Defaults.Exposed › Report
Quale provider di posta elettronica offre ai propri clienti i default SPF più solidi? (2026)
Pubblicato 2026-07-03
Dati aggiornati al 2026-06-29 · metodologia v7. Censimento aggregato su 261 milioni di domini classificati. Contiamo gli esatti target
include:/redirect=nei record SPF pubblicati — DNS pubblico, aggregato per provider; mai il record di una singola azienda. Vedi come classifichiamo.
Ogni record SPF nomina i servizi autorizzati a inviare per un dominio — quindi 139 milioni di record SPF sono anche un censimento dei default dei provider, e i default differiscono enormemente: il 85,0% dei domini che includono Microsoft 365 termina il proprio SPF con lo stretto -all, contro il 8,0% dei domini che includono Google Workspace. Il secondo dato conta di più: sulla misura che effettivamente ferma lo spoofing — una politica DMARC in applicazione dietro al record — la base clienti di nessun grande provider di caselle di posta supera il 30% di completamento.
La classifica: terminazioni strette e protezione completata, per provider
Domini il cui SPF include ciascun provider; la quota che termina in modo stretto (-all); e la quota con DMARC in applicazione — la combinazione che ferma le contraffazioni:
| Provider (target include) | Domini che autorizzano | % stretto -all | % con DMARC in applicazione |
|---|---|---|---|
Google Workspace (_spf.google.com) | 12.145.313 | 8,0% | 18,5% |
Microsoft 365 (spf.protection.outlook.com) | 10.205.070 | 85,0% | 21,7% |
Namecheap forwarding (spf.efwd.registrar-servers.com) | 7.355.985 | <0.1% | 0,2% |
GoDaddy (secureserver.net) | 7.061.426 | 86,0% | 29,3% |
Hostinger (_spf.mail.hostinger.com) | 4.476.640 | 0,2% | 1,0% |
IONOS EU (_spf-eu.ionos.com) | 4.346.526 | 0,3% | 1,0% |
HostGator (websitewelcome.com) | 3.102.616 | 0,6% | 1,6% |
OVH (mx.ovh.com) | 2.132.049 | 43,7% | 2,2% |
Cloudflare Email Routing (_spf.mx.cloudflare.net) | 2.007.483 | 2,9% | 10,0% |
MailChannels (relay.mailchannels.net) | 1.870.177 | 28,4% | 10,0% |
Mailgun (mailgun.org) | 1.306.692 | 7,2% | 35,9% |
SendGrid (sendgrid.net) | 740.321 | 19,0% | 18,0% |
Zoho Mail (zohomail.com) | 662.546 | 7,3% | 9,9% |
Amazon SES (amazonses.com) | 551.446 | 28,3% | 41,9% |
Stackmail / 20i (spf.stackmail.com) | 519.246 | 98,2% | 3,3% |
Come leggere questa tabella — onestamente
Quattro cose che questi dati sono e non sono:
- Le righe sono popolazioni-include, non clienti. Un dominio che include sia Google sia Mailgun compare in entrambe le righe.
- La colonna stretto fotografa il modello di configurazione di ciascun provider più il suo mix di clienti. L’onboarding di Microsoft emette
-all; la documentazione di Google raccomanda~all; i pannelli di hosting predispongono automaticamente record su domini che potrebbero non inviare alcuna posta — il che può gonfiare una quota stretta senza che nessuno decida nulla. - Una quota stretta bassa non è automaticamente sbagliata. La riga di Namecheap è un prodotto di inoltro email — e l’inoltro è esattamente il caso in cui
-allsbaglia bersaglio, quindi un modello soft in quel caso è probabilmente la configurazione corretta. L’esposizione in quella riga è l’altra colonna: 0,2% in applicazione. - La colonna dell’applicazione è la vera classifica. Stretto-contro-soft è una scelta di stile una volta che DMARC è in applicazione; senza applicazione, nessuna delle due terminazioni ferma una contraffazione presso la maggior parte dei destinatari.
Tre storie nelle colonne
- I default sono il destino. I clienti mantengono in modo schiacciante qualunque cosa abbia fornito loro la procedura guidata — il 92% dei domini che includono Google mantiene una terminazione non stretta, in gran parte il
~allraccomandato dalla guida di Google; il 98,2% dei domini Stackmail mantiene il-allscritto dal suo pannello. Quasi nessuno ridecide un qualificatore in seguito. Questa è l’osservazione fondante di tutto questo censimento, scritta 139 milioni di volte. - Il traguardo viene tagliato dagli utenti, non dai modelli. I leader dell’applicazione sono i mittenti orientati agli sviluppatori — Amazon SES (41,9%) e Mailgun (35,9%) — la cui clientela tende verso team che portano a termine il lavoro. Le basi dei grandi provider di caselle di posta si collocano tra il 18,5% e il 29,3% in applicazione, indipendentemente da quanto stretto fosse il loro modello SPF.
- La massa esposta è il livello hosting-e-inoltro. L’inoltro di Namecheap, Hostinger, IONOS e HostGator insieme coprono più di 19 milioni di domini al 2% o meno in applicazione — nomi di piccole imprese che eseguono qualunque cosa abbia installato il pannello, debolmente recintati e non in applicazione.
Cosa fare con il tuo dominio
- Verifica quali provider il tuo SPF include effettivamente —
dig TXT tuodominio.com, oppure controlla gratis. - Non imitare ciecamente una terminazione stretta: mappa i tuoi mittenti, poi o stringi verso
-alloppure mantieni~alle metti DMARCp=rejectdietro. - Qualunque cosa ti abbia consegnato il tuo provider è un modello che hai ereditato — e una modifica DNS gratuita da cambiare.
Domande frequenti
Quale provider di posta elettronica ha il default SPF più sicuro?
Per modello stretto: Stackmail / 20i (il 98,2% dei domini termina con -all), GoDaddy (86,0%) e Microsoft 365 (85,0%). Per protezione completata — DMARC in applicazione dietro all’SPF — i clienti di Amazon SES sono in testa al 41,9%. Le due misure premiano rispettivamente un modello stretto e una base clienti che porta a termine.
Usare Google Workspace significa che il mio SPF è debole?
Non intrinsecamente. Il ~all raccomandato da Google è una pratica valida quando abbinato a una politica DMARC in applicazione — ma solo il 18,5% dei domini che includono Google ha questo abbinamento al 2026-06-29. La debolezza non è il softfail; è fermarsi lì.
Questi numeri giudicano la sicurezza dei provider stessi? No. Misurano la postura SPF pubblicata dei domini clienti che includono ciascun provider — DNS pubblico aggregato, modellato da modelli di configurazione, documentazione e mix di clienti. Nessun singolo dominio viene identificato o classificato pubblicamente.
Perché il modello del mio provider decide la mia sicurezza? Perché viene copiato una volta, il primo giorno, e il nostro censimento mostra che quasi non viene mai ridiscusso. I default persistono — ed è esattamente per questo che controllare il tuo vale 30 secondi.
Controlla cosa ha ereditato il tuo dominio
Qualunque cosa abbia scritto la procedura guidata di configurazione è ancora lì nel tuo DNS. Leggerla — e completarla — è gratis.
Controlla il tuo dominio → · Correggi SPF → · ~all vs -all → · SPF senza DMARC → · Quota di mercato dell’hosting email → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.