Defaults.Exposed

Defaults.Exposed › รายงาน

รายงาน SPF Misconfiguration: SPF Records ส่วนใหญ่ตั้งค่าอ่อนเกินไป (2026)

เผยแพร่ 2026-06-29

ตัวเลข ณ 2026-06-29 · ระเบียบวิธี v7 ข้อมูลสำมะโนรวมข้ามโดเมน 138,927,207 ที่เผยแพร่ SPF record จากโดเมน 261 ล้านโดเมนที่ให้เกรด ดู วิธีที่เราให้เกรด

การมี SPF ไม่เหมือนกับการตั้งค่าอย่างถูกต้อง — และโดเมนส่วนใหญ่ที่เผยแพร่ SPF ตั้งค่าอ่อนเกินไปที่จะมีประสิทธิภาพมาก ในบรรดาโดเมน 139 ล้าน ที่มี SPF record, 55.8% จบด้วย ~all (softfail) การตั้งค่าที่อนุญาตซึ่งบอกให้ผู้รับ “นี่อาจเป็นการปลอมแปลง แต่ส่งต่อไปได้” มีเพียง 39.3% ที่ใช้ -all เข้มงวด SPF ถูกนำไปใช้อย่างกว้างขวางแต่บ่อยครั้งถูกทำให้ไม่มีประสิทธิภาพ

กลไก “all”: ที่ SPF ชนะหรือแพ้

SPF record ทุกตัวจบด้วยกลไก “all” ที่บอกว่าต้องทำอะไรกับเมลจากเซิร์ฟเวอร์ ที่ไม่อยู่ ในรายการของคุณ นั่นคือจุดประสงค์ทั้งหมดของ SPF — และที่ที่บ่อยที่สุดถูกทำให้อ่อนแอ:

การจบความหมายโดเมนที่มี SPF
-all (hardfail)ปฏิเสธผู้ส่งที่ไม่อยู่ในรายการ — การตั้งค่าเข้มงวดที่ตั้งใจ39.3%
~all (softfail)“น่าจะเป็นการปลอมแปลง แต่รับได้”55.8%
?all (neutral)ไม่มีความเห็น — ไม่มีการป้องกันจริงๆ3.0%
+allอนุญาตให้อินเทอร์เน็ตทั้งหมดส่งในนามคุณ36,014 โดเมน
อื่นๆ / ไม่มีredirect/include-only หรือไม่มี all ปลาย1.8%

หัวข้อหลักคือ softfail (~all) เป็นการตั้งค่าที่พบบ่อยที่สุดที่ 55.8% — มากกว่า hardfail ด้วยตัวเอง softfail ให้การป้องกันที่อ่อนแอ: ขอให้ผู้รับไม่ไว้วางใจเมลที่ไม่อยู่ในรายการ แต่ไม่ปฏิเสธ

กรณีอันตรายที่ขอบ

Softfail เป็นปัญหาจริงหรือไม่?

ไม่ถ้ารองรับโดย DMARC แนวปฏิบัติที่ดีที่สุดสมัยใหม่คือ ~all บวกนโยบาย DMARC ของ quarantine หรือ reject — การจับคู่นั้นให้การบังคับใช้เข้มงวดโดยไม่ทำลายเมลที่ถูกส่งต่อ ปัญหาคือสัดส่วนใหญ่ของโดเมนบน ~all ที่ ไม่มี DMARC บังคับใช้อยู่เบื้องหลัง — มีเพียง 10.59% ของโดเมนทั้งหมดที่บังคับใช้ DMARC — ซึ่งทำให้ softfail แทบไม่ทำอะไรเลย SPF ตั้งค่าเป็น ~all เป็นวิธีไปสู่จุดหมาย โดยไม่มี DMARC มันเป็นแค่ข้อเสนอแนะ

คำถามที่พบบ่อย

ความแตกต่างระหว่าง ~all และ -all ใน SPF คืออะไร? -all (hardfail) บอกให้ผู้รับปฏิเสธเมลจากเซิร์ฟเวอร์ที่ไม่อยู่ในรายการ ~all (softfail) บอกให้พวกเขารับไว้แต่ทำเครื่องหมายว่าน่าสงสัย 55.8% ของโดเมนที่มี SPF ใช้ ~all; 39.3% ใช้ -all

~all (softfail) ปลอดภัยที่จะใช้หรือไม่? ใช่ — แต่เฉพาะเมื่อจับคู่กับนโยบาย DMARC ที่บังคับใช้ (quarantine หรือ reject) ด้วยตัวเอง softfail ให้การป้องกันที่อ่อนแอ

+all ทำอะไร? +all อนุญาตให้เซิร์ฟเวอร์ทุกเครื่องบนอินเทอร์เน็ตส่งอีเมลในนามโดเมนของคุณ — แย่กว่าไม่มี SPF 36,014 โดเมนมีสิ่งนี้ เกือบทั้งหมดเป็นความผิดพลาด

ข้อผิดพลาด “lookups มากเกินไป” ของ SPF คืออะไร? SPF อนุญาตสูงสุด 10 DNS lookups ซ้อนกัน เกินนั้น record ล้มเหลวเป็น “permerror” และถูกละเว้น ส่งผลกระทบต่อโดเมน 7,958 รายการ

ตรวจสอบว่า SPF ของคุณตั้งค่าอย่างถูกต้อง

การเผยแพร่ SPF เป็นงานครึ่งหนึ่ง การตั้งค่าอย่างเข้มงวดและรองรับด้วย DMARC เป็นอีกครึ่งหนึ่ง ตรวจสอบโดเมนของคุณอย่างเป็นส่วนตัวและฟรี

ตรวจสอบโดเมนของคุณ → · แก้ไข SPF → · แก้ไข DMARC → · ทำไมอีเมลถึงไปอยู่ในสแปม → · เฉพาะข้อมูลรวม ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป