Defaults.Exposed

Defaults.Exposed › Отчёты

SPF ~all или -all: softfail или hardfail — что выбрали 139 миллиона записей (2026)

Опубликовано 2026-07-03

Цифры по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи по 261 миллионам оценённых доменов. Все цифры агрегированы — мы никогда не публикуем запись отдельной компании. См. как мы выставляем оценки.

Каждая SPF-запись заканчивается механизмом «all» — вердиктом для почты, приходящей откуда угодно, но не из вашего списка, — и интернет в подавляющем большинстве выбрал мягкий вариант: 55,8% из 139 миллионов доменов, публикующих SPF, заканчиваются на ~all (softfail), против 39,3%, заканчивающихся на -all (hardfail). Один символ отделяет «отклонять подделки» от «вероятно, это подделка — но всё равно доставить». Какой из них подходит именно вам, зависит от второй настройки, которую большинство владельцев так и не настраивают.

Что на самом деле сообщают получателю ~all и -all?

Значит, ~all — это ошибка? Только если он один — а он почти всегда один

У softfail есть оправданный современный сценарий: рекомендации Google для отправителей и вместе с ними большинство практик доставляемости сходятся на ~all в паре с принуждающей политикой DMARC (p=reject). Такая пара защищает не хуже -all у каждого получателя, оценивающего DMARC, — а к ним теперь относятся все крупные почтовые провайдеры, — не отбивая жёстко легитимную пересылаемую почту, классическую жертву -all. В этой конфигурации у пожатия плечами появляются зубы: DMARC выносит вердикт, который SPF выносить отказался.

Но пара — это и есть весь смысл, и вот что добавляет перепись, чего не могут дать руководства по настройке: из 77 484 057 записей softfail в интернете лишь у 7,1 миллионов — примерно у 1 из 11 — за спиной стоит принуждающая политика DMARC. У остальных 70,4 миллионов доменов ~all — ровно то, чем он и звучит. Их запись опознаёт подделку и пропускает её дальше.

Разве требования 2024 года это не исправили?

Нет — и это различие важнее, чем предполагает большинство публикаций. Google и Yahoo начали требовать аутентификацию от массовых отправителей в феврале 2024 года, а Microsoft последовала за ними в мае 2025 года: проходящий, выровненный SPF или DKIM плюс запись DMARC на уровне минимум p=none. Требования не доходят до обязательного принуждения — домен с ~all, записью p=none и выровненным DKIM полностью соответствует требованиям и остаётся полностью подделываемым. Требования нормализовали бумажную работу, а не защиту. Эта непринуждённая середина — соответствующая, опубликованная, подделываемая — и есть в точности та брешь, которую измеряет эта перепись, и это самая многочисленная популяция в почтовой безопасности.

Так на что должна заканчиваться ваша запись?

  1. Вы отправляете почту, и пересылка важна (рассылки, списки рассылки, псевдонимы): ~all с DMARC p=reject за спиной — рекомендованная пара выше.
  2. Вы отправляете почту из жёстко контролируемой конфигурации: -all работает и заявляет политику прямо в самой записи. Сначала составьте карту своих отправителей — строгое окончание на несопоставленной записи ломает реальную почту, а то и хуже.
  3. Домен никогда не отправляет почту: -all плюс p=reject, уже сегодня. Нет ничего легитимного, что нужно было бы защищать, значит, нечего и ломать.

Какое бы окончание вы ни выбрали, однострочный урок переписи остаётся в силе: квалификатор значит ровно столько, сколько значит то, что его принуждает. Где вы стоите на этой лестнице — поддаётся измерению.

Часто задаваемые вопросы

Что лучше — SPF ~all или -all? Ни то, ни другое как универсальный ответ. ~all с принуждающей политикой DMARC — это шаблон, который рекомендуют руководства Google: равная защита у получателей, оценивающих DMARC, без поломки пересылаемой почты. -all подходит жёстко контролируемым отправителям. ~all в одиночку — состояние всех softfail-доменов, кроме 1 из 11, — это слабый вариант.

Что означает SPF softfail? ~all сообщает получателям, что почта с неуказанных серверов, вероятно, нелегитимна, но её всё же следует принять, обычно с подозрением. Настоящей защитой это становится, только когда политика DMARC действует на основании провала; см. SPF без DMARC.

Сломает ли hardfail -all мою пересылаемую почту? Может: пересылка заново отправляет вашу почту с сервера пересыльщика, которого нет в вашем SPF, и hardfail провоцирует отклонение ещё до того, как в дело вступят DKIM или DMARC. Именно из-за этого риска существует пара ~all + p=reject.

Требуют ли Google и Microsoft теперь -all? Нет. Требования к массовым отправителям предписывают выровненную, проходящую аутентификацию и запись DMARC на уровне минимум p=none — никакого принуждения, никакого конкретного квалификатора. Отклонение несоответствующей массовой почты у Google уже действует; Microsoft отправляет провалы в спам и движется к прямому отклонению. Соответствие требованиям — это не защита.

Проверьте, на что заканчивается ваша запись — и что за ней стоит

Два запроса сообщат вам и то, и другое — бесплатно, за 30 секунд. Если вы среди 70,4 миллионов непринуждённых пожатий плечами, исправление — это DNS-запись, а не покупка.

Проверить свой домен → · Исправить SPF → · Исправить DMARC → · Модель зрелости SPF → · Карта +all → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.