה המומלצת המודרנית היא ~all בתוספת מדיניות DMARC של quarantine או reject — השילוב הזה מעניק לך אכיפה קפדנית מבלי לשבור דואר מועבר. הבעיה היא החלק הגדול של דומיינים על ~all ללא DMARC אוכף מאחוריהם — רק 10.59% מכלל הדומיינים אוכפים DMARC — מה שמשאיר את ה-softfail לא עושה כמעט כלום. SPF המוגדר ל-~all הוא אמצעי למטרה; ללא DMARC, זו רק הצעה.
שאלות נפוצות
מה ההבדל בין ~all ל—all ב-SPF?
-all (hardfail) אומר לנמענים לדחות דואר משרתים שאינם ברשימה שלך. ~all (softfail) אומר להם לקבל אותו בכל זאת אך לסמן אותו כחשוד. 55.8% מהדומיינים עם SPF משתמשים ב-~all; 39.3% משתמשים ב--all.
האם בטוח להשתמש ב-~all (softfail)?
כן — אך רק כשהוא משולב עם מדיניות DMARC אוכפת (quarantine או reject). בפני עצמו, softfail מספק הגנה חלשה.
מה עושה +all?
+all מעניק לכל שרת באינטרנט הרשאה לשלוח דוא”ל בשם הדומיין שלך — גרוע יותר מאשר ללא SPF. ל-36,014 דומיינים יש זאת, כמעט תמיד בטעות.
מהי שגיאת ה-SPF “יותר מדי חיפושים”? SPF מתיר לכל היותר 10 חיפושי DNS מקוננים; מעבר לכך הרשומה נכשלת כ-”permerror” ומתעלמים ממנה. היא משפיעה על 7,958 דומיינים.
בדקו שה-SPF שלכם מוגדר נכון
פרסום SPF הוא חצי מהעבודה; הגדרתו בקפדנות וגיבויו ב-DMARC הם החצי השני. בדקו את הדומיין שלכם באופן פרטי וחינם.
בדקו את הדומיין שלכם → · תקנו SPF → · תקנו DMARC → · מדוע הדוא”ל שלי מגיע לספאם → · נתונים מצרפיים בלבד. הנתונים מאוחסנים ומעובדים באיחוד האירופי.