Defaults.Exposed › Izvještaji
SPF ~all vs -all: Softfail ili Hardfail — što je odabralo 139 milijuna zapisa (2026.)
Objavljeno 2026-07-03
Podaci na dan 2026-06-29 · metodologija v7. Skupni podaci popisa preko 261 milijuna ocijenjenih domena. Sve su brojke skupne — nikada ne objavljujemo zapis pojedinačne tvrtke. Pogledajte kako ocjenjujemo.
Svaki SPF zapis završava mehanizmom “all” — presudom o pošti koja stiže s bilo kojeg mjesta koje nije na vašem popisu — a internet je uvjerljivo odabrao onaj meki: 55.8% od 139 milijuna domena koje objavljuju SPF završava s ~all (softfail), naspram 39.3% koje završavaju s -all (hardfail). Jedan znak razdvaja “odbaci krivotvorine” od “vjerojatno krivotvorina — svejedno je dostavi”. Koja je od njih prava za vas ovisi o drugoj postavci koju većina vlasnika nikada ne konfigurira.
Što ~all i -all zapravo govore primatelju?
-all(hardfail): “Odbaci poštu s bilo kojeg drugog mjesta.” Odlučno ne.~all(softfail): “Pošta s drugih mjesta vjerojatno nije legitimna — prihvati je, možda je označi.” Slijeganje ramenima.?all(neutral): “Nemam mišljenja.” Odabrali su ga 3.0% objavljivača; zaštita samo po imenu.+all: “Bilo tko može slati kao ja.” Objavilo ga je 36,014 domena, a gore je od nepostojanja zapisa — problem otirača dobrodošlice ima vlastiti izvještaj.
Je li onda ~all pogrešan? Samo ako je sam — a gotovo uvijek jest
Softfail ima obranjiv moderni razlog: Googleove smjernice za pošiljatelje, a s njima i većina praksi isporučivosti, konvergiraju prema ~all uparenom s DMARC politikom provedbe (p=reject). To uparivanje štiti jednako dobro kao -all kod svakog primatelja koji vrednuje DMARC — a to sada uključuje sve velike pružatelje poštanskih sandučića — bez tvrdog odbijanja legitimne proslijeđene pošte, klasične žrtve -all. U toj konfiguraciji slijeganje ramenima ima zube: DMARC pruža presudu koju SPF nije htio dati.
Ali uparivanje je cijela poanta, i evo što popis dodaje, a što vodiči za postavljanje ne mogu: od 77,484,057 softfail zapisa na internetu, samo 7.1 milijuna — otprilike 1 od 11 — ima iza sebe DMARC politiku provedbe. Za ostalih 70.4 milijuna domena, ~all je točno ono što zvuči. Njihov zapis prepoznaje krivotvorinu i propušta je dalje.
Nisu li to popravili mandati iz 2024.?
Ne — a razlika je važnija nego što većina medija sugerira. Google i Yahoo počeli su zahtijevati autentifikaciju od masovnih pošiljatelja u veljači 2024., a Microsoft je uslijedio u svibnju 2025.: prolazni, poravnati SPF ili DKIM, plus DMARC zapis na najmanje p=none. Mandati ne idu toliko daleko da zahtijevaju provedbu — domena s ~all, zapisom p=none i poravnatim DKIM-om potpuno je usklađena, a ostaje potpuno podložna lažiranju. Mandati su normalizirali papirologiju, a ne zaštitu. Ta neprovedena sredina — usklađena, objavljena, podložna krivotvorenju — upravo je jaz koji ovaj popis mjeri, i to je najveća populacija u sigurnosti e-pošte.
Pa čime bi trebao završavati vaš zapis?
- Šaljete poštu i prosljeđivanje je važno (bilteni, mailing liste, aliasi):
~alls DMARCp=rejectiza njega — preporučeno uparivanje iz gornjeg teksta. - Šaljete poštu iz strogo kontroliranog postava:
-allfunkcionira i navodi politiku u samom zapisu. Prvo mapirajte svoje pošiljatelje — strogi završetak na nemapiranom zapisu prekida stvarnu poštu, ili gore. - Domena nikada ne šalje:
-allplusp=reject, već danas. Ne postoji ništa legitimno što treba zaštititi, pa nema što ni prekinuti.
Koji god završetak odabrali, jednorečenična pouka popisa vrijedi: kvalifikator je važan onoliko koliko i ono što ga provodi. Gdje stojite na tim ljestvama je mjerljivo.
Često postavljana pitanja
Je li SPF ~all ili -all bolji?
Nijedan, univerzalno. ~all s DMARC politikom provedbe je obrazac koji preporučuju Googleove smjernice — jednaka zaštita kod primatelja koji vrednuju DMARC bez prekidanja proslijeđene pošte. -all odgovara strogo kontroliranim pošiljateljima. Sam ~all — stanje svih osim 1 od 11 softfail domena — slaba je opcija.
Što znači SPF softfail?
~all govori primateljima da pošta s nepopisanih poslužitelja vjerojatno nije legitimna, ali bi je ipak trebalo prihvatiti, obično sa sumnjom. Postaje stvarna zaštita tek kada DMARC politika djeluje na neuspjeh; pogledajte SPF bez DMARC-a.
Hoće li hardfail -all prekinuti moju proslijeđenu e-poštu?
Može: prosljeđivanje ponovno šalje vašu poštu s poslužitelja prosljeđivača, kojeg vaš SPF ne popisuje, a hardfail poziva na odbijanje prije nego što DKIM ili DMARC odvagnu. Taj je rizik razlog zašto postoji uparivanje ~all + p=reject.
Zahtijevaju li Google i Microsoft sada -all?
Ne. Mandati za masovne pošiljatelje zahtijevaju poravnatu, prolaznu autentifikaciju i DMARC zapis na najmanje p=none — bez provedbe, bez određenog kvalifikatora. Googleovo odbijanje neusklađene masovne pošte je aktivno; Microsoft je slao neuspjehe u spam i kreće prema izravnom odbijanju. Usklađenost nije zaštita.
Provjerite čime vaš zapis završava — i što stoji iza njega
Dvije pretrage govore vam oboje, besplatno, u 30 sekundi. Ako ste jedno od 70.4 milijuna neprovedenih slijeganja ramenima, popravak je DNS zapis, a ne kupnja.
Provjerite svoju domenu → · Popravite SPF → · Popravite DMARC → · SPF model zrelosti → · +all karta → · Samo skupni podaci. Podaci se pohranjuju i obrađuju u EU-u.