Defaults.Exposed › Relatórios
O Relatório de Más Configurações de SPF: A Maioria dos Registos SPF Está Demasiado Fraca (2026)
Publicado 2026-06-29
Números em 2026-06-29 · metodologia v7. Dados agregados do censo sobre os 138.927.207 domínios que publicam um registro SPF, de 261 milhões de domínios avaliados. Veja como avaliamos.
Ter SPF não é o mesmo que tê-lo configurado corretamente — e a maioria dos domínios que publicam SPF o tem configurado fraco demais para fazer muita diferença. Dos 139 milhões de domínios com um registro SPF, 55,8% terminam em ~all (softfail), a configuração permissiva que diz aos receptores “isto pode ser uma falsificação, mas entregue mesmo assim.” Apenas 39,3% usam o estrito -all. O SPF é amplamente adotado, mas, na maioria das vezes, desarmado.
O mecanismo “all”: onde o SPF é ganho ou perdido
Todo registro SPF termina em um mecanismo “all” que diz o que fazer com e-mail de servidores que não estão na sua lista. É o objetivo central do SPF — e o lugar mais comum onde ele é enfraquecido:
| Terminação | Significado | Domínios com SPF |
|---|---|---|
-all (hardfail) | Rejeitar remetentes não listados — a configuração estrita e pretendida | 39,3% |
~all (softfail) | “Provavelmente uma falsificação, mas aceite mesmo assim” | 55,8% |
?all (neutro) | Sem opinião — efetivamente sem proteção | 3,0% |
+all | Autorizar toda a internet a enviar como você | 36.014 domínios |
| outro / nenhum | redirect/include-only ou sem all final | 1,8% |
O destaque é que o softfail (~all) é a configuração mais comum, com 55,8% — mais do que o hardfail. Por si só, o softfail oferece proteção fraca: pede aos receptores que não confiem em e-mail não listado, mas não que o rejeitem.
Os casos extremos perigosos
+all— 36.014 domínios. Este é o pior valor de SPF possível: diz explicitamente ao mundo que qualquer servidor está autorizado a enviar e-mail como o domínio. É quase sempre um acidente de copiar e colar, e é estritamente pior do que não ter SPF nenhum.- Consultas DNS em excesso — 7.958 domínios. O SPF permite no máximo 10 consultas DNS aninhadas; ao exceder isso, o registro vira um “permerror” que os receptores tratam como quebrado. É mais raro do que se teme (0,01% dos registros SPF), mas, quando acontece, anula silenciosamente todo o seu SPF.
O softfail é realmente um problema?
Não se for respaldado por DMARC. A melhor prática moderna é ~all mais uma política DMARC de quarantine ou reject — essa combinação dá a você imposição estrita sem quebrar e-mail encaminhado. O problema é a grande parcela de domínios em ~all sem um DMARC de imposição por trás — apenas 10,59% de todos os domínios impõem DMARC — o que deixa o softfail fazendo quase nada. SPF configurado como ~all é um meio para um fim; sem DMARC, é apenas uma sugestão.
Perguntas frequentes
Qual é a diferença entre ~all e -all no SPF?
-all (hardfail) diz aos receptores para rejeitar e-mail de servidores que não estão na sua lista. ~all (softfail) diz a eles para aceitá-lo mesmo assim, mas marcá-lo como suspeito. 55,8% dos domínios com SPF usam ~all; 39,3% usam -all.
É seguro usar ~all (softfail)?
Sim — mas apenas quando combinado com uma política DMARC de imposição (quarantine ou reject). Por si só, o softfail oferece proteção fraca.
O que o +all faz?
+all autoriza todos os servidores da internet a enviar e-mail como o seu domínio — pior do que não ter SPF. 36.014 domínios têm isso, quase sempre por engano.
O que é o erro de SPF “consultas em excesso”? O SPF permite no máximo 10 consultas DNS aninhadas; além disso, o registro falha como um “permerror” e é ignorado. Afeta 7.958 domínios.
Verifique se o seu SPF está configurado corretamente
Publicar SPF é metade do trabalho; configurá-lo de forma estrita e respaldá-lo com DMARC é a outra metade. Verifique seu domínio de forma privada e gratuita.
Verifique seu domínio → · Corrigir SPF → · Corrigir DMARC → · Por que os e-mails vão para o spam → · Apenas dados agregados. Dados armazenados e processados na UE.