Defaults.Exposed › รายงาน
รายงาน SPF Misconfiguration: SPF Records ส่วนใหญ่ตั้งค่าอ่อนเกินไป (2026)
เผยแพร่ 2026-06-29
ตัวเลข ณ 2026-06-29 · ระเบียบวิธี v7 ข้อมูลสำมะโนรวมข้ามโดเมน 138,927,207 ที่เผยแพร่ SPF record จากโดเมน 261 ล้านโดเมนที่ให้เกรด ดู วิธีที่เราให้เกรด
การมี SPF ไม่เหมือนกับการตั้งค่าอย่างถูกต้อง — และโดเมนส่วนใหญ่ที่เผยแพร่ SPF ตั้งค่าอ่อนเกินไปที่จะมีประสิทธิภาพมาก ในบรรดาโดเมน 139 ล้าน ที่มี SPF record, 55.8% จบด้วย ~all (softfail) การตั้งค่าที่อนุญาตซึ่งบอกให้ผู้รับ “นี่อาจเป็นการปลอมแปลง แต่ส่งต่อไปได้” มีเพียง 39.3% ที่ใช้ -all เข้มงวด SPF ถูกนำไปใช้อย่างกว้างขวางแต่บ่อยครั้งถูกทำให้ไม่มีประสิทธิภาพ
กลไก “all”: ที่ SPF ชนะหรือแพ้
SPF record ทุกตัวจบด้วยกลไก “all” ที่บอกว่าต้องทำอะไรกับเมลจากเซิร์ฟเวอร์ ที่ไม่อยู่ ในรายการของคุณ นั่นคือจุดประสงค์ทั้งหมดของ SPF — และที่ที่บ่อยที่สุดถูกทำให้อ่อนแอ:
| การจบ | ความหมาย | โดเมนที่มี SPF |
|---|---|---|
-all (hardfail) | ปฏิเสธผู้ส่งที่ไม่อยู่ในรายการ — การตั้งค่าเข้มงวดที่ตั้งใจ | 39.3% |
~all (softfail) | “น่าจะเป็นการปลอมแปลง แต่รับได้” | 55.8% |
?all (neutral) | ไม่มีความเห็น — ไม่มีการป้องกันจริงๆ | 3.0% |
+all | อนุญาตให้อินเทอร์เน็ตทั้งหมดส่งในนามคุณ | 36,014 โดเมน |
| อื่นๆ / ไม่มี | redirect/include-only หรือไม่มี all ปลาย | 1.8% |
หัวข้อหลักคือ softfail (~all) เป็นการตั้งค่าที่พบบ่อยที่สุดที่ 55.8% — มากกว่า hardfail ด้วยตัวเอง softfail ให้การป้องกันที่อ่อนแอ: ขอให้ผู้รับไม่ไว้วางใจเมลที่ไม่อยู่ในรายการ แต่ไม่ปฏิเสธ
กรณีอันตรายที่ขอบ
+all— 36,014 โดเมน นี่คือค่า SPF ที่แย่ที่สุดที่เป็นไปได้: มันบอกโลกอย่างชัดเจนว่า เซิร์ฟเวอร์ใดๆ ได้รับอนุญาตให้ส่งอีเมลในนามโดเมน เกือบทั้งหมดเป็นอุบัติเหตุการ copy-paste และแย่กว่าไม่มี SPF เลย- DNS lookups มากเกินไป — 7,958 โดเมน SPF อนุญาตสูงสุด 10 DNS lookups ซ้อนกัน เกินนั้นและ record เป็น “permerror” ที่ผู้รับปฏิบัติเป็นเสีย น้อยกว่าที่กลัว (0.01% ของ SPF records) แต่เมื่อมันกัด มันทำให้ SPF ของคุณเป็นโมฆะอย่างเงียบๆ
Softfail เป็นปัญหาจริงหรือไม่?
ไม่ถ้ารองรับโดย DMARC แนวปฏิบัติที่ดีที่สุดสมัยใหม่คือ ~all บวกนโยบาย DMARC ของ quarantine หรือ reject — การจับคู่นั้นให้การบังคับใช้เข้มงวดโดยไม่ทำลายเมลที่ถูกส่งต่อ ปัญหาคือสัดส่วนใหญ่ของโดเมนบน ~all ที่ ไม่มี DMARC บังคับใช้อยู่เบื้องหลัง — มีเพียง 10.59% ของโดเมนทั้งหมดที่บังคับใช้ DMARC — ซึ่งทำให้ softfail แทบไม่ทำอะไรเลย SPF ตั้งค่าเป็น ~all เป็นวิธีไปสู่จุดหมาย โดยไม่มี DMARC มันเป็นแค่ข้อเสนอแนะ
คำถามที่พบบ่อย
ความแตกต่างระหว่าง ~all และ -all ใน SPF คืออะไร?
-all (hardfail) บอกให้ผู้รับปฏิเสธเมลจากเซิร์ฟเวอร์ที่ไม่อยู่ในรายการ ~all (softfail) บอกให้พวกเขารับไว้แต่ทำเครื่องหมายว่าน่าสงสัย 55.8% ของโดเมนที่มี SPF ใช้ ~all; 39.3% ใช้ -all
~all (softfail) ปลอดภัยที่จะใช้หรือไม่?
ใช่ — แต่เฉพาะเมื่อจับคู่กับนโยบาย DMARC ที่บังคับใช้ (quarantine หรือ reject) ด้วยตัวเอง softfail ให้การป้องกันที่อ่อนแอ
+all ทำอะไร?
+all อนุญาตให้เซิร์ฟเวอร์ทุกเครื่องบนอินเทอร์เน็ตส่งอีเมลในนามโดเมนของคุณ — แย่กว่าไม่มี SPF 36,014 โดเมนมีสิ่งนี้ เกือบทั้งหมดเป็นความผิดพลาด
ข้อผิดพลาด “lookups มากเกินไป” ของ SPF คืออะไร? SPF อนุญาตสูงสุด 10 DNS lookups ซ้อนกัน เกินนั้น record ล้มเหลวเป็น “permerror” และถูกละเว้น ส่งผลกระทบต่อโดเมน 7,958 รายการ
ตรวจสอบว่า SPF ของคุณตั้งค่าอย่างถูกต้อง
การเผยแพร่ SPF เป็นงานครึ่งหนึ่ง การตั้งค่าอย่างเข้มงวดและรองรับด้วย DMARC เป็นอีกครึ่งหนึ่ง ตรวจสอบโดเมนของคุณอย่างเป็นส่วนตัวและฟรี
ตรวจสอบโดเมนของคุณ → · แก้ไข SPF → · แก้ไข DMARC → · ทำไมอีเมลถึงไปอยู่ในสแปม → · เฉพาะข้อมูลรวม ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป