Defaults.Exposed › Izveštaji
SPF ~all vs -all: Softfail ili Hardfail — šta je izabralo 139 miliona zapisa (2026)
Objavljeno 2026-07-03
Podaci na dan 2026-06-29 · metodologija v7. Agregatni podaci popisa preko 261 miliona ocenjenih domena. Svi podaci su agregatni — nikada ne objavljujemo zapis pojedinačnog preduzeća. Pogledajte kako ocenjujemo.
Svaki SPF zapis se završava „all“ mehanizmom — presudom o pošti sa bilo kog mesta koje nije na vašoj listi — a internet je preovlađujuće izabrao onaj meki: 55.8% od 139 miliona domena koji objavljuju SPF završava se sa ~all (softfail), naspram 39.3% koji se završava sa -all (hardfail). Jedan znak deli „odbaci falsifikate“ od „verovatno falsifikat — ipak ga isporuči“. Koji je pravi za vas zavisi od drugog podešavanja koje većina vlasnika nikada ne konfiguriše.
Šta ~all i -all zapravo govore primaocu?
-all(hardfail): „Odbaci poštu sa bilo kog drugog mesta.“ Čvrsto ne.~all(softfail): „Pošta sa drugog mesta verovatno nije legitimna — prihvati je, možda je označi.“ Sleganje ramenima.?all(neutral): „Bez mišljenja.“ Izabrano od 3.0% objavljivača; zaštita samo po imenu.+all: „Bilo ko sme da šalje kao ja.“ Objavljeno od strane 36,014 domena, i gore je nego bez zapisa — problem otirača za dobrodošlicu ima sopstveni izveštaj.
Da li je onda ~all pogrešan? Samo ako je sam — a skoro uvek jeste
Softfail ima branjiv savremeni argument: Google-ove smernice za pošiljaoce, i sa njima većina praksi isporučivosti, konvergiraju ka ~all uparenom sa DMARC politikom koja se sprovodi (p=reject). To uparivanje štiti jednako dobro kao -all kod svakog primaoca koji procenjuje DMARC — što sada uključuje sve velike provajdere poštanskih sandučića — bez tvrdog odbijanja legitimne prosleđene pošte, klasične žrtve -all-a. U toj konfiguraciji sleganje ramenima ima zube: DMARC obezbeđuje presudu koju je SPF odbio da da.
Ali uparivanje je cela poenta, a evo šta popis dodaje što vodiči za podešavanje ne mogu: od 77,484,057 softfail zapisa na internetu, samo 7.1 miliona — otprilike 1 od 11 — iza sebe ima DMARC politiku koja se sprovodi. Za ostalih 70.4 miliona domena, ~all je tačno ono što zvuči da jeste. Njihov zapis identifikuje falsifikat i propušta ga.
Zar to nisu ispravile obaveze iz 2024?
Ne — i razlika je važnija nego što većina medijskog izveštavanja sugeriše. Google i Yahoo počeli su da zahtevaju autentifikaciju od masovnih pošiljalaca u februaru 2024, a Microsoft je usledio u maju 2025: prolazan, usklađen SPF ili DKIM, plus DMARC zapis od minimalno p=none. Obaveze ne idu do zahtevanja sprovođenja — domen sa ~all, p=none zapisom i usklađenim DKIM-om u potpunosti je usaglašen, a ostaje u potpunosti podložan lažiranju. Obaveze su normalizovale papirologiju, ne zaštitu. Ta nesprovedena sredina — usaglašena, objavljena, podložna falsifikovanju — upravo je jaz koji ovaj popis meri, i to je najveća populacija u bezbednosti e-pošte.
Pa čime bi vaš zapis trebalo da se završava?
- Šaljete poštu i prosleđivanje je bitno (bilteni, mejling liste, alijasi):
~allsa DMARCp=rejectiza njega — preporučeno uparivanje iznad. - Šaljete poštu iz strogo kontrolisanog okruženja:
-allfunkcioniše i navodi politiku u samom zapisu. Prvo mapirajte svoje pošiljaoce — strogi završetak na nemapiranom zapisu prekida stvarnu poštu, ili gore. - Domen nikada ne šalje:
-allplusp=reject, danas. Ne postoji ništa legitimno što treba zaštititi, pa nema šta da se pokvari.
Koji god završetak izabrali, jednolinijska pouka popisa važi: kvalifikator je bitan samo onoliko koliko je bitno ono što ga sprovodi. Gde stojite na toj lestvici je merljivo.
Često postavljana pitanja
Da li je SPF ~all ili -all bolji?
Nijedan, univerzalno. ~all sa DMARC politikom koja se sprovodi obrazac je koji Google-ove smernice preporučuju — jednaka zaštita kod primalaca koji procenjuju DMARC bez prekidanja prosleđene pošte. -all odgovara strogo kontrolisanim pošiljaocima. ~all sam — stanje svih osim 1 od 11 softfail domena — jeste slaba opcija.
Šta znači SPF softfail?
~all govori primaocima da je pošta sa nenavedenih servera verovatno nelegitimna, ali da bi ipak trebalo da bude prihvaćena, obično sa sumnjom. Postaje stvarna zaštita tek kada DMARC politika deluje na neuspeh; pogledajte SPF bez DMARC-a.
Hoće li hardfail -all pokvariti moju prosleđenu e-poštu?
Može: prosleđivanje ponovo šalje vašu poštu sa servera prosleđivača, koji vaš SPF ne navodi, a hardfail poziva na odbijanje pre nego što DKIM ili DMARC odmere. Taj rizik je razlog zašto uparivanje ~all + p=reject postoji.
Da li Google i Microsoft sada zahtevaju -all?
Ne. Obaveze za masovne pošiljaoce zahtevaju usklađenu, prolaznu autentifikaciju i DMARC zapis od minimalno p=none — bez sprovođenja, bez određenog kvalifikatora. Google-ovo odbijanje neusaglašene masovne pošte je aktivno; Microsoft baca neuspehe u nepoželjnu poštu i kreće se ka potpunom odbijanju. Usaglašenost nije zaštita.
Proverite čime se vaš zapis završava — i šta stoji iza njega
Dve pretrage vam govore oboje, besplatno, za 30 sekundi. Ako ste jedno od 70.4 miliona nesprovedenih sleganja ramenima, rešenje je DNS zapis, a ne kupovina.
Proverite svoj domen → · Popravite SPF → · Popravite DMARC → · SPF model zrelosti → · +all mapa → · Samo agregatni podaci. Podaci se čuvaju i obrađuju u EU.