Defaults.Exposed › Raporty
Który dostawca poczty daje swoim klientom najsilniejsze domyślne ustawienia SPF? (2026)
Opublikowano 2026-07-03
Dane na dzień 2026-06-29 · metodologia v7. Zbiorczy spis obejmujący 261 milionów ocenionych domen. Liczymy dokładne cele
include:/redirect=w opublikowanych rekordach SPF — publiczny DNS, agregowany na dostawcę; nigdy rekord pojedynczej firmy. Zobacz jak oceniamy.
Każdy rekord SPF wymienia usługi uprawnione do wysyłania poczty w imieniu domeny — więc 139 milionów rekordów SPF to zarazem spis domyślnych ustawień dostawców, a te ustawienia różnią się diametralnie: 85,0% domen zawierających Microsoft 365 kończy swój SPF rygorystycznym -all, wobec 8,0% domen zawierających Google Workspace. Ważniejsze jest drugie odkrycie: w mierze, która faktycznie powstrzymuje podszywanie się — wymuszająca polityka DMARC stojąca za rekordem — baza klientów żadnego dużego dostawcy skrzynek pocztowych nie przekracza 30% ukończenia.
Liga: rygorystyczne zakończenia i ukończona ochrona, według dostawcy
Domeny, których SPF zawiera danego dostawcę; udział kończący się rygorystycznie (-all); oraz udział z wymuszającym DMARC — połączenie, które powstrzymuje fałszerstwa:
| Dostawca (cel include) | Domeny autoryzujące | % rygorystyczne -all | % z wymuszającym DMARC |
|---|---|---|---|
Google Workspace (_spf.google.com) | 12 145 313 | 8,0% | 18,5% |
Microsoft 365 (spf.protection.outlook.com) | 10 205 070 | 85,0% | 21,7% |
Namecheap forwarding (spf.efwd.registrar-servers.com) | 7 355 985 | <0.1% | 0,2% |
GoDaddy (secureserver.net) | 7 061 426 | 86,0% | 29,3% |
Hostinger (_spf.mail.hostinger.com) | 4 476 640 | 0,2% | 1,0% |
IONOS EU (_spf-eu.ionos.com) | 4 346 526 | 0,3% | 1,0% |
HostGator (websitewelcome.com) | 3 102 616 | 0,6% | 1,6% |
OVH (mx.ovh.com) | 2 132 049 | 43,7% | 2,2% |
Cloudflare Email Routing (_spf.mx.cloudflare.net) | 2 007 483 | 2,9% | 10,0% |
MailChannels (relay.mailchannels.net) | 1 870 177 | 28,4% | 10,0% |
Mailgun (mailgun.org) | 1 306 692 | 7,2% | 35,9% |
SendGrid (sendgrid.net) | 740 321 | 19,0% | 18,0% |
Zoho Mail (zohomail.com) | 662 546 | 7,3% | 9,9% |
Amazon SES (amazonses.com) | 551 446 | 28,3% | 41,9% |
Stackmail / 20i (spf.stackmail.com) | 519 246 | 98,2% | 3,3% |
Jak czytać tę tabelę — uczciwie
Cztery rzeczy, którymi te dane są i którymi nie są:
- Wiersze to populacje include, a nie klienci. Domena zawierająca zarówno Google, jak i Mailgun pojawia się w obu wierszach.
- Kolumna rygorystyczności fotografuje szablon konfiguracyjny każdego dostawcy plus jego miks klientów. Onboarding Microsoftu generuje
-all; dokumentacja Google zaleca~all; panele hostingowe automatycznie tworzą rekordy na domenach, które mogą w ogóle nie wysyłać poczty — co potrafi zawyżyć udział rygorystyczny, choć nikt niczego nie decydował. - Niski udział rygorystyczny nie jest automatycznie błędem. Wiersz Namecheap to produkt przekierowujący pocztę — a przekierowywanie to dokładnie ten przypadek, w którym
-allzawodzi, więc miękki szablon jest tam prawdopodobnie poprawną konfiguracją. Zagrożeniem w tym wierszu jest druga kolumna: 0,2% wymuszone. - Kolumna wymuszania to prawdziwy ranking. Rygorystyczny-kontra-miękki to wybór stylu, gdy DMARC już wymusza; bez wymuszania żadne zakończenie nie powstrzymuje fałszerstwa u większości odbiorców.
Trzy historie w kolumnach
- Domyślne ustawienia to przeznaczenie. Klienci w przeważającej większości zachowują to, co dał im kreator — 92% domen zawierających Google zachowuje nierygorystyczne zakończenie, w przytłaczającej większości
~allzalecane w przewodniku Google; 98,2% domen Stackmail zachowuje-allzapisywane przez jego panel. Prawie nikt nie decyduje o kwalifikatorze na nowo później. To założycielska obserwacja całego tego spisu, zapisana 139 milionów razy. - Linię mety przekraczają użytkownicy, a nie szablony. Liderami wymuszania są nadawcy zorientowani na deweloperów — Amazon SES (41,9%) i Mailgun (35,9%) — których klienci przechylają się ku zespołom kończącym zadanie. Bazy dużych dostawców skrzynek pocztowych plasują się między 18,5% a 29,3% wymuszenia, niezależnie od tego, jak rygorystyczny był ich szablon SPF.
- Narażona masa to warstwa hostingu i przekierowań. Przekierowania Namecheap, Hostinger, IONOS i HostGator razem obejmują ponad 19 milionów domen przy 2% wymuszenia lub mniej — nazwy małych firm działające na tym, co zainstalował panel, miękko ogrodzone i bez wymuszania.
Co zrobić z własną domeną
- Sprawdź, których dostawców faktycznie zawiera twój SPF —
dig TXT yourdomain.com, albo sprawdź za darmo. - Nie kopiuj bezmyślnie rygorystycznego zakończenia: zmapuj swoich nadawców, a następnie albo zaostrz do
-all, albo zachowaj~alli postaw za nim DMARCp=reject. - Cokolwiek dał ci dostawca, to odziedziczony szablon — i darmowa edycja DNS do zmiany.
Często zadawane pytania
Który dostawca poczty ma najbezpieczniejsze domyślne ustawienie SPF?
Według rygorystycznego szablonu: Stackmail / 20i (98,2% domen kończy -all), GoDaddy (86,0%) i Microsoft 365 (85,0%). Według ukończonej ochrony — wymuszający DMARC za SPF — prowadzą klienci Amazon SES z 41,9%. Obie miary nagradzają odpowiednio rygorystyczny szablon i bazę klientów, która kończy zadanie.
Czy korzystanie z Google Workspace oznacza, że mój SPF jest słaby?
Nie z samej natury. Zalecane przez Google ~all to rozsądna praktyka w połączeniu z wymuszającą polityką DMARC — ale tylko 18,5% domen zawierających Google ma to połączenie na dzień 2026-06-29. Słabością nie jest softfail; słabością jest zatrzymanie się na tym.
Czy te liczby oceniają własne bezpieczeństwo dostawców? Nie. Mierzą one opublikowaną postawę SPF domen klientów, które zawierają danego dostawcę — zagregowany publiczny DNS, ukształtowany przez szablony konfiguracyjne, dokumentację i miks klientów. Żadna pojedyncza domena nie jest publicznie identyfikowana ani oceniana.
Dlaczego szablon mojego dostawcy decyduje o moim bezpieczeństwie? Bo kopiuje się go raz, pierwszego dnia, a nasz spis pokazuje, że prawie nigdy nie jest on ponownie rozważany. Domyślne ustawienia trwają — dlatego właśnie sprawdzenie swojego jest warte 30 sekund.
Sprawdź, co odziedziczyła twoja domena
Cokolwiek zapisał kreator konfiguracji, wciąż siedzi w twoim DNS. Odczytanie tego — i dokończenie — jest darmowe.
Sprawdź swoją domenę → · Napraw SPF → · ~all kontra -all → · SPF bez DMARC → · Udział w rynku hostingu poczty → · Wyłącznie dane zbiorcze. Dane przechowywane i przetwarzane w UE.