Defaults.Exposed › Laporan
Laporan Kesalahan Konfigurasi SPF: Sebagian Besar Catatan SPF Diatur Terlalu Lemah (2026)
Diterbitkan 2026-06-29
Angka per 2026-06-29 · metodologi v7. Data sensus agregat atas 138,927,207 domain yang menerbitkan catatan SPF, dari 261 juta domain yang dinilai. Lihat bagaimana kami menilai.
Memiliki SPF tidak sama dengan menyetelnya dengan benar — dan sebagian besar domain yang menerbitkan SPF menyetelnya terlalu lemah untuk berbuat banyak. Dari 139 juta domain dengan catatan SPF, 55.8% diakhiri dengan ~all (softfail), setelan permisif yang memberi tahu penerima “ini mungkin pemalsuan, tetapi kirimkan saja”. Hanya 39.3% yang menggunakan -all yang ketat. SPF diadopsi secara luas tetapi, lebih sering daripada tidak, dilumpuhkan.
Mekanisme “all”: tempat SPF dimenangkan atau hilang
Setiap catatan SPF diakhiri dengan mekanisme “all” yang menyatakan apa yang harus dilakukan terhadap surat dari server yang tidak ada di daftar Anda. Itulah inti dari SPF — dan tempat paling umum ia diperlemah:
| Akhiran | Arti | Domain dengan SPF |
|---|---|---|
-all (hardfail) | Tolak pengirim yang tidak terdaftar — setelan ketat yang dimaksudkan | 39.3% |
~all (softfail) | “Mungkin pemalsuan, tetapi terima saja” | 55.8% |
?all (netral) | Tidak berpendapat — efektifnya tanpa perlindungan | 3.0% |
+all | Mengizinkan seluruh internet mengirim atas nama Anda | 36,014 domain |
| lain / tidak ada | redirect/include-only atau tanpa all penutup | 1.8% |
Sorotannya adalah bahwa softfail (~all) merupakan setelan paling umum sebesar 55.8% — lebih banyak daripada hardfail. Berdiri sendiri, softfail memberikan perlindungan yang lemah: ia meminta penerima untuk tidak memercayai surat yang tidak terdaftar, tetapi bukan untuk menolaknya.
Kasus tepi yang berbahaya
+all— 36,014 domain. Ini adalah nilai SPF terburuk yang mungkin: secara eksplisit memberi tahu dunia bahwa server mana pun diizinkan mengirim surat atas nama domain. Ini hampir selalu kesalahan salin-tempel, dan jelas lebih buruk daripada tidak punya SPF sama sekali.- Terlalu banyak pencarian DNS — 7,958 domain. SPF mengizinkan maksimum 10 pencarian DNS bersarang; melampauinya membuat catatan menjadi “permerror” yang diperlakukan penerima sebagai rusak. Ini lebih jarang daripada yang dikhawatirkan (0.01% catatan SPF), tetapi ketika terjadi, ia diam-diam membatalkan seluruh SPF Anda.
Apakah softfail benar-benar masalah?
Tidak jika didukung oleh DMARC. Praktik terbaik modern adalah ~all ditambah kebijakan DMARC quarantine atau reject — pasangan itu memberi Anda penegakan ketat tanpa merusak surat yang diteruskan. Masalahnya adalah besarnya pangsa domain pada ~all tanpa DMARC penegak di belakangnya — hanya 10.59% dari semua domain menegakkan DMARC — yang membuat softfail nyaris tidak berfungsi. SPF yang disetel ke ~all adalah sarana untuk mencapai tujuan; tanpa DMARC, ia hanyalah sebuah saran.
Pertanyaan yang sering diajukan
Apa perbedaan antara ~all dan -all dalam SPF?
-all (hardfail) memberi tahu penerima untuk menolak surat dari server yang tidak ada di daftar Anda. ~all (softfail) memberi tahu mereka untuk tetap menerimanya tetapi menandainya sebagai mencurigakan. 55.8% domain dengan SPF menggunakan ~all; 39.3% menggunakan -all.
Apakah ~all (softfail) aman digunakan?
Ya — tetapi hanya jika dipasangkan dengan kebijakan DMARC penegak (quarantine atau reject). Berdiri sendiri, softfail memberikan perlindungan yang lemah.
Apa fungsi +all?
+all mengizinkan setiap server di internet mengirim surat atas nama domain Anda — lebih buruk daripada tanpa SPF. 36,014 domain memiliki ini, hampir selalu karena keliru.
Apa itu galat SPF “terlalu banyak pencarian”? SPF mengizinkan paling banyak 10 pencarian DNS bersarang; di luar itu catatan gagal sebagai “permerror” dan diabaikan. Ini memengaruhi 7,958 domain.
Periksa apakah SPF Anda disetel dengan benar
Menerbitkan SPF adalah setengah pekerjaan; menyetelnya secara ketat dan mendukungnya dengan DMARC adalah setengah lainnya. Periksa domain Anda secara privat dan gratis.
Periksa domain Anda → · Perbaiki SPF → · Perbaiki DMARC → · Mengapa email saya masuk ke spam → · Hanya data agregat. Data disimpan dan diproses di UE.