Defaults.Exposed › Raporty
SPF ~all kontra -all: Softfail czy Hardfail — co wybrało 139 milionów rekordów (2026)
Opublikowano 2026-07-03
Dane na dzień 2026-06-29 · metodologia v7. Zagregowane dane spisowe obejmujące 261 milionów ocenionych domen. Wszystkie liczby są zagregowane — nigdy nie publikujemy rekordu pojedynczej firmy. Zobacz jak oceniamy.
Każdy rekord SPF kończy się mechanizmem „all” — werdyktem w sprawie poczty pochodzącej skądkolwiek spoza Twojej listy — a internet w przeważającej większości wybrał ten miękki: 55,8% z 139 milionów domen publikujących SPF kończy się na ~all (softfail), w przeciwieństwie do 39,3% kończących się na -all (hardfail). Jeden znak dzieli „odrzuć fałszerstwa” od „prawdopodobnie fałszerstwo — dostarcz je mimo wszystko”. To, który z nich jest właściwy dla Ciebie, zależy od drugiego ustawienia, którego większość właścicieli nigdy nie konfiguruje.
Co ~all i -all właściwie mówią odbiorcy?
-all(hardfail): „Odrzuć pocztę z jakiegokolwiek innego źródła.” Stanowcze nie.~all(softfail): „Poczta z innego miejsca prawdopodobnie nie jest legalna — przyjmij ją, może ją oznacz.” Wzruszenie ramionami.?all(neutral): „Brak zdania.” Wybrane przez 3,0% publikujących; ochrona tylko z nazwy.+all: „Każdy może wysyłać jako ja.” Publikowane przez 36 014 domen i gorsze niż brak rekordu — problem z wycieraczką powitalną ma własny raport.
Czy ~all jest więc błędem? Tylko jeśli jest sam — a niemal zawsze jest
Softfail ma broniący się nowoczesny argument: wytyczne Google dla nadawców, a wraz z nimi większość praktyki dostarczalności, zbiegają się na ~all w parze z egzekwującą polityką DMARC (p=reject). Ta para chroni tak samo dobrze jak -all u każdego odbiorcy oceniającego DMARC — co obecnie obejmuje wszystkich głównych dostawców skrzynek pocztowych — bez twardego odbijania legalnej przekazywanej poczty, klasycznej ofiary -all. W tej konfiguracji wzruszenie ramionami ma zęby: DMARC dostarcza werdykt, którego SPF wydać nie chciał.
Ale ta para to cała istota rzeczy, a oto co spis dodaje, czego poradniki konfiguracyjne dać nie mogą: spośród 77 484 057 rekordów softfail w internecie tylko 7,1 milionów — około 1 na 11 — ma za sobą egzekwującą politykę DMARC. Dla pozostałych 70,4 milionów domen ~all jest dokładnie tym, na co wygląda. Ich rekord identyfikuje fałszerstwo i przepuszcza je machnięciem ręki.
Czy mandaty z 2024 roku tego nie naprawiły?
Nie — a to rozróżnienie ma większe znaczenie, niż sugeruje większość doniesień. Google i Yahoo zaczęły wymagać uwierzytelnienia od masowych nadawców w lutym 2024 roku, a Microsoft dołączył w maju 2025: zaliczający, wyrównany SPF lub DKIM, plus rekord DMARC na poziomie minimum p=none. Mandaty nie posuwają się do wymagania egzekwowania — domena z ~all, rekordem p=none i wyrównanym DKIM jest w pełni zgodna i pozostaje w pełni podatna na podszywanie się. Mandaty znormalizowały papierologię, a nie ochronę. Ta nieegzekwowana środkowa strefa — zgodna, opublikowana, podrabialna — to dokładnie ta luka, którą mierzy ten spis, i jest to najliczniejsza populacja w bezpieczeństwie poczty.
Na czym więc powinien kończyć się Twój rekord?
- Wysyłasz pocztę i przekazywanie ma znaczenie (newslettery, listy mailingowe, aliasy):
~allz DMARCp=rejectza tym — zalecana para powyżej. - Wysyłasz pocztę ze ściśle kontrolowanej konfiguracji:
-alldziała i deklaruje politykę w samym rekordzie. Najpierw zmapuj swoich nadawców — restrykcyjne zakończenie na niezmapowanym rekordzie psuje prawdziwą pocztę albo gorzej. - Domena nigdy nie wysyła:
-allplusp=reject, już dziś. Nie istnieje nic legalnego do ochrony, więc nie ma czego zepsuć.
Które zakończenie byś nie wybrał, jednozdaniowa lekcja ze spisu pozostaje w mocy: kwalifikator ma znaczenie tylko na tyle, na ile znaczy to, co go egzekwuje. To, gdzie stoisz na tej drabinie, jest mierzalne.
Często zadawane pytania
Czy SPF ~all czy -all jest lepszy?
Żaden, uniwersalnie. ~all z egzekwującą polityką DMARC to wzorzec, który zalecają wytyczne Google — równa ochrona u odbiorców oceniających DMARC bez psucia przekazywanej poczty. -all pasuje do ściśle kontrolowanych nadawców. ~all sam — stan wszystkich domen softfail poza 1 na 11 — to opcja słaba.
Co oznacza SPF softfail?
~all mówi odbiorcom, że poczta z serwerów nieujętych na liście jest prawdopodobnie nielegalna, ale mimo to powinna zostać przyjęta, zwykle z podejrzliwością. Staje się prawdziwą ochroną dopiero wtedy, gdy polityka DMARC działa na podstawie niepowodzenia; zobacz SPF bez DMARC.
Czy hardfail -all zepsuje moją przekazywaną pocztę?
Może: przekazywanie ponownie wysyła Twoją pocztę z serwera przekazującego, którego Twój SPF nie wymienia, a hardfail zaprasza do odrzucenia, zanim DKIM lub DMARC wejdą do gry. To ryzyko jest powodem, dla którego istnieje para ~all + p=reject.
Czy Google i Microsoft wymagają teraz -all?
Nie. Mandaty dla masowych nadawców wymagają wyrównanego, zaliczającego uwierzytelnienia i rekordu DMARC na poziomie minimum p=none — bez egzekwowania, bez konkretnego kwalifikatora. Odrzucanie przez Google niezgodnej poczty masowej jest aktywne; Microsoft wrzuca niepowodzenia do folderu spam i zmierza ku całkowitemu odrzucaniu. Zgodność to nie ochrona.
Sprawdź, na czym kończy się Twój rekord — i co za nim stoi
Dwa zapytania powiedzą Ci obie rzeczy, za darmo, w 30 sekund. Jeśli jesteś jednym z 70,4 milionów nieegzekwowanych wzruszeń ramionami, poprawka to rekord DNS, a nie zakup.
Sprawdź swoją domenę → · Napraw SPF → · Napraw DMARC → · Model dojrzałości SPF → · Mapa +all → · Wyłącznie dane zagregowane. Dane przechowywane i przetwarzane w UE.