Defaults.Exposed

Defaults.Exposed › Relatórios

O Relatório de Más Configurações de SPF: A Maioria dos Registos SPF Está Demasiado Fraca (2026)

Publicado 2026-06-29

Números em 2026-06-29 · metodologia v7. Dados agregados do censo sobre os 138.927.207 domínios que publicam um registro SPF, de 261 milhões de domínios avaliados. Veja como avaliamos.

Ter SPF não é o mesmo que tê-lo configurado corretamente — e a maioria dos domínios que publicam SPF o tem configurado fraco demais para fazer muita diferença. Dos 139 milhões de domínios com um registro SPF, 55,8% terminam em ~all (softfail), a configuração permissiva que diz aos receptores “isto pode ser uma falsificação, mas entregue mesmo assim.” Apenas 39,3% usam o estrito -all. O SPF é amplamente adotado, mas, na maioria das vezes, desarmado.

O mecanismo “all”: onde o SPF é ganho ou perdido

Todo registro SPF termina em um mecanismo “all” que diz o que fazer com e-mail de servidores que não estão na sua lista. É o objetivo central do SPF — e o lugar mais comum onde ele é enfraquecido:

TerminaçãoSignificadoDomínios com SPF
-all (hardfail)Rejeitar remetentes não listados — a configuração estrita e pretendida39,3%
~all (softfail)“Provavelmente uma falsificação, mas aceite mesmo assim”55,8%
?all (neutro)Sem opinião — efetivamente sem proteção3,0%
+allAutorizar toda a internet a enviar como você36.014 domínios
outro / nenhumredirect/include-only ou sem all final1,8%

O destaque é que o softfail (~all) é a configuração mais comum, com 55,8% — mais do que o hardfail. Por si só, o softfail oferece proteção fraca: pede aos receptores que não confiem em e-mail não listado, mas não que o rejeitem.

Os casos extremos perigosos

O softfail é realmente um problema?

Não se for respaldado por DMARC. A melhor prática moderna é ~all mais uma política DMARC de quarantine ou reject — essa combinação dá a você imposição estrita sem quebrar e-mail encaminhado. O problema é a grande parcela de domínios em ~all sem um DMARC de imposição por trás — apenas 10,59% de todos os domínios impõem DMARC — o que deixa o softfail fazendo quase nada. SPF configurado como ~all é um meio para um fim; sem DMARC, é apenas uma sugestão.

Perguntas frequentes

Qual é a diferença entre ~all e -all no SPF? -all (hardfail) diz aos receptores para rejeitar e-mail de servidores que não estão na sua lista. ~all (softfail) diz a eles para aceitá-lo mesmo assim, mas marcá-lo como suspeito. 55,8% dos domínios com SPF usam ~all; 39,3% usam -all.

É seguro usar ~all (softfail)? Sim — mas apenas quando combinado com uma política DMARC de imposição (quarantine ou reject). Por si só, o softfail oferece proteção fraca.

O que o +all faz? +all autoriza todos os servidores da internet a enviar e-mail como o seu domínio — pior do que não ter SPF. 36.014 domínios têm isso, quase sempre por engano.

O que é o erro de SPF “consultas em excesso”? O SPF permite no máximo 10 consultas DNS aninhadas; além disso, o registro falha como um “permerror” e é ignorado. Afeta 7.958 domínios.

Verifique se o seu SPF está configurado corretamente

Publicar SPF é metade do trabalho; configurá-lo de forma estrita e respaldá-lo com DMARC é a outra metade. Verifique seu domínio de forma privada e gratuita.

Verifique seu domínio → · Corrigir SPF → · Corrigir DMARC → · Por que os e-mails vão para o spam → · Apenas dados agregados. Dados armazenados e processados na UE.