Defaults.Exposed

Defaults.Exposed › Laporan

Laporan Salah Konfigurasi SPF: Kebanyakan Rekod SPF Ditetapkan Terlalu Lemah (2026)

Diterbitkan 2026-06-29

Angka setakat 2026-06-29 · metodologi v7. Data banci agregat merentas 138,927,207 domain yang menerbitkan rekod SPF, daripada 261 juta domain yang dinilai. Lihat bagaimana kami menggred.

Memiliki SPF tidak sama dengan menetapkannya dengan betul — dan kebanyakan domain yang menerbitkan SPF menetapkannya terlalu lemah untuk berbuat banyak. Daripada 139 juta domain yang mempunyai rekod SPF, 55.8% berakhir dengan ~all (softfail), tetapan permisif yang memberitahu penerima “ini mungkin pemalsuan, tetapi hantar juga.” Hanya 39.3% menggunakan -all yang ketat. SPF diterima pakai secara meluas tetapi, lebih kerap daripada tidak, telah dicabut kukunya.

Mekanisme “all”: tempat SPF dimenangi atau dikalahkan

Setiap rekod SPF berakhir dengan mekanisme “all” yang menyatakan apa yang perlu dilakukan terhadap mel daripada pelayan yang tidak berada dalam senarai anda. Itulah keseluruhan tujuan SPF — dan tempat paling biasa ia dilemahkan:

PenamatMaksudDomain dengan SPF
-all (hardfail)Tolak penghantar tidak tersenarai — tetapan ketat yang dimaksudkan39.3%
~all (softfail)“Mungkin pemalsuan, tetapi terima juga”55.8%
?all (neutral)Tiada pendirian — pada dasarnya tiada perlindungan3.0%
+allMembenarkan seluruh internet menghantar bagi pihak anda36,014 domain
lain / tiadaredirect/include-sahaja atau tiada all terminal1.8%

Tajuk utamanya ialah softfail (~all) merupakan tetapan paling biasa pada 55.8% — lebih daripada hardfail. Secara sendirian, softfail memberikan perlindungan yang lemah: ia meminta penerima supaya tidak mempercayai mel tidak tersenarai, tetapi bukan menolaknya.

Kes ekstrem yang berbahaya

Adakah softfail sebenarnya satu masalah?

Tidak jika ia disokong oleh DMARC. Amalan terbaik moden ialah ~all ditambah dasar DMARC quarantine atau reject — gandingan itu memberi anda penguatkuasaan ketat tanpa merosakkan mel yang dimajukan. Masalahnya ialah bahagian besar domain pada ~all tanpa DMARC penguatkuasaan di belakangnya — hanya 10.59% daripada semua domain menguatkuasakan DMARC — yang menyebabkan softfail hampir tidak berbuat apa-apa. SPF yang ditetapkan kepada ~all ialah satu cara untuk mencapai matlamat; tanpa DMARC, ia hanyalah satu cadangan.

Soalan lazim

Apakah perbezaan antara ~all dan -all dalam SPF? -all (hardfail) memberitahu penerima supaya menolak mel daripada pelayan yang tidak berada dalam senarai anda. ~all (softfail) memberitahu mereka supaya menerimanya juga tetapi menandakannya mencurigakan. 55.8% domain dengan SPF menggunakan ~all; 39.3% menggunakan -all.

Adakah ~all (softfail) selamat untuk digunakan? Ya — tetapi hanya apabila digandingkan dengan dasar DMARC penguatkuasaan (quarantine atau reject). Secara sendirian, softfail memberikan perlindungan yang lemah.

Apakah yang dilakukan oleh +all? +all membenarkan setiap pelayan di internet menghantar e-mel bagi pihak domain anda — lebih buruk daripada tiada SPF. 36,014 domain mempunyainya, hampir selalu secara tidak sengaja.

Apakah ralat SPF “terlalu banyak carian”? SPF membenarkan paling banyak 10 carian DNS bersarang; melebihi itu rekod gagal sebagai “permerror” dan diabaikan. Ia menjejaskan 7,958 domain.

Periksa bahawa SPF anda ditetapkan dengan betul

Menerbitkan SPF hanyalah separuh tugas; menetapkannya secara ketat dan menyokongnya dengan DMARC ialah separuh lagi. Periksa domain anda secara peribadi dan percuma.

Periksa domain anda → · Betulkan SPF → · Betulkan DMARC → · Mengapa e-mel saya masuk ke spam → · Data agregat sahaja. Data disimpan dan diproses di EU.