Defaults.Exposed

Defaults.Exposed › Raporty

SPF ~all kontra -all: Softfail czy Hardfail — co wybrało 139 milionów rekordów (2026)

Opublikowano 2026-07-03

Dane na dzień 2026-06-29 · metodologia v7. Zagregowane dane spisowe obejmujące 261 milionów ocenionych domen. Wszystkie liczby są zagregowane — nigdy nie publikujemy rekordu pojedynczej firmy. Zobacz jak oceniamy.

Każdy rekord SPF kończy się mechanizmem „all” — werdyktem w sprawie poczty pochodzącej skądkolwiek spoza Twojej listy — a internet w przeważającej większości wybrał ten miękki: 55,8% z 139 milionów domen publikujących SPF kończy się na ~all (softfail), w przeciwieństwie do 39,3% kończących się na -all (hardfail). Jeden znak dzieli „odrzuć fałszerstwa” od „prawdopodobnie fałszerstwo — dostarcz je mimo wszystko”. To, który z nich jest właściwy dla Ciebie, zależy od drugiego ustawienia, którego większość właścicieli nigdy nie konfiguruje.

Co ~all i -all właściwie mówią odbiorcy?

Czy ~all jest więc błędem? Tylko jeśli jest sam — a niemal zawsze jest

Softfail ma broniący się nowoczesny argument: wytyczne Google dla nadawców, a wraz z nimi większość praktyki dostarczalności, zbiegają się na ~all w parze z egzekwującą polityką DMARC (p=reject). Ta para chroni tak samo dobrze jak -all u każdego odbiorcy oceniającego DMARC — co obecnie obejmuje wszystkich głównych dostawców skrzynek pocztowych — bez twardego odbijania legalnej przekazywanej poczty, klasycznej ofiary -all. W tej konfiguracji wzruszenie ramionami ma zęby: DMARC dostarcza werdykt, którego SPF wydać nie chciał.

Ale ta para to cała istota rzeczy, a oto co spis dodaje, czego poradniki konfiguracyjne dać nie mogą: spośród 77 484 057 rekordów softfail w internecie tylko 7,1 milionów — około 1 na 11 — ma za sobą egzekwującą politykę DMARC. Dla pozostałych 70,4 milionów domen ~all jest dokładnie tym, na co wygląda. Ich rekord identyfikuje fałszerstwo i przepuszcza je machnięciem ręki.

Czy mandaty z 2024 roku tego nie naprawiły?

Nie — a to rozróżnienie ma większe znaczenie, niż sugeruje większość doniesień. Google i Yahoo zaczęły wymagać uwierzytelnienia od masowych nadawców w lutym 2024 roku, a Microsoft dołączył w maju 2025: zaliczający, wyrównany SPF lub DKIM, plus rekord DMARC na poziomie minimum p=none. Mandaty nie posuwają się do wymagania egzekwowania — domena z ~all, rekordem p=none i wyrównanym DKIM jest w pełni zgodna i pozostaje w pełni podatna na podszywanie się. Mandaty znormalizowały papierologię, a nie ochronę. Ta nieegzekwowana środkowa strefa — zgodna, opublikowana, podrabialna — to dokładnie ta luka, którą mierzy ten spis, i jest to najliczniejsza populacja w bezpieczeństwie poczty.

Na czym więc powinien kończyć się Twój rekord?

  1. Wysyłasz pocztę i przekazywanie ma znaczenie (newslettery, listy mailingowe, aliasy): ~all z DMARC p=reject za tym — zalecana para powyżej.
  2. Wysyłasz pocztę ze ściśle kontrolowanej konfiguracji: -all działa i deklaruje politykę w samym rekordzie. Najpierw zmapuj swoich nadawców — restrykcyjne zakończenie na niezmapowanym rekordzie psuje prawdziwą pocztę albo gorzej.
  3. Domena nigdy nie wysyła: -all plus p=reject, już dziś. Nie istnieje nic legalnego do ochrony, więc nie ma czego zepsuć.

Które zakończenie byś nie wybrał, jednozdaniowa lekcja ze spisu pozostaje w mocy: kwalifikator ma znaczenie tylko na tyle, na ile znaczy to, co go egzekwuje. To, gdzie stoisz na tej drabinie, jest mierzalne.

Często zadawane pytania

Czy SPF ~all czy -all jest lepszy? Żaden, uniwersalnie. ~all z egzekwującą polityką DMARC to wzorzec, który zalecają wytyczne Google — równa ochrona u odbiorców oceniających DMARC bez psucia przekazywanej poczty. -all pasuje do ściśle kontrolowanych nadawców. ~all sam — stan wszystkich domen softfail poza 1 na 11 — to opcja słaba.

Co oznacza SPF softfail? ~all mówi odbiorcom, że poczta z serwerów nieujętych na liście jest prawdopodobnie nielegalna, ale mimo to powinna zostać przyjęta, zwykle z podejrzliwością. Staje się prawdziwą ochroną dopiero wtedy, gdy polityka DMARC działa na podstawie niepowodzenia; zobacz SPF bez DMARC.

Czy hardfail -all zepsuje moją przekazywaną pocztę? Może: przekazywanie ponownie wysyła Twoją pocztę z serwera przekazującego, którego Twój SPF nie wymienia, a hardfail zaprasza do odrzucenia, zanim DKIM lub DMARC wejdą do gry. To ryzyko jest powodem, dla którego istnieje para ~all + p=reject.

Czy Google i Microsoft wymagają teraz -all? Nie. Mandaty dla masowych nadawców wymagają wyrównanego, zaliczającego uwierzytelnienia i rekordu DMARC na poziomie minimum p=none — bez egzekwowania, bez konkretnego kwalifikatora. Odrzucanie przez Google niezgodnej poczty masowej jest aktywne; Microsoft wrzuca niepowodzenia do folderu spam i zmierza ku całkowitemu odrzucaniu. Zgodność to nie ochrona.

Sprawdź, na czym kończy się Twój rekord — i co za nim stoi

Dwa zapytania powiedzą Ci obie rzeczy, za darmo, w 30 sekund. Jeśli jesteś jednym z 70,4 milionów nieegzekwowanych wzruszeń ramionami, poprawka to rekord DNS, a nie zakup.

Sprawdź swoją domenę → · Napraw SPF → · Napraw DMARC → · Model dojrzałości SPF → · Mapa +all → · Wyłącznie dane zagregowane. Dane przechowywane i przetwarzane w UE.