Defaults.Exposed

Defaults.Exposed › Laporan

SPF +all: Domain yang Membiarkan Seluruh Internet Mengirim Atas Nama Mereka (2026)

Diterbitkan 2026-07-03

Angka per 2026-06-29 · metodologi v7. Sensus agregat di 261 juta domain yang telah dinilai. Semua angka bersifat agregat — bukan catatan milik satu bisnis individu. Lihat bagaimana kami menilai.

36,014 domain mengakhiri catatan SPF mereka dengan +all — sebuah deklarasi yang dipublikasikan dan dapat dibaca mesin bahwa setiap server di internet berwenang mengirim email atas nama mereka. Ini adalah kesalahan konfigurasi SPF yang paling langka (0.03% dari para penerbit) dan yang paling merugikan diri sendiri: catatan yang tidak ada membiarkan penerima mengandalkan heuristik mereka sendiri, tetapi +all secara tegas memberi tahu mereka bahwa si pemalsu itu sah.

Apa arti +all dalam sebuah catatan SPF?

Mekanisme all di bagian akhir membawa sebuah kualifikator — putusan bagi pengirim yang tidak ada dalam daftar Anda. -all menolak mereka, ~all meragukan mereka — dan +all menyetujui mereka. Penerima yang memeriksa pesan palsu terhadap catatan +all akan mengembalikan pass SPF yang bersih. Itulah bahayanya dalam satu kalimat: perlindungan Anda menjamin si pemalsu. Dan karena sebuah pass SPF dapat memenuhi kaki SPF dari DMARC, pass tersebut dapat membantu sebuah pemalsuan lolos melalui sistem yang justru dibangun untuk menghentikannya.

Peta: di mana keset selamat datang berkumpul

+all ada di mana-mana, secara tipis — tetapi tingkatnya sangat bervariasi menurut akhiran. Jumlah berasal dari sensus; tingkat = catatan +all per 10.000 penerbit SPF dari TLD tersebut:

TLDDomain +allTingkat per 10.000
.be1,39922.5
.nl1,9658.8
.eu6726.6
.fr1,1476.2
.net1,6403.6
.org1,3922.8
.com16,6362.4
.de7321.3

Kluster Benelux-Prancis menonjol: seorang penerbit SPF .be kira-kira 9 kali lebih mungkin membawa +all dibandingkan penerbit .com (22.5 vs 2.4 per 10.000). Pola yang sekonsentrasi ini jarang berarti ribuan kesalahan yang independen — penjelasan yang paling masuk akal adalah sumber bersama: panel hosting regional, templat registrar, atau artikel petunjuk yang mengirimkan +all dan disalin selama bertahun-tahun. Sidik jari yang sama muncul satu tingkat di bawah pada tangga keparahan: 22.6% catatan SPF .za berakhir dengan ?all netral, sebuah anomali nasional yang menunjuk ke arah yang sama.

Bagaimana seseorang bisa berakhir dengan +all?

Tiga jalur, semuanya tak disengaja:

Perbaikan satu karakter

Ubah +all menjadi -all — atau ~all dengan DMARC yang menegakkan di belakangnya. Satu karakter dalam satu catatan TXT, gratis, dan berlaku segera setelah DNS diperbarui — biasanya dalam waktu satu jam. Tidak ada peningkatan keamanan yang lebih cepat yang tersedia pada sebuah domain.

Pertanyaan yang sering diajukan

Apa arti +all dalam sebuah catatan SPF? Ini memberi wewenang kepada setiap server di internet untuk mengirim email atas nama domain Anda — kebalikan dari tujuan SPF. 36,014 domain menerbitkannya per 2026-06-29.

Apakah +all lebih buruk daripada tidak memiliki catatan SPF sama sekali? Dalam satu hal yang penting, ya: tidak adanya catatan membuat penerima menebak-nebak, sementara +all dapat mengubah sebuah pemalsuan menjadi pass SPF yang bersih — pass yang bahkan dapat membantunya lolos melalui DMARC. Beberapa filter juga memperlakukan +all itu sendiri sebagai sinyal spam, sehingga ia dapat merugikan email sah Anda juga.

Bagaimana cara saya memeriksa domain saya untuk +all? Baca catatan TXT Anda (dig TXT yourdomain.com) atau jalankan pemeriksaan gratis — kualifikator yang permisif langsung ditandai.

Mengapa sebuah templat menetapkan +all sebagai bawaan? Kemungkinan besar karena ia tidak menghasilkan tiket dukungan apa pun — setiap pengiriman “berhasil”, termasuk yang curang. Pengelompokan regional dalam data kami konsisten dengan bawaan templat ketimbang ribuan pilihan individu, meskipun sensus melihat catatannya, bukan penulisnya.

Periksa akhiran Anda

Sebagian besar pemilik yang membentangkan keset selamat datang tidak tahu keset itu ada di sana. Membaca keset pintu Anda sendiri hanya butuh setengah menit, dan menulis ulangnya hanya seharga satu karakter.

Periksa domain Anda → · Perbaiki SPF → · ~all vs -all · Galeri kehormatan kesalahan konfigurasi → · Hanya data agregat. Data disimpan dan diproses di Uni Eropa.