Defaults.Exposed

Defaults.Exposed › Rapoarte

SPF ~all vs -all: Softfail sau Hardfail — Ce au ales 139 milioane de înregistrări (2026)

Publicat 2026-07-03

Cifre valabile la 2026-06-29 · metodologie v7. Date agregate din recensământ, pentru 261 milioane de domenii evaluate. Toate cifrele sunt agregate — nu publicăm niciodată înregistrarea unei afaceri individuale. Vezi cum evaluăm.

Fiecare înregistrare SPF se termină cu un mecanism „all” — verdictul pentru mesajele care vin de oriunde nu se află pe lista ta — iar internetul a ales copleșitor varianta blândă: 55.8% dintre cele 139 milioane de domenii care publică SPF se termină în ~all (softfail), față de 39.3% care se termină în -all (hardfail). Un singur caracter separă „respinge falsurile” de „probabil un fals — livrează-l oricum”. Care variantă e potrivită pentru tine depinde de o a doua setare pe care majoritatea proprietarilor nu o configurează niciodată.

Ce îi spun de fapt ~all și -all unui receptor?

E ~all greșit, atunci? Doar dacă e singur — și aproape întotdeauna este

Softfail are un argument modern justificabil: ghidurile Google pentru expeditori, și odată cu ele majoritatea practicilor de livrabilitate, converg spre ~all combinat cu o politică DMARC de aplicare (p=reject). Combinația protejează la fel de bine ca -all la fiecare receptor care evaluează DMARC — care acum include toți furnizorii majori de cutii poștale — fără a respinge dur mesajele legitime redirecționate, victima clasică a lui -all. În această configurație ridicarea din umeri are dinți: DMARC furnizează verdictul pe care SPF a refuzat să-l dea.

Dar combinația este întregul rost, iar iată ce adaugă recensământul, lucru pe care ghidurile de configurare nu îl pot oferi: dintre cele 77,484,057 înregistrări softfail de pe internet, doar 7.1 milioane — aproximativ 1 din 11 — au în spate o politică DMARC de aplicare. Pentru celelalte 70.4 milioane de domenii, ~all este exact ceea ce pare. Înregistrarea lor identifică falsul și îl lasă să treacă.

Nu au reparat asta mandatele din 2024?

Nu — iar distincția contează mai mult decât sugerează majoritatea relatărilor. Google și Yahoo au început să solicite autentificare de la expeditorii în masă în februarie 2024, cu Microsoft urmând în mai 2025: SPF sau DKIM care trece și e aliniat, plus o înregistrare DMARC la minimum p=none. Mandatele nu ajung să solicite aplicarea — un domeniu cu ~all, o înregistrare p=none și DKIM aliniat se conformează pe deplin și rămâne complet susceptibil la spoofing. Mandatele au normalizat hârtiile, nu protecția. Acea zonă de mijloc neaplicată — conformă, publicată, falsificabilă — este exact golul pe care îl măsoară acest recensământ, și este cea mai numeroasă populație din securitatea email.

Deci în ce ar trebui să se termine înregistrarea ta?

  1. Trimiți mesaje și redirecționarea contează (buletine informative, liste de discuții, aliasuri): ~all cu DMARC p=reject în spate — combinația recomandată mai sus.
  2. Trimiți mesaje dintr-o configurație strict controlată: -all funcționează și enunță politica chiar în înregistrare. Cartografiază-ți mai întâi expeditorii — o terminație strictă pe o înregistrare necartografiată strică mesaje reale, sau mai rău.
  3. Domeniul nu trimite niciodată: -all plus p=reject, chiar azi. Nu există nimic legitim de protejat, deci nu e nimic de stricat.

Indiferent de terminația pe care o alegi, lecția de o linie a recensământului rămâne valabilă: calificatorul contează doar în măsura în care ceva îl aplică. Unde te afli pe acea scară este măsurabil.

Întrebări frecvente

E SPF ~all sau -all mai bun? Niciunul, universal. ~all cu o politică DMARC de aplicare este modelul recomandat de ghidurile Google — protecție egală la receptorii care evaluează DMARC fără a strica mesajele redirecționate. -all se potrivește expeditorilor strict controlați. ~all singur — starea a tot ce nu se încadrează în 1 din 11 domenii softfail — este opțiunea slabă.

Ce înseamnă SPF softfail? ~all le spune receptorilor că mesajele de la servere nelistate sunt probabil ilegitime dar ar trebui totuși acceptate, de obicei cu suspiciune. Devine protecție reală doar când o politică DMARC acționează asupra eșecului; vezi SPF fără DMARC.

Va strica hardfail-ul -all email-ul meu redirecționat? Poate: redirecționarea retrimite mesajul tău de pe serverul redirectorului, pe care SPF-ul tău nu îl listează, iar un hardfail invită respingerea înainte ca DKIM sau DMARC să cântărească. Acest risc este motivul pentru care există combinația ~all + p=reject.

Cer Google și Microsoft -all acum? Nu. Mandatele pentru expeditori în masă cer autentificare aliniată, care trece, și o înregistrare DMARC la minimum p=none — fără aplicare, fără un calificator anume. Respingerea de către Google a mesajelor în masă neconforme este activă; Microsoft a marcat eșecurile ca spam și se îndreaptă spre respingerea directă. Conformitatea nu este protecție.

Verifică în ce se termină înregistrarea ta — și ce stă în spatele ei

Două căutări îți spun ambele, gratuit, în 30 de secunde. Dacă ești una dintre cele 70.4 milioane de ridicări din umeri neaplicate, remedierea este o înregistrare DNS, nu o achiziție.

Verifică-ți domeniul → · Repară SPF → · Repară DMARC → · Modelul de maturitate SPF → · Harta +all → · Doar date agregate. Date stocate și procesate în UE.