Defaults.Exposed

Defaults.Exposed › Reporty

SPF ~all vs -all: Softfail alebo Hardfail — čo si zvolilo 139 miliónov záznamov (2026)

Publikované 2026-07-03

Údaje k 2026-06-29 · metodika v7. Súhrnné údaje sčítania naprieč 261 miliónmi ohodnotených domén. Všetky údaje sú súhrnné — nikdy nezverejňujeme záznam konkrétnej firmy. Pozri ako hodnotíme.

Každý SPF záznam končí mechanizmom „all“ — verdiktom nad poštou z čohokoľvek, čo nie je na vašom zozname — a internet si drvivou väčšinou zvolil ten mäkký: 55.8 % z 139 miliónov domén publikujúcich SPF končí na ~all (softfail), oproti 39.3 % končiacim na -all (hardfail). Jeden znak oddeľuje „odmietni falzifikáty“ od „pravdepodobne falzifikát — aj tak ho doruč“. To, ktorý je pre vás správny, závisí od druhého nastavenia, ktoré si väčšina vlastníkov nikdy nenakonfiguruje.

Čo vlastne ~all a -all hovoria príjemcovi?

Je teda ~all zlé? Len ak je osamotené — a takmer vždy je

Softfail má obhájiteľné moderné opodstatnenie: pokyny Googlu pre odosielateľov a s nimi väčšina doručovacej praxe sa zbiehajú na ~all v spojení s vynucujúcou DMARC politikou (p=reject). Táto kombinácia chráni rovnako dobre ako -all u každého príjemcu vyhodnocujúceho DMARC — čo teraz zahŕňa všetkých veľkých poskytovateľov schránok — bez tvrdého odrazenia legitímnej preposielanej pošty, klasickej obete -all. V tejto konfigurácii má pokrčenie plecami zuby: DMARC dodá verdikt, ktorý SPF odmietol dať.

Lenže práve to spojenie je celá pointa a tu je to, čo sčítanie pridáva a čo návody na nastavenie nedokážu: z 77,484,057 softfail záznamov na internete má vynucujúcu DMARC politiku za sebou len 7.1 miliónov — asi 1 z 11. U ostatných 70.4 miliónov domén je ~all presne tým, ako to znie. Ich záznam identifikuje falzifikát a mávne mu, nech prejde.

Nevyriešili to mandáty z roku 2024?

Nie — a tento rozdiel je dôležitejší, než väčšina pokrytia naznačuje. Google a Yahoo začali od februára 2024 vyžadovať autentifikáciu od hromadných odosielateľov, pričom Microsoft nasledoval v máji 2025: prechádzajúci, zladený SPF alebo DKIM, plus DMARC záznam na minimálne p=none. Mandáty nezachádzajú až k vyžadovaniu vynucovania — doména s ~all, záznamom p=none a zladeným DKIM plne vyhovuje a zostáva plne sfalšovateľná. Mandáty znormalizovali papierovanie, nie ochranu. Práve tento nevynucovaný stred — vyhovujúci, publikovaný, sfalšovateľný — je presne tá medzera, ktorú toto sčítanie meria, a je to najväčšia populácia v e-mailovej bezpečnosti.

Tak na čo by mal váš záznam končiť?

  1. Posielate poštu a záleží vám na preposielaní (newslettre, mailing listy, aliasy): ~all s DMARC p=reject za tým — odporúčaná kombinácia z vyššie uvedeného.
  2. Posielate poštu z tesne kontrolovaného nastavenia: -all funguje a uvádza politiku priamo v zázname. Najprv si zmapujte odosielateľov — striktné zakončenie na nezmapovanom zázname rozbíja skutočnú poštu, alebo aj horšie.
  3. Doména nikdy neposiela: -all plus p=reject, ešte dnes. Neexistuje nič legitímne, čo by bolo treba chrániť, takže sa nedá nič rozbiť.

Nech si zvolíte akékoľvek zakončenie, jednoriadkové ponaučenie zo sčítania platí: kvalifikátor záleží len natoľko, nakoľko ho niečo vynucuje. Kde na tomto rebríku stojíte, je merateľné.

Často kladené otázky

Je lepší SPF ~all alebo -all? Ani jeden, univerzálne. ~all s vynucujúcou DMARC politikou je vzor, ktorý odporúčajú pokyny Googlu — rovnaká ochrana u príjemcov vyhodnocujúcich DMARC bez rozbitia preposielanej pošty. -all sa hodí pre tesne kontrolovaných odosielateľov. ~all osamotené — stav všetkých softfail domén okrem 1 z 11 — je tá slabá možnosť.

Čo znamená SPF softfail? ~all hovorí príjemcom, že pošta z neuvedených serverov je pravdepodobne nelegitímna, ale mala by sa aj tak prijať, zvyčajne s podozrením. Skutočnou ochranou sa stáva iba vtedy, keď na zlyhanie zareaguje DMARC politika; pozri SPF bez DMARC.

Rozbije hardfail -all moju preposielanú poštu? Môže: preposielanie znovu odosiela vašu poštu zo servera preposielateľa, ktorý váš SPF neuvádza, a hardfail pozýva k odmietnutiu skôr, než sa zvážia DKIM alebo DMARC. Práve toto riziko je dôvod, prečo existuje kombinácia ~all + p=reject.

Vyžadujú teraz Google a Microsoft -all? Nie. Mandáty pre hromadných odosielateľov vyžadujú zladenú, prechádzajúcu autentifikáciu a DMARC záznam na minimálne p=none — žiadne vynucovanie, žiadny konkrétny kvalifikátor. Odmietanie nevyhovujúcej hromadnej pošty Googlom je v prevádzke; Microsoft hádže zlyhania do koša a smeruje k úplnému odmietaniu. Vyhovenie nie je ochrana.

Skontrolujte, na čo váš záznam končí — a čo za tým stojí

Dve vyhľadania vám povedia oboje, zadarmo, za 30 sekúnd. Ak ste jedným z 70.4 miliónov nevynucovaných pokrčení plecami, opravou je DNS záznam, nie nákup.

Skontrolujte svoju doménu → · Opraviť SPF → · Opraviť DMARC → · Model zrelosti SPF → · Mapa +all → · Iba súhrnné údaje. Údaje uložené a spracované v EÚ.