Defaults.Exposed › Rapporter
SPF-felkonfigurationsrapporten: de flesta SPF-poster är satta för svagt (2026)
Publicerad 2026-06-29
Siffror per den 2026-06-29 · metodik v7. Aggregerade folkräkningsdata över de 138,927,207 domäner som publicerar en SPF-post, av 261 miljoner bedömda domäner. Se hur vi bedömer.
Att ha SPF är inte samma sak som att ha det rätt inställt — och de flesta domäner som publicerar SPF har det inställt för svagt för att göra någon större nytta. Av de 139 miljoner domäner med en SPF-post slutar 55.8% med ~all (softfail), den tillåtande inställningen som säger till mottagare “det här kan vara en förfalskning, men leverera det ändå”. Endast 39.3% använder det strikta -all. SPF är brett infört men, oftast, avtandat.
”all”-mekanismen: där SPF vinns eller förloras
Varje SPF-post slutar med en “all”-mekanism som anger vad som ska göras med e-post från servrar som inte finns på din lista. Det är hela poängen med SPF — och det vanligaste stället där det försvagas:
| Avslutning | Innebörd | Domäner med SPF |
|---|---|---|
-all (hardfail) | Avvisa olistade avsändare — den strikta, avsedda inställningen | 39.3% |
~all (softfail) | “Troligen en förfalskning, men acceptera det ändå” | 55.8% |
?all (neutral) | Ingen åsikt — i praktiken inget skydd | 3.0% |
+all | Tillåt hela internet att skicka som du | 36,014 domäner |
| annat / inget | redirect/include-only eller inget avslutande all | 1.8% |
Det stora budskapet är att softfail (~all) är den vanligaste inställningen på 55.8% — mer än hardfail. På egen hand ger softfail svagt skydd: den ber mottagare att inte lita på olistad post, men inte att avvisa den.
De farliga gränsfallen
+all— 36,014 domäner. Detta är det sämsta möjliga SPF-värdet: det talar uttryckligen om för världen att vilken server som helst får skicka e-post som domänen. Det är nästan alltid ett klipp-och-klistra-misstag, och det är strikt sämre än att inte ha någon SPF alls.- För många DNS-uppslag — 7,958 domäner. SPF tillåter högst 10 nästlade DNS-uppslag; överskrider du det blir posten ett “permerror” som mottagare behandlar som trasigt. Det är ovanligare än man fruktar (0.01% av SPF-posterna), men när det slår till ogiltigförklarar det din SPF helt i tysthet.
Är softfail egentligen ett problem?
Inte om det backas upp av DMARC. Modern bästa praxis är ~all plus en DMARC-policy med quarantine eller reject — den kombinationen ger dig strikt efterlevnad utan att förstöra vidarebefordrad post. Problemet är den stora andelen domäner på ~all utan en upprätthållande DMARC bakom — endast 10.59% av alla domäner upprätthåller DMARC — vilket gör att softfail gör nästan ingenting. SPF inställt på ~all är ett medel för ett ändamål; utan DMARC är det bara ett förslag.
Vanliga frågor
Vad är skillnaden mellan ~all och -all i SPF?
-all (hardfail) säger till mottagare att avvisa post från servrar som inte finns på din lista. ~all (softfail) säger till dem att acceptera den ändå men markera den som misstänkt. 55.8% av domänerna med SPF använder ~all; 39.3% använder -all.
Är ~all (softfail) säkert att använda?
Ja — men bara i kombination med en upprätthållande DMARC-policy (quarantine eller reject). På egen hand ger softfail svagt skydd.
Vad gör +all?
+all tillåter varje server på internet att skicka e-post som din domän — sämre än ingen SPF. 36,014 domäner har detta, nästan alltid av misstag.
Vad är SPF-felet “för många uppslag”? SPF tillåter högst 10 nästlade DNS-uppslag; därutöver misslyckas posten som ett “permerror” och ignoreras. Det drabbar 7,958 domäner.
Kontrollera att din SPF är rätt inställd
Att publicera SPF är halva jobbet; att ställa in det strikt och backa upp det med DMARC är den andra halvan. Kontrollera din domän privat och gratis.
Kontrollera din domän → · Åtgärda SPF → · Åtgärda DMARC → · Varför hamnar mina mejl i skräpposten → · Endast aggregerade data. Data lagras och behandlas i EU.