Defaults.Exposed

Defaults.Exposed › Звіти

Звіт про хибні налаштування SPF: більшість записів SPF налаштовані надто слабко (2026)

Опубліковано 2026-06-29

Дані станом на 2026-06-29 · методологія v7. Зведені дані перепису по 138,927,207 доменах, які публікують запис SPF, з 261 мільйонів оцінених доменів. Дивіться як ми оцінювали.

Мати SPF — це не те саме, що налаштувати його правильно, і більшість доменів, які публікують SPF, налаштували його надто слабко, щоб він давав якусь користь. Із 139 мільйонів доменів із записом SPF 55.8% закінчуються на ~all (softfail) — поблажливе налаштування, яке каже отримувачам: «це може бути підробка, але все одно достав це». Лише 39.3% використовують суворий -all. SPF широко впроваджений, але здебільшого позбавлений пазурів.

Механізм «all»: де SPF виграється або програється

Кожен запис SPF закінчується механізмом «all», який вказує, що робити з поштою від серверів, яких немає у вашому списку. У цьому весь сенс SPF — і це найпоширеніше місце, де його послаблюють:

ЗакінченняЗначенняДомени із SPF
-all (hardfail)Відхиляти відправників не зі списку — суворе, передбачене налаштування39.3%
~all (softfail)«Імовірно, підробка, але все одно прийми це»55.8%
?all (нейтральне)Без позиції — фактично жодного захисту3.0%
+allДозволити всьому інтернету надсилати від вашого імені36,014 доменів
інше / немаєredirect/лише include або без кінцевого all1.8%

Головний висновок у тому, що softfail (~all) є найпоширенішим налаштуванням — 55.8% — більше, ніж hardfail. Сам по собі softfail дає слабкий захист: він просить отримувачів не довіряти пошті не зі списку, але не відхиляти її.

Небезпечні граничні випадки

Чи softfail насправді є проблемою?

Ні, якщо його підкріплено DMARC. Сучасна найкраща практика — це ~all плюс політика DMARC quarantine або reject — таке поєднання дає вам суворе застосування без поломки пересланої пошти. Проблема в тому, що велика частка доменів на ~all не має застосовуваного DMARC позаду — лише 10.59% усіх доменів застосовують DMARC — через що softfail майже нічого не робить. SPF, налаштований на ~all, — це засіб для досягнення мети; без DMARC це лише пропозиція.

Поширені запитання

Яка різниця між ~all і -all у SPF? -all (hardfail) каже отримувачам відхиляти пошту від серверів, яких немає у вашому списку. ~all (softfail) каже їм усе одно прийняти її, але позначити як підозрілу. 55.8% доменів із SPF використовують ~all; 39.3% використовують -all.

Чи безпечно використовувати ~all (softfail)? Так — але лише в поєднанні з політикою DMARC застосування (quarantine або reject). Сам по собі softfail дає слабкий захист.

Що робить +all? +all дозволяє кожному серверу в інтернеті надсилати електронну пошту від імені вашого домену — гірше, ніж відсутність SPF. 36,014 доменів мають це, майже завжди помилково.

Що таке помилка SPF «забагато запитів»? SPF дозволяє щонайбільше 10 вкладених DNS-запитів; понад це запис зазнає невдачі як «permerror» і ігнорується. Це впливає на 7,958 доменів.

Перевірте, чи ваш SPF налаштовано правильно

Опублікувати SPF — це половина роботи; налаштувати його суворо та підкріпити DMARC — інша половина. Перевірте свій домен приватно та безкоштовно.

Перевірте свій домен → · Виправити SPF → · Виправити DMARC → · Чому мої листи потрапляють у спам → · Лише зведені дані. Дані зберігаються та обробляються в ЄС.