Defaults.Exposed

Defaults.Exposed › Rapporter

SPF ~all vs -all: Softfail eller Hardfail — Hva 139 millioner poster valgte (2026)

Publisert 2026-07-03

Tall per 2026-06-29 · metodikk v7. Aggregerte folketellingsdata på tvers av 261 millioner graderte domener. Alle tall er aggregerte — vi publiserer aldri en enkelt virksomhets post. Se hvordan vi graderer.

Hver SPF-post ender på en «all»-mekanisme — dommen over e-post fra hvor som helst som ikke står på listen din — og internett har med overveldende flertall valgt den myke: 55.8 % av de 139 millioner domenene som publiserer SPF ender på ~all (softfail), mot 39.3 % som ender på -all (hardfail). Ett tegn skiller «avvis forfalskninger» fra «antakelig en forfalskning — lever den likevel». Hvilken som er riktig for deg avhenger av en andre innstilling som de fleste eiere aldri konfigurerer.

Hva forteller ~all og -all egentlig en mottaker?

Er ~all da feil? Bare hvis den står alene — og det gjør den nesten alltid

Softfail har en forsvarlig moderne begrunnelse: Googles retningslinjer for avsendere, og det meste av leveringspraksis sammen med dem, samler seg om ~all kombinert med en håndhevende DMARC-policy (p=reject). Kombinasjonen beskytter like godt som -all hos enhver DMARC-evaluerende mottaker — som nå inkluderer alle de store e-postleverandørene — uten å hardavvise legitim videresendt e-post, det klassiske -all-offeret. I den konfigurasjonen har skuldertrekket tenner: DMARC leverer dommen SPF avsto fra å gi.

Men kombinasjonen er hele poenget, og her er det folketellingen tilfører som oppsettsguider ikke kan: av de 77,484,057 softfail-postene på internett har bare 7.1 millioner — omtrent 1 av 11 — en håndhevende DMARC-policy bak seg. For de andre 70.4 millioner domenene er ~all akkurat det det høres ut som. Posten deres identifiserer forfalskningen og vinker den gjennom.

Fikset ikke påbudene fra 2024 dette?

Nei — og distinksjonen betyr mer enn det meste av dekningen antyder. Google og Yahoo begynte å kreve autentisering fra masseavsendere i februar 2024, med Microsoft som fulgte etter i mai 2025: bestått, justert SPF eller DKIM, pluss en DMARC-post på minimum p=none. Påbudene stopper før de krever håndhevelse — et domene med ~all, en p=none-post og justert DKIM oppfyller kravene fullt ut, og forblir fullt ut forfalskbart. Påbudene normaliserte papirarbeidet, ikke beskyttelsen. Den uhåndhevede mellomgruppen — regelmessig, publisert, forfalskbar — er nettopp gapet denne folketellingen måler, og det er den største populasjonen innen e-postsikkerhet.

Så hva bør posten din ende på?

  1. Du sender e-post og videresending er viktig (nyhetsbrev, e-postlister, aliaser): ~all med DMARC p=reject bak seg — den anbefalte kombinasjonen ovenfor.
  2. Du sender e-post fra et strengt kontrollert oppsett: -all fungerer og angir policyen i selve posten. Kartlegg avsenderne dine først — en streng avslutning på en ukartlagt post ødelegger ekte e-post, eller verre.
  3. Domenet sender aldri: -all pluss p=reject, i dag. Ingenting legitimt eksisterer som skal beskyttes, så det er ingenting å ødelegge.

Uansett hvilken avslutning du velger, holder folketellingens enlinjes lærdom: kvalifikatoren betyr bare like mye som det som håndhever den. Hvor du står på den stigen er målbart.

Ofte stilte spørsmål

Er SPF ~all eller -all bedre? Ingen av dem, universelt. ~all med en håndhevende DMARC-policy er mønsteret Googles retningslinjer anbefaler — lik beskyttelse hos DMARC-evaluerende mottakere uten å ødelegge videresendt e-post. -all passer strengt kontrollerte avsendere. ~all alene — tilstanden for alle unntatt 1 av 11 softfail-domener — er det svake alternativet.

Hva betyr SPF softfail? ~all forteller mottakere at e-post fra ulistede servere antakelig er illegitim, men fortsatt bør godtas, vanligvis med mistanke. Det blir reell beskyttelse først når en DMARC-policy handler på feilen; se SPF uten DMARC.

Vil hardfail -all ødelegge min videresendte e-post? Det kan den: videresending sender e-posten din på nytt fra videresenderens server, som SPF-en din ikke lister opp, og en hardfail inviterer til avvisning før DKIM eller DMARC vurderes. Den risikoen er grunnen til at ~all + p=reject-kombinasjonen finnes.

Krever Google og Microsoft -all nå? Nei. Masseavsenderpåbudene krever justert, bestått autentisering og en DMARC-post på minimum p=none — ingen håndhevelse, ingen bestemt kvalifikator. Googles avvisning av masseutsendt e-post som ikke oppfyller kravene er i drift; Microsoft har lagt feil i søppelpost og beveger seg mot direkte avvisning. Regeloppfyllelse er ikke beskyttelse.

Sjekk hva posten din ender på — og hva som står bak den

To oppslag forteller deg begge deler, gratis, på 30 sekunder. Hvis du er ett av de 70.4 millioner uhåndhevede skuldertrekkene, er løsningen en DNS-post, ikke et kjøp.

Sjekk domenet ditt → · Fiks SPF → · Fiks DMARC → · SPF-modenhetsmodellen → · +all-kartet → · Kun aggregerte data. Data lagret og behandlet i EU.