Defaults.Exposed › Звіти
Звіт про хибні налаштування SPF: більшість записів SPF налаштовані надто слабко (2026)
Опубліковано 2026-06-29
Дані станом на 2026-06-29 · методологія v7. Зведені дані перепису по 138,927,207 доменах, які публікують запис SPF, з 261 мільйонів оцінених доменів. Дивіться як ми оцінювали.
Мати SPF — це не те саме, що налаштувати його правильно, і більшість доменів, які публікують SPF, налаштували його надто слабко, щоб він давав якусь користь. Із 139 мільйонів доменів із записом SPF 55.8% закінчуються на ~all (softfail) — поблажливе налаштування, яке каже отримувачам: «це може бути підробка, але все одно достав це». Лише 39.3% використовують суворий -all. SPF широко впроваджений, але здебільшого позбавлений пазурів.
Механізм «all»: де SPF виграється або програється
Кожен запис SPF закінчується механізмом «all», який вказує, що робити з поштою від серверів, яких немає у вашому списку. У цьому весь сенс SPF — і це найпоширеніше місце, де його послаблюють:
| Закінчення | Значення | Домени із SPF |
|---|---|---|
-all (hardfail) | Відхиляти відправників не зі списку — суворе, передбачене налаштування | 39.3% |
~all (softfail) | «Імовірно, підробка, але все одно прийми це» | 55.8% |
?all (нейтральне) | Без позиції — фактично жодного захисту | 3.0% |
+all | Дозволити всьому інтернету надсилати від вашого імені | 36,014 доменів |
| інше / немає | redirect/лише include або без кінцевого all | 1.8% |
Головний висновок у тому, що softfail (~all) є найпоширенішим налаштуванням — 55.8% — більше, ніж hardfail. Сам по собі softfail дає слабкий захист: він просить отримувачів не довіряти пошті не зі списку, але не відхиляти її.
Небезпечні граничні випадки
+all— 36,014 доменів. Це найгірше можливе значення SPF: воно прямо повідомляє світу, що будь-який сервер може надсилати електронну пошту від імені домену. Це майже завжди випадковість через копіювання-вставлення, і це однозначно гірше, ніж взагалі не мати SPF.- Забагато DNS-запитів — 7,958 доменів. SPF дозволяє максимум 10 вкладених DNS-запитів; якщо перевищити це, запис стає «permerror», який отримувачі вважають зламаним. Це трапляється рідше, ніж побоюються (0.01% записів SPF), але коли це стається, ваш SPF тихо анулюється повністю.
Чи softfail насправді є проблемою?
Ні, якщо його підкріплено DMARC. Сучасна найкраща практика — це ~all плюс політика DMARC quarantine або reject — таке поєднання дає вам суворе застосування без поломки пересланої пошти. Проблема в тому, що велика частка доменів на ~all не має застосовуваного DMARC позаду — лише 10.59% усіх доменів застосовують DMARC — через що softfail майже нічого не робить. SPF, налаштований на ~all, — це засіб для досягнення мети; без DMARC це лише пропозиція.
Поширені запитання
Яка різниця між ~all і -all у SPF?
-all (hardfail) каже отримувачам відхиляти пошту від серверів, яких немає у вашому списку. ~all (softfail) каже їм усе одно прийняти її, але позначити як підозрілу. 55.8% доменів із SPF використовують ~all; 39.3% використовують -all.
Чи безпечно використовувати ~all (softfail)?
Так — але лише в поєднанні з політикою DMARC застосування (quarantine або reject). Сам по собі softfail дає слабкий захист.
Що робить +all?
+all дозволяє кожному серверу в інтернеті надсилати електронну пошту від імені вашого домену — гірше, ніж відсутність SPF. 36,014 доменів мають це, майже завжди помилково.
Що таке помилка SPF «забагато запитів»? SPF дозволяє щонайбільше 10 вкладених DNS-запитів; понад це запис зазнає невдачі як «permerror» і ігнорується. Це впливає на 7,958 доменів.
Перевірте, чи ваш SPF налаштовано правильно
Опублікувати SPF — це половина роботи; налаштувати його суворо та підкріпити DMARC — інша половина. Перевірте свій домен приватно та безкоштовно.
Перевірте свій домен → · Виправити SPF → · Виправити DMARC → · Чому мої листи потрапляють у спам → · Лише зведені дані. Дані зберігаються та обробляються в ЄС.