Defaults.Exposed › Raporty
Raport o błędnych konfiguracjach SPF: większość rekordów SPF jest zbyt słaba (2026)
Opublikowano 2026-06-29
Dane na dzień 2026-06-29 · metodologia v7. Zagregowane dane spisowe dotyczące 138 927 207 domen publikujących rekord SPF, spośród 261 milionów ocenionych domen. Zobacz jak oceniamy.
Posiadanie SPF to nie to samo, co poprawne jego ustawienie — a większość domen publikujących SPF ma go ustawionego zbyt słabo, by wiele zdziałał. Spośród 139 milionów domen z rekordem SPF 55,8% kończy się na ~all (softfail), permisywnym ustawieniu, które mówi odbiorcom: „to może być podróbka, ale i tak ją dostarcz”. Tylko 39,3% używa rygorystycznego -all. SPF jest powszechnie wdrażany, ale najczęściej pozbawiony pazurów.
Mechanizm „all”: tam, gdzie SPF się wygrywa lub przegrywa
Każdy rekord SPF kończy się mechanizmem „all”, który określa, co zrobić z pocztą z serwerów, których nie ma na twojej liście. To cały sens SPF — i najczęstsze miejsce, w którym jest osłabiany:
| Zakończenie | Znaczenie | Domeny z SPF |
|---|---|---|
-all (hardfail) | Odrzucaj niewymienionych nadawców — rygorystyczne, zamierzone ustawienie | 39,3% |
~all (softfail) | „Prawdopodobnie podróbka, ale i tak ją przyjmij” | 55,8% |
?all (neutralne) | Brak zdania — w praktyce brak ochrony | 3,0% |
+all | Autoryzuj cały internet do wysyłania w twoim imieniu | 36 014 domen |
| inne / brak | redirect/include-only lub brak końcowego all | 1,8% |
Najważniejsze jest to, że softfail (~all) jest najczęstszym ustawieniem, na poziomie 55,8% — częściej niż hardfail. Sam w sobie softfail zapewnia słabą ochronę: prosi odbiorców, by nie ufali niewymienionej poczcie, ale nie by ją odrzucali.
Niebezpieczne przypadki skrajne
+all— 36 014 domen. To najgorsza możliwa wartość SPF: jawnie mówi światu, że dowolny serwer może wysyłać pocztę w imieniu domeny. Niemal zawsze jest to pomyłka kopiuj-wklej i jest bezwzględnie gorsza niż brak SPF w ogóle.- Zbyt wiele zapytań DNS — 7958 domen. SPF dopuszcza maksymalnie 10 zagnieżdżonych zapytań DNS; po przekroczeniu rekord staje się „permerror”, który odbiorcy traktują jako uszkodzony. Jest to rzadsze, niż się obawiano (0,01% rekordów SPF), ale gdy uderza, po cichu całkowicie unieważnia twój SPF.
Czy softfail jest faktycznie problemem?
Nie, jeśli wspiera go DMARC. Nowoczesną najlepszą praktyką jest ~all plus polityka DMARC quarantine lub reject — to połączenie daje rygorystyczne egzekwowanie bez psucia poczty przekazywanej. Problemem jest duży odsetek domen na ~all bez egzekwującego DMARC w tle — tylko 10,59% wszystkich domen egzekwuje DMARC — co sprawia, że softfail prawie nic nie robi. SPF ustawiony na ~all to środek do celu; bez DMARC to tylko sugestia.
Najczęściej zadawane pytania
Jaka jest różnica między ~all a -all w SPF?
-all (hardfail) mówi odbiorcom, by odrzucali pocztę z serwerów spoza twojej listy. ~all (softfail) mówi im, by mimo to ją przyjęli, ale oznaczyli jako podejrzaną. 55,8% domen z SPF używa ~all; 39,3% używa -all.
Czy ~all (softfail) jest bezpieczny w użyciu?
Tak — ale tylko w połączeniu z egzekwującą polityką DMARC (quarantine lub reject). Sam w sobie softfail zapewnia słabą ochronę.
Co robi +all?
+all autoryzuje każdy serwer w internecie do wysyłania poczty w imieniu twojej domeny — gorzej niż brak SPF. 36 014 domen ma to ustawienie, niemal zawsze przez pomyłkę.
Czym jest błąd SPF „zbyt wiele zapytań”? SPF dopuszcza najwyżej 10 zagnieżdżonych zapytań DNS; powyżej tego rekord kończy się błędem „permerror” i jest ignorowany. Dotyczy 7958 domen.
Sprawdź, czy twój SPF jest poprawnie ustawiony
Opublikowanie SPF to połowa pracy; ustawienie go rygorystycznie i wsparcie DMARC to druga połowa. Sprawdź swoją domenę prywatnie i bezpłatnie.
Sprawdź swoją domenę → · Napraw SPF → · Napraw DMARC → · Dlaczego e-maile trafiają do spamu → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.