Defaults.Exposed

Defaults.Exposed › Izvještaji

SPF ~all vs -all: Softfail ili Hardfail — što je odabralo 139 milijuna zapisa (2026.)

Objavljeno 2026-07-03

Podaci na dan 2026-06-29 · metodologija v7. Skupni podaci popisa preko 261 milijuna ocijenjenih domena. Sve su brojke skupne — nikada ne objavljujemo zapis pojedinačne tvrtke. Pogledajte kako ocjenjujemo.

Svaki SPF zapis završava mehanizmom “all” — presudom o pošti koja stiže s bilo kojeg mjesta koje nije na vašem popisu — a internet je uvjerljivo odabrao onaj meki: 55.8% od 139 milijuna domena koje objavljuju SPF završava s ~all (softfail), naspram 39.3% koje završavaju s -all (hardfail). Jedan znak razdvaja “odbaci krivotvorine” od “vjerojatno krivotvorina — svejedno je dostavi”. Koja je od njih prava za vas ovisi o drugoj postavci koju većina vlasnika nikada ne konfigurira.

Što ~all i -all zapravo govore primatelju?

Je li onda ~all pogrešan? Samo ako je sam — a gotovo uvijek jest

Softfail ima obranjiv moderni razlog: Googleove smjernice za pošiljatelje, a s njima i većina praksi isporučivosti, konvergiraju prema ~all uparenom s DMARC politikom provedbe (p=reject). To uparivanje štiti jednako dobro kao -all kod svakog primatelja koji vrednuje DMARC — a to sada uključuje sve velike pružatelje poštanskih sandučića — bez tvrdog odbijanja legitimne proslijeđene pošte, klasične žrtve -all. U toj konfiguraciji slijeganje ramenima ima zube: DMARC pruža presudu koju SPF nije htio dati.

Ali uparivanje je cijela poanta, i evo što popis dodaje, a što vodiči za postavljanje ne mogu: od 77,484,057 softfail zapisa na internetu, samo 7.1 milijuna — otprilike 1 od 11 — ima iza sebe DMARC politiku provedbe. Za ostalih 70.4 milijuna domena, ~all je točno ono što zvuči. Njihov zapis prepoznaje krivotvorinu i propušta je dalje.

Nisu li to popravili mandati iz 2024.?

Ne — a razlika je važnija nego što većina medija sugerira. Google i Yahoo počeli su zahtijevati autentifikaciju od masovnih pošiljatelja u veljači 2024., a Microsoft je uslijedio u svibnju 2025.: prolazni, poravnati SPF ili DKIM, plus DMARC zapis na najmanje p=none. Mandati ne idu toliko daleko da zahtijevaju provedbu — domena s ~all, zapisom p=none i poravnatim DKIM-om potpuno je usklađena, a ostaje potpuno podložna lažiranju. Mandati su normalizirali papirologiju, a ne zaštitu. Ta neprovedena sredina — usklađena, objavljena, podložna krivotvorenju — upravo je jaz koji ovaj popis mjeri, i to je najveća populacija u sigurnosti e-pošte.

Pa čime bi trebao završavati vaš zapis?

  1. Šaljete poštu i prosljeđivanje je važno (bilteni, mailing liste, aliasi): ~all s DMARC p=reject iza njega — preporučeno uparivanje iz gornjeg teksta.
  2. Šaljete poštu iz strogo kontroliranog postava: -all funkcionira i navodi politiku u samom zapisu. Prvo mapirajte svoje pošiljatelje — strogi završetak na nemapiranom zapisu prekida stvarnu poštu, ili gore.
  3. Domena nikada ne šalje: -all plus p=reject, već danas. Ne postoji ništa legitimno što treba zaštititi, pa nema što ni prekinuti.

Koji god završetak odabrali, jednorečenična pouka popisa vrijedi: kvalifikator je važan onoliko koliko i ono što ga provodi. Gdje stojite na tim ljestvama je mjerljivo.

Često postavljana pitanja

Je li SPF ~all ili -all bolji? Nijedan, univerzalno. ~all s DMARC politikom provedbe je obrazac koji preporučuju Googleove smjernice — jednaka zaštita kod primatelja koji vrednuju DMARC bez prekidanja proslijeđene pošte. -all odgovara strogo kontroliranim pošiljateljima. Sam ~all — stanje svih osim 1 od 11 softfail domena — slaba je opcija.

Što znači SPF softfail? ~all govori primateljima da pošta s nepopisanih poslužitelja vjerojatno nije legitimna, ali bi je ipak trebalo prihvatiti, obično sa sumnjom. Postaje stvarna zaštita tek kada DMARC politika djeluje na neuspjeh; pogledajte SPF bez DMARC-a.

Hoće li hardfail -all prekinuti moju proslijeđenu e-poštu? Može: prosljeđivanje ponovno šalje vašu poštu s poslužitelja prosljeđivača, kojeg vaš SPF ne popisuje, a hardfail poziva na odbijanje prije nego što DKIM ili DMARC odvagnu. Taj je rizik razlog zašto postoji uparivanje ~all + p=reject.

Zahtijevaju li Google i Microsoft sada -all? Ne. Mandati za masovne pošiljatelje zahtijevaju poravnatu, prolaznu autentifikaciju i DMARC zapis na najmanje p=none — bez provedbe, bez određenog kvalifikatora. Googleovo odbijanje neusklađene masovne pošte je aktivno; Microsoft je slao neuspjehe u spam i kreće prema izravnom odbijanju. Usklađenost nije zaštita.

Provjerite čime vaš zapis završava — i što stoji iza njega

Dvije pretrage govore vam oboje, besplatno, u 30 sekundi. Ako ste jedno od 70.4 milijuna neprovedenih slijeganja ramenima, popravak je DNS zapis, a ne kupnja.

Provjerite svoju domenu → · Popravite SPF → · Popravite DMARC → · SPF model zrelosti → · +all karta → · Samo skupni podaci. Podaci se pohranjuju i obrađuju u EU-u.