Defaults.Exposed › Отчёты
Отчёт о неверных настройках SPF: большинство записей SPF заданы слишком слабо (2026)
Опубликовано 2026-06-29
Данные по состоянию на 2026-06-29 · методология v7. Сводные данные переписи по 138 927 207 доменам, публикующим SPF-запись, из 261 миллионов оценённых доменов. См. как мы оцениваем.
Наличие SPF — это не то же самое, что его правильная настройка, и у большинства доменов, публикующих SPF, он настроен слишком слабо, чтобы приносить пользу. Из 139 миллионов доменов с SPF-записью 55,8% оканчиваются на ~all (softfail) — разрешительной настройке, которая говорит получателям: «это может быть подделкой, но всё равно доставьте». Лишь 39,3% используют строгий -all. SPF широко внедрён, но чаще всего обезврежен.
Механизм «all»: где SPF выигрывается или проигрывается
Каждая SPF-запись оканчивается механизмом «all», который указывает, что делать с почтой с серверов, которых нет в вашем списке. В этом весь смысл SPF — и это самое частое место, где его ослабляют:
| Окончание | Значение | Домены с SPF |
|---|---|---|
-all (hardfail) | Отклонять неуказанных отправителей — строгая, задуманная настройка | 39,3% |
~all (softfail) | «Вероятно подделка, но всё равно принять» | 55,8% |
?all (нейтрально) | Без мнения — фактически никакой защиты | 3,0% |
+all | Разрешить всему интернету отправлять от вашего имени | 36 014 доменов |
| прочее / нет | redirect/include-only или нет завершающего all | 1,8% |
Главное в том, что softfail (~all) — самая частая настройка, на уровне 55,8% — чаще, чем hardfail. Сам по себе softfail даёт слабую защиту: он просит получателей не доверять неуказанной почте, но не отклонять её.
Опасные граничные случаи
+all— 36 014 доменов. Это худшее возможное значение SPF: оно прямо сообщает миру, что любому серверу разрешено отправлять почту от имени домена. Это почти всегда ошибка копирования-вставки, и это строго хуже, чем вообще не иметь SPF.- Слишком много DNS-запросов — 7 958 доменов. SPF допускает не более 10 вложенных DNS-запросов; при превышении запись становится «permerror», который получатели считают сломанным. Это реже, чем опасаются (0,01% SPF-записей), но когда срабатывает, тихо обнуляет весь ваш SPF.
Является ли softfail на самом деле проблемой?
Нет, если он подкреплён DMARC. Современная лучшая практика — это ~all плюс политика DMARC quarantine или reject — такое сочетание даёт строгое применение, не ломая пересылаемую почту. Проблема в большой доле доменов на ~all без применяющего DMARC за ними — лишь 10,59% всех доменов применяют DMARC — из-за чего softfail почти ничего не делает. SPF, настроенный на ~all, — это средство достижения цели; без DMARC это лишь рекомендация.
Часто задаваемые вопросы
В чём разница между ~all и -all в SPF?
-all (hardfail) велит получателям отклонять почту с серверов, которых нет в вашем списке. ~all (softfail) велит им всё равно принимать её, но помечать как подозрительную. 55,8% доменов с SPF используют ~all; 39,3% используют -all.
Безопасно ли использовать ~all (softfail)?
Да — но только в сочетании с применяющей политикой DMARC (quarantine или reject). Сам по себе softfail даёт слабую защиту.
Что делает +all?
+all разрешает каждому серверу в интернете отправлять почту от имени вашего домена — хуже, чем отсутствие SPF. 36 014 доменов имеют это, почти всегда по ошибке.
Что такое ошибка SPF «слишком много запросов»? SPF допускает не более 10 вложенных DNS-запросов; сверх того запись завершается ошибкой «permerror» и игнорируется. Это затрагивает 7 958 доменов.
Проверьте, правильно ли настроен ваш SPF
Опубликовать SPF — половина дела; настроить его строго и подкрепить DMARC — вторая половина. Проверьте свой домен приватно и бесплатно.
Проверьте свой домен → · Исправить SPF → · Исправить DMARC → · Почему письма попадают в спам → · Только сводные данные. Данные хранятся и обрабатываются в ЕС.