Defaults.Exposed › Rapporten
SPF ~all versus -all: softfail of hardfail — waarvoor 139 miljoen records kozen (2026)
Gepubliceerd 2026-07-03
Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over 261 miljoen beoordeelde domeinen. Alle cijfers zijn geaggregeerd — we publiceren nooit het record van een individueel bedrijf. Zie hoe wij beoordelen.
Elk SPF-record eindigt op een “all”-mechanisme — het oordeel over post van overal die niet op jouw lijst staat — en het internet heeft overweldigend voor de zachte variant gekozen: 55,8% van de 139 miljoen domeinen die SPF publiceren, eindigt op ~all (softfail), tegenover 39,3% dat eindigt op -all (hardfail). Eén teken scheidt “vervalsingen weigeren” van “waarschijnlijk een vervalsing — bezorg hem toch maar”. Welke van de twee voor jou juist is, hangt af van een tweede instelling die de meeste eigenaren nooit configureren.
Wat vertellen ~all en -all een ontvanger nu eigenlijk?
-all(hardfail): “Weiger post van elke andere afzender.” Een resoluut nee.~all(softfail): “Post van elders is waarschijnlijk niet legitiem — accepteer hem, markeer hem eventueel.” Een schouderophalen.?all(neutraal): “Geen mening.” Gekozen door 3,0% van de publiceerders; bescherming alleen in naam.+all: “Iedereen mag namens mij verzenden.” Gepubliceerd door 36.014 domeinen, en erger dan helemaal geen record — het welkomstmat-probleem heeft zijn eigen rapport.
Is ~all dan verkeerd? Alleen als het alleen staat — en dat doet het bijna altijd
Softfail kent een verdedigbaar modern argument: de afzendersrichtlijnen van Google, en de meeste bezorgbaarheidspraktijk die daarmee meebeweegt, komen samen op ~all gecombineerd met een handhavend DMARC-beleid (p=reject). Die combinatie beschermt net zo goed als -all bij elke DMARC-evaluerende ontvanger — waartoe nu alle grote mailboxproviders behoren — zonder legitieme doorgestuurde post hard te laten bouncen, het klassieke slachtoffer van -all. In die configuratie krijgt het schouderophalen tanden: DMARC levert het oordeel dat SPF weigerde te geven.
Maar die combinatie is het hele punt, en dit is wat de census toevoegt en opzetgidsen niet kunnen: van de 77.484.057 softfail-records op het internet hebben er slechts 7,1 miljoen — ongeveer 1 op de 11 — een handhavend DMARC-beleid erachter. Voor de andere 70,4 miljoen domeinen is ~all precies wat het lijkt. Hun record identificeert de vervalsing en wuift hem door.
Hebben de mandaten van 2024 dit niet opgelost?
Nee — en het onderscheid is belangrijker dan de meeste berichtgeving suggereert. Google en Yahoo begonnen in februari 2024 authenticatie te eisen van bulkverzenders, met Microsoft dat in mei 2025 volgde: slagende, uitgelijnde SPF of DKIM, plus een DMARC-record van minimaal p=none. De mandaten gaan niet zover dat ze handhaving eisen — een domein met ~all, een p=none-record en uitgelijnde DKIM voldoet volledig, en blijft volledig vervalsbaar. De mandaten normaliseerden de papierwinkel, niet de bescherming. Dat niet-gehandhaafde middenveld — conform, gepubliceerd, vervalsbaar — is precies het gat dat deze census meet, en het is de grootste populatie in e-mailbeveiliging.
Waarop zou jouw record dan moeten eindigen?
- Je verzendt post en doorsturen is van belang (nieuwsbrieven, mailinglijsten, aliassen):
~allmet DMARCp=rejecterachter — de aanbevolen combinatie hierboven. - Je verzendt post vanuit een strak beheerde opzet:
-allwerkt en geeft het beleid in het record zelf aan. Breng eerst je afzenders in kaart — een strikt einde op een niet in kaart gebracht record breekt echte post, of erger. - Het domein verzendt nooit:
-allplusp=reject, vandaag nog. Er bestaat niets legitiems om te beschermen, dus valt er niets te breken.
Welk einde je ook kiest, de eenregelige les van de census blijft overeind: de kwalificator telt alleen zoveel als wat hem handhaaft. Waar je op die ladder staat, is meetbaar.
Veelgestelde vragen
Is SPF ~all of -all beter?
Geen van beide, universeel gezien. ~all met een handhavend DMARC-beleid is het patroon dat de richtlijnen van Google aanbevelen — gelijke bescherming bij DMARC-evaluerende ontvangers zonder doorgestuurde post te breken. -all past bij strak beheerde afzenders. ~all alleen — de toestand van op 1 op de 11 na alle softfail-domeinen — is de zwakke optie.
Wat betekent SPF softfail?
~all vertelt ontvangers dat post van niet-vermelde servers waarschijnlijk niet legitiem is maar toch geaccepteerd moet worden, meestal met achterdocht. Het wordt pas echte bescherming wanneer een DMARC-beleid op de mislukking reageert; zie SPF zonder DMARC.
Zal hardfail -all mijn doorgestuurde e-mail breken?
Dat kan: doorsturen verzendt jouw post opnieuw vanaf de server van de doorstuurder, die jouw SPF niet vermeldt, en een hardfail nodigt uit tot weigering voordat DKIM of DMARC meewegen. Dat risico is de reden dat de combinatie ~all + p=reject bestaat.
Eisen Google en Microsoft nu -all?
Nee. De bulkverzendersmandaten eisen uitgelijnde, slagende authenticatie en een DMARC-record van minimaal p=none — geen handhaving, geen specifieke kwalificator. De weigering door Google van niet-conforme bulkpost is actief; Microsoft plaatst mislukkingen in de ongewenste map en beweegt richting regelrechte weigering. Conformiteit is geen bescherming.
Controleer waarop jouw record eindigt — en wat erachter staat
Twee opzoekingen vertellen je beide, gratis, in 30 seconden. Als jij een van de 70,4 miljoen niet-gehandhaafde schouderophalingen bent, is de oplossing een DNS-record, geen aankoop.
Controleer je domein → · Herstel SPF → · Herstel DMARC → · Het SPF-volwassenheidsmodel → · De +all-kaart → · Uitsluitend geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.