Defaults.Exposed

Defaults.Exposed › Звіти

Що таке SPF — і як виправити мій SPF-запис? (2026)

Опубліковано 2026-07-01

Показники станом на 2026-06-29 · методологія v7. Агреговані дані перепису по 261 мільйонах оцінених доменів. SPF (Sender Policy Framework) — це DNS-запис, який перелічує сервери, яким дозволено надсилати пошту від імені вашого домену. Дивіться як ми оцінюємо.

SPF — це один рядок у вашому DNS, який каже: «ці сервери можуть надсилати пошту від мого імені — усе інше вважайте підозрілим». Серед 261 мільйонів доменів 53.21% публікують SPF-запис. Це звучить непогано, але сам по собі запис вас не захищає: кінцевий кваліфікатор визначає, чи будуть відхилятися відправники, яких немає у списку, чи їх пропускатимуть без перевірки, а значна частка записів налаштована настільки м’яко, що вони нічого не змінюють. Ось що SPF насправді робить, які помилки ми бачимо найчастіше та як виправити ваш запис.

Що таке SPF-запис?

Коли поштовий сервер отримує повідомлення, яке нібито надійшло від вашого домену, він шукає ваш SPF-запис і перевіряє, чи відправляючий сервер є у вашому списку дозволених. Запис завершується інструкцією для всього, чого немає у списку:

Із 139 мільйонів доменів, що публікують SPF, лише 39.3% використовують суворий -all, тоді як 55.8% застосовують м’якший ~all. А 36,014 доменів публікують +all — відкрите запрошення, яке повідомляє світу, що надсилати пошту від їхнього імені може будь-хто.

Помилки, які непомітно ламають SPF

Як виправити мій SPF-запис?

  1. Опублікуйте один SPF-запис — єдиний TXT-запис, що починається з v=spf1. Ніколи не публікуйте два; це автоматична помилка.
  2. Перелічіть кожного легітимного відправника — вашого поштового провайдера, маркетингову платформу, CRM, службу підтримки — використовуючи їхні задокументовані значення include:.
  3. Завершуйте записом -all, коли переконаєтеся, що список повний. Почніть із ~all, якщо потрібен запас безпеки, а потім посильте налаштування. Дивіться виправити SPF.
  4. Залишайтеся в межах 10 запитів — спростіть або об’єднайте інструкції include:, якщо ви близькі до межі.
  5. Потім додайте DMARC — SPF і DKIM живлять DMARC — механізм контролю, який справді зупиняє того, хто надсилає пошту від імені вашого домену.

Поширені запитання

Як виглядає SPF-запис? Єдиний DNS TXT-запис, наприклад v=spf1 include:_spf.google.com -all. Записи include: — це ваші дозволені відправники; -all наприкінці відхиляє всіх інших.

Що краще — ~all чи -all? -all (hardfail) сильніший — він наказує отримувачам відхиляти відправників, яких немає у списку. ~all (softfail) зазвичай все одно доставляє пошту. Станом на 2026-06-29 39.3% SPF-записів використовують -all, а 55.8% — ~all.

Чи зупиняє SPF тих, хто підробляє мій домен? Сам по собі — ні. SPF не керує видимою адресою «From». Вам потрібен DMARC, налаштований на примусове застосування. 32.4% доменів мають SPF, але не мають DMARC, і залишаються вразливими до підробки.

Чому мій SPF-запис «не проходить», хоча виглядає правильно? Найчастіше він перевищує межу в 10 запитів і повертає permerror. 0.01% доменів із SPF стикаються з цим. Зменшіть кількість запитів include:.

Чи дорого виправляти SPF? Ні — це безкоштовна зміна DNS. Зусилля потрібні на те, щоб зробити список відправників повним і правильним, а не гроші.

Перевірте SPF свого домену безкоштовно

Подивіться свій SPF-запис, його кінцевий кваліфікатор і чи він повний — приватно та лише для власника.

Перевірити свій домен → · Виправити SPF → · Виправити DMARC → · Як ми оцінюємо → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.