Defaults.Exposed

Defaults.Exposed › Отчёты

Отчёт о неверных настройках SPF: большинство записей SPF заданы слишком слабо (2026)

Опубликовано 2026-06-29

Данные по состоянию на 2026-06-29 · методология v7. Сводные данные переписи по 138 927 207 доменам, публикующим SPF-запись, из 261 миллионов оценённых доменов. См. как мы оцениваем.

Наличие SPF — это не то же самое, что его правильная настройка, и у большинства доменов, публикующих SPF, он настроен слишком слабо, чтобы приносить пользу. Из 139 миллионов доменов с SPF-записью 55,8% оканчиваются на ~all (softfail) — разрешительной настройке, которая говорит получателям: «это может быть подделкой, но всё равно доставьте». Лишь 39,3% используют строгий -all. SPF широко внедрён, но чаще всего обезврежен.

Механизм «all»: где SPF выигрывается или проигрывается

Каждая SPF-запись оканчивается механизмом «all», который указывает, что делать с почтой с серверов, которых нет в вашем списке. В этом весь смысл SPF — и это самое частое место, где его ослабляют:

ОкончаниеЗначениеДомены с SPF
-all (hardfail)Отклонять неуказанных отправителей — строгая, задуманная настройка39,3%
~all (softfail)«Вероятно подделка, но всё равно принять»55,8%
?all (нейтрально)Без мнения — фактически никакой защиты3,0%
+allРазрешить всему интернету отправлять от вашего имени36 014 доменов
прочее / нетredirect/include-only или нет завершающего all1,8%

Главное в том, что softfail (~all) — самая частая настройка, на уровне 55,8% — чаще, чем hardfail. Сам по себе softfail даёт слабую защиту: он просит получателей не доверять неуказанной почте, но не отклонять её.

Опасные граничные случаи

Является ли softfail на самом деле проблемой?

Нет, если он подкреплён DMARC. Современная лучшая практика — это ~all плюс политика DMARC quarantine или reject — такое сочетание даёт строгое применение, не ломая пересылаемую почту. Проблема в большой доле доменов на ~all без применяющего DMARC за ними — лишь 10,59% всех доменов применяют DMARC — из-за чего softfail почти ничего не делает. SPF, настроенный на ~all, — это средство достижения цели; без DMARC это лишь рекомендация.

Часто задаваемые вопросы

В чём разница между ~all и -all в SPF? -all (hardfail) велит получателям отклонять почту с серверов, которых нет в вашем списке. ~all (softfail) велит им всё равно принимать её, но помечать как подозрительную. 55,8% доменов с SPF используют ~all; 39,3% используют -all.

Безопасно ли использовать ~all (softfail)? Да — но только в сочетании с применяющей политикой DMARC (quarantine или reject). Сам по себе softfail даёт слабую защиту.

Что делает +all? +all разрешает каждому серверу в интернете отправлять почту от имени вашего домена — хуже, чем отсутствие SPF. 36 014 доменов имеют это, почти всегда по ошибке.

Что такое ошибка SPF «слишком много запросов»? SPF допускает не более 10 вложенных DNS-запросов; сверх того запись завершается ошибкой «permerror» и игнорируется. Это затрагивает 7 958 доменов.

Проверьте, правильно ли настроен ваш SPF

Опубликовать SPF — половина дела; настроить его строго и подкрепить DMARC — вторая половина. Проверьте свой домен приватно и бесплатно.

Проверьте свой домен → · Исправить SPF → · Исправить DMARC → · Почему письма попадают в спам → · Только сводные данные. Данные хранятся и обрабатываются в ЕС.