Defaults.Exposed › Relatórios
Qual Provedor de E-mail Oferece aos Seus Clientes os Padrões de SPF Mais Fortes? (2026)
Publicado 2026-07-03
Números de 2026-06-29 · metodologia v7. Censo agregado sobre 261 milhões de domínios avaliados. Contamos os alvos exatos de
include:/redirect=nos registros SPF publicados — DNS público, agregado por provedor; nunca o registro de uma empresa individual. Veja como avaliamos.
Todo registro SPF nomeia os serviços autorizados a enviar em nome de um domínio — portanto, 139 milhões de registros SPF também são um censo dos padrões dos provedores, e os padrões diferem enormemente: 85,0% dos domínios que incluem o Microsoft 365 terminam seu SPF com o estrito -all, contra 8,0% dos domínios que incluem o Google Workspace. A segunda constatação importa mais: na medida que de fato impede a falsificação — uma política DMARC de aplicação por trás do registro — a base de clientes de nenhum grande provedor de caixa de correio passa de 30% concluída.
A liga: terminações estritas e proteção concluída, por provedor
Domínios cujo SPF inclui cada provedor; a parcela que termina de forma estrita (-all); e a parcela com DMARC de aplicação — a combinação que impede falsificações:
| Provedor (alvo do include) | Domínios autorizando | % estrito -all | % com DMARC de aplicação |
|---|---|---|---|
Google Workspace (_spf.google.com) | 12.145.313 | 8,0% | 18,5% |
Microsoft 365 (spf.protection.outlook.com) | 10.205.070 | 85,0% | 21,7% |
Namecheap forwarding (spf.efwd.registrar-servers.com) | 7.355.985 | <0.1% | 0,2% |
GoDaddy (secureserver.net) | 7.061.426 | 86,0% | 29,3% |
Hostinger (_spf.mail.hostinger.com) | 4.476.640 | 0,2% | 1,0% |
IONOS EU (_spf-eu.ionos.com) | 4.346.526 | 0,3% | 1,0% |
HostGator (websitewelcome.com) | 3.102.616 | 0,6% | 1,6% |
OVH (mx.ovh.com) | 2.132.049 | 43,7% | 2,2% |
Cloudflare Email Routing (_spf.mx.cloudflare.net) | 2.007.483 | 2,9% | 10,0% |
MailChannels (relay.mailchannels.net) | 1.870.177 | 28,4% | 10,0% |
Mailgun (mailgun.org) | 1.306.692 | 7,2% | 35,9% |
SendGrid (sendgrid.net) | 740.321 | 19,0% | 18,0% |
Zoho Mail (zohomail.com) | 662.546 | 7,3% | 9,9% |
Amazon SES (amazonses.com) | 551.446 | 28,3% | 41,9% |
Stackmail / 20i (spf.stackmail.com) | 519.246 | 98,2% | 3,3% |
Como ler esta tabela — com honestidade
Quatro coisas que estes dados são e não são:
- As linhas são populações de include, não clientes. Um domínio que inclui tanto o Google quanto o Mailgun aparece em ambas as linhas.
- A coluna estrita fotografa o modelo de configuração de cada provedor mais o seu mix de clientes. O onboarding da Microsoft emite
-all; a documentação do Google recomenda~all; painéis de hospedagem provisionam registros automaticamente em domínios que podem não enviar nenhum e-mail — o que pode inflar uma parcela estrita sem que ninguém tenha decidido nada. - Uma parcela estrita baixa não está automaticamente errada. A linha da Namecheap é um produto de encaminhamento de e-mail — e o encaminhamento é exatamente o caso em que
-allfalha, então um modelo suave ali é, discutivelmente, a configuração correta. A exposição naquela linha está na outra coluna: 0,2% com aplicação. - A coluna de aplicação é a classificação real. Estrito-versus-suave é uma escolha de estilo uma vez que o DMARC aplica; sem aplicação, nenhuma das terminações impede uma falsificação na maioria dos receptores.
Três histórias nas colunas
- Padrões são destino. Os clientes mantêm de forma esmagadora o que o assistente lhes deu — 92% dos domínios que incluem o Google mantêm uma terminação não estrita, na esmagadora maioria o
~allque o guia do Google recomenda; 98,2% dos domínios do Stackmail mantêm o-allque seu painel escreve. Quase ninguém redecide um qualificador mais tarde. Esta é a observação fundadora de todo este censo, escrita 139 milhões de vezes. - A linha de chegada é cruzada pelos usuários, não pelos modelos. Os líderes em aplicação são os remetentes voltados para desenvolvedores — Amazon SES (41,9%) e Mailgun (35,9%) — cujos clientes tendem a equipes que completam o trabalho. As bases dos grandes provedores de caixa de correio situam-se entre 18,5% e 29,3% com aplicação, independentemente de quão estrito era o seu modelo de SPF.
- A massa exposta é a camada de hospedagem-e-encaminhamento. Encaminhamento da Namecheap, Hostinger, IONOS e HostGator, juntos, cobrem mais de 19 milhões de domínios com 2% de aplicação ou menos — nomes de pequenas empresas rodando o que quer que o painel tenha instalado, suavemente cercados e sem aplicação.
O que fazer com o seu próprio domínio
- Veja quais provedores o seu SPF de fato inclui —
dig TXT seudominio.com, ou verifique gratuitamente. - Não copie cegamente uma terminação estrita: mapeie seus remetentes, depois aperte para
-allou mantenha~alle coloque DMARCp=rejectpor trás. - O que quer que o seu provedor tenha lhe entregado é um modelo que você herdou — e uma edição gratuita de DNS para mudar.
Perguntas frequentes
Qual provedor de e-mail tem o padrão de SPF mais seguro?
Por modelo estrito: Stackmail / 20i (98,2% dos domínios terminam com -all), GoDaddy (86,0%) e Microsoft 365 (85,0%). Por proteção concluída — DMARC de aplicação por trás do SPF — os clientes da Amazon SES lideram com 41,9%. As duas medidas recompensam, respectivamente, um modelo estrito e uma base de clientes que conclui.
Usar o Google Workspace significa que meu SPF é fraco?
Não inerentemente. O ~all recomendado pelo Google é uma prática sólida quando combinada com uma política DMARC de aplicação — mas apenas 18,5% dos domínios que incluem o Google têm essa combinação em 2026-06-29. A fraqueza não é o softfail; é parar por aí.
Estes números julgam a própria segurança dos provedores? Não. Eles medem a postura de SPF publicada dos domínios de clientes que incluem cada provedor — DNS público agregado, moldado por modelos de configuração, documentação e mix de clientes. Nenhum domínio individual é identificado ou avaliado publicamente.
Por que o modelo do meu provedor decide a minha segurança? Porque é copiado uma vez, no primeiro dia, e nosso censo mostra que quase nunca é redecidido. Padrões persistem — que é exatamente o motivo pelo qual verificar o seu vale 30 segundos.
Verifique o que seu domínio herdou
O que quer que o assistente de configuração tenha escrito ainda está no seu DNS. Lê-lo — e concluí-lo — é gratuito.
Verifique seu domínio → · Corrija o SPF → · ~all vs -all → · SPF sem DMARC → · Participação de mercado de hospedagem de e-mail → · Apenas dados agregados. Dados armazenados e processados na UE.