Defaults.Exposed

Defaults.Exposed › Poročila

SPF ~all proti -all: Softfail ali Hardfail — kaj je izbralo 139 milijonov zapisov (2026)

Objavljeno 2026-07-03

Podatki na dan 2026-06-29 · metodologija v7. Zbirni podatki popisa za 261 milijonov ocenjenih domen. Vsi podatki so zbirni — nikoli ne objavimo zapisa posameznega podjetja. Poglejte, kako ocenjujemo.

Vsak zapis SPF se konča z mehanizmom “all” — sodba o pošti iz katerega koli vira, ki ni na vašem seznamu — in internet je prepričljivo izbral mehkega: 55.8 % od 139 milijonov domen, ki objavljajo SPF, se konča z ~all (softfail), v primerjavi s 39.3 %, ki se končajo z -all (hardfail). En sam znak loči “zavrni ponaredke” od “verjetno ponaredek — vseeno ga dostavi”. Katera možnost je prava za vas, je odvisno od druge nastavitve, ki je večina lastnikov nikoli ne nastavi.

Kaj ~all in -all pravzaprav povesta prejemniku?

Ali je torej ~all napačen? Le če je sam — in skoraj vedno je

Softfail ima branljivo sodobno utemeljitev: Googlove smernice za pošiljatelje in z njimi večina praks glede dostavljivosti se zbližujejo pri ~all v paru s prisilnim pravilnikom DMARC (p=reject). Ta par ščiti enako dobro kot -all pri vsakem prejemniku, ki vrednoti DMARC — kar zdaj vključuje vse večje ponudnike poštnih predalov — brez trdega zavračanja legitimne posredovane pošte, klasične žrtve -all. V tej konfiguraciji ima skomig zobe: DMARC priskrbi sodbo, ki jo je SPF odklonil.

Vendar je bistvo prav ta par, in tukaj je tisto, kar popis doda in česar navodila za nastavitev ne morejo: od 77,484,057 zapisov softfail na internetu jih ima samo 7.1 milijonov — približno 1 od 11 — za seboj prisilni pravilnik DMARC. Za preostalih 70.4 milijonov domen je ~all točno to, kot se sliši. Njihov zapis prepozna ponaredek in ga spusti mimo.

Ali niso mandati iz leta 2024 tega odpravili?

Ne — in razlika je pomembnejša, kot nakazuje večina poročanja. Google in Yahoo sta februarja 2024 začela zahtevati avtentikacijo od množičnih pošiljateljev, Microsoft pa je sledil maja 2025: preverjen, poravnan SPF ali DKIM ter zapis DMARC z najmanj p=none. Mandati ne gredo tako daleč, da bi zahtevali prisilo — domena z ~all, zapisom p=none in poravnanim DKIM v celoti izpolnjuje zahteve in ostaja povsem ranljiva za ponarejanje. Mandati so normalizirali papirologijo, ne zaščite. Prav ta neprisiljena sredina — skladna, objavljena, ponaredljiva — je natanko vrzel, ki jo ta popis meri, in je največja populacija v e-poštni varnosti.

Torej, s čim naj se vaš zapis konča?

  1. Pošiljate pošto in posredovanje je pomembno (glasila, dopisni seznami, vzdevki): ~all z DMARC p=reject za seboj — priporočeni par od zgoraj.
  2. Pošiljate pošto iz strogo nadzorovane nastavitve: -all deluje in pravilnik navede kar v samem zapisu. Najprej popišite svoje pošiljatelje — strog zaključek na nepopisanem zapisu pokvari resnično pošto, ali še huje.
  3. Domena nikoli ne pošilja: -all in p=reject, že danes. Ni ničesar legitimnega, kar bi bilo treba zaščititi, zato ni ničesar, kar bi se lahko pokvarilo.

Kateri koli zaključek izberete, velja enovrstična lekcija popisa: kvalifikator pomeni le toliko, kolikor pomeni tisto, kar ga uveljavlja. Kje na tej lestvici stojite, je merljivo.

Pogosto zastavljena vprašanja

Je boljši SPF ~all ali -all? Nobeden, univerzalno. ~all s prisilnim pravilnikom DMARC je vzorec, ki ga priporočajo Googlove smernice — enaka zaščita pri prejemnikih, ki vrednotijo DMARC, brez okvarjanja posredovane pošte. -all ustreza strogo nadzorovanim pošiljateljem. ~all sam — stanje pri vseh razen 1 od 11 domen s softfail — je šibka možnost.

Kaj pomeni SPF softfail? ~all prejemnikom pove, da je pošta z neuvrščenih strežnikov verjetno nelegitimna, a jo je vseeno treba sprejeti, običajno s sumom. Prava zaščita postane šele, ko pravilnik DMARC ukrepa ob odpovedi; poglejte SPF brez DMARC.

Ali bo hardfail -all pokvaril mojo posredovano e-pošto? Lahko: posredovanje ponovno pošlje vašo pošto s strežnika posrednika, ki ga vaš SPF ne navaja, in hardfail povabi k zavrnitvi, preden se oglasita DKIM ali DMARC. Prav zaradi tega tveganja obstaja par ~all + p=reject.

Ali Google in Microsoft zdaj zahtevata -all? Ne. Mandati za množične pošiljatelje zahtevajo poravnano, uspešno avtentikacijo in zapis DMARC z najmanj p=none — brez prisile, brez določenega kvalifikatorja. Googlovo zavračanje neskladne množične pošte je v veljavi; Microsoft odpovedi meče med neželeno pošto in se pomika proti popolni zavrnitvi. Skladnost ni zaščita.

Preverite, s čim se konča vaš zapis — in kaj stoji za njim

Dve poizvedbi vam povesta oboje, brezplačno, v 30 sekundah. Če ste eden od 70.4 milijonov neprisiljenih skomigov, je popravek zapis DNS, ne nakup.

Preverite svojo domeno → · Popravite SPF → · Popravite DMARC → · Model zrelosti SPF → · Zemljevid +all → · Samo zbirni podatki. Podatki shranjeni in obdelani v EU.