Defaults.Exposed

Defaults.Exposed › Raporty

Raport o błędnych konfiguracjach SPF: większość rekordów SPF jest zbyt słaba (2026)

Opublikowano 2026-06-29

Dane na dzień 2026-06-29 · metodologia v7. Zagregowane dane spisowe dotyczące 138 927 207 domen publikujących rekord SPF, spośród 261 milionów ocenionych domen. Zobacz jak oceniamy.

Posiadanie SPF to nie to samo, co poprawne jego ustawienie — a większość domen publikujących SPF ma go ustawionego zbyt słabo, by wiele zdziałał. Spośród 139 milionów domen z rekordem SPF 55,8% kończy się na ~all (softfail), permisywnym ustawieniu, które mówi odbiorcom: „to może być podróbka, ale i tak ją dostarcz”. Tylko 39,3% używa rygorystycznego -all. SPF jest powszechnie wdrażany, ale najczęściej pozbawiony pazurów.

Mechanizm „all”: tam, gdzie SPF się wygrywa lub przegrywa

Każdy rekord SPF kończy się mechanizmem „all”, który określa, co zrobić z pocztą z serwerów, których nie ma na twojej liście. To cały sens SPF — i najczęstsze miejsce, w którym jest osłabiany:

ZakończenieZnaczenieDomeny z SPF
-all (hardfail)Odrzucaj niewymienionych nadawców — rygorystyczne, zamierzone ustawienie39,3%
~all (softfail)„Prawdopodobnie podróbka, ale i tak ją przyjmij”55,8%
?all (neutralne)Brak zdania — w praktyce brak ochrony3,0%
+allAutoryzuj cały internet do wysyłania w twoim imieniu36 014 domen
inne / brakredirect/include-only lub brak końcowego all1,8%

Najważniejsze jest to, że softfail (~all) jest najczęstszym ustawieniem, na poziomie 55,8% — częściej niż hardfail. Sam w sobie softfail zapewnia słabą ochronę: prosi odbiorców, by nie ufali niewymienionej poczcie, ale nie by ją odrzucali.

Niebezpieczne przypadki skrajne

Czy softfail jest faktycznie problemem?

Nie, jeśli wspiera go DMARC. Nowoczesną najlepszą praktyką jest ~all plus polityka DMARC quarantine lub reject — to połączenie daje rygorystyczne egzekwowanie bez psucia poczty przekazywanej. Problemem jest duży odsetek domen na ~all bez egzekwującego DMARC w tle — tylko 10,59% wszystkich domen egzekwuje DMARC — co sprawia, że softfail prawie nic nie robi. SPF ustawiony na ~all to środek do celu; bez DMARC to tylko sugestia.

Najczęściej zadawane pytania

Jaka jest różnica między ~all a -all w SPF? -all (hardfail) mówi odbiorcom, by odrzucali pocztę z serwerów spoza twojej listy. ~all (softfail) mówi im, by mimo to ją przyjęli, ale oznaczyli jako podejrzaną. 55,8% domen z SPF używa ~all; 39,3% używa -all.

Czy ~all (softfail) jest bezpieczny w użyciu? Tak — ale tylko w połączeniu z egzekwującą polityką DMARC (quarantine lub reject). Sam w sobie softfail zapewnia słabą ochronę.

Co robi +all? +all autoryzuje każdy serwer w internecie do wysyłania poczty w imieniu twojej domeny — gorzej niż brak SPF. 36 014 domen ma to ustawienie, niemal zawsze przez pomyłkę.

Czym jest błąd SPF „zbyt wiele zapytań”? SPF dopuszcza najwyżej 10 zagnieżdżonych zapytań DNS; powyżej tego rekord kończy się błędem „permerror” i jest ignorowany. Dotyczy 7958 domen.

Sprawdź, czy twój SPF jest poprawnie ustawiony

Opublikowanie SPF to połowa pracy; ustawienie go rygorystycznie i wsparcie DMARC to druga połowa. Sprawdź swoją domenę prywatnie i bezpłatnie.

Sprawdź swoją domenę → · Napraw SPF → · Napraw DMARC → · Dlaczego e-maile trafiają do spamu → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.