Defaults.Exposed › Báo cáo
Báo cáo Cấu hình sai SPF: Hầu hết bản ghi SPF được đặt quá lỏng lẻo (2026)
Đã xuất bản 2026-06-29
Số liệu tính đến 2026-06-29 · phương pháp luận v7. Dữ liệu tổng điều tra tổng hợp trên 138,927,207 tên miền công bố bản ghi SPF, trong số 261 triệu tên miền được chấm điểm. Xem cách chúng tôi chấm điểm.
Có SPF không giống với cấu hình nó đúng cách — và hầu hết tên miền công bố SPF đều cấu hình nó quá yếu để làm được gì nhiều. Trong số 139 triệu tên miền có bản ghi SPF, 55.8% kết thúc bằng ~all (softfail), thiết lập dễ dãi báo cho bên nhận rằng “đây có thể là giả mạo, nhưng cứ chuyển phát đi.” Chỉ 39.3% dùng -all nghiêm ngặt. SPF được áp dụng rộng rãi nhưng, phần lớn các trường hợp, đã bị rút móng vuốt.
Cơ chế “all”: nơi SPF được thắng hay thua
Mỗi bản ghi SPF kết thúc bằng một cơ chế “all” quy định phải làm gì với thư từ các máy chủ không nằm trong danh sách của bạn. Đó là toàn bộ ý nghĩa của SPF — và là nơi phổ biến nhất nó bị làm suy yếu:
| Kết thúc | Ý nghĩa | Tên miền có SPF |
|---|---|---|
-all (hardfail) | Từ chối người gửi không có trong danh sách — thiết lập nghiêm ngặt, đúng ý định | 39.3% |
~all (softfail) | “Có lẽ là giả mạo, nhưng cứ chấp nhận” | 55.8% |
?all (trung lập) | Không có ý kiến — thực chất không bảo vệ gì | 3.0% |
+all | Cho phép toàn bộ internet gửi thay mặt bạn | 36,014 tên miền |
| khác / không | redirect/chỉ-include hoặc không có all kết thúc | 1.8% |
Điểm nổi bật là softfail (~all) là thiết lập phổ biến nhất ở mức 55.8% — nhiều hơn hardfail. Tự thân nó, softfail cung cấp sự bảo vệ yếu: nó yêu cầu bên nhận đừng tin thư không có trong danh sách, nhưng không từ chối thư đó.
Các trường hợp biên nguy hiểm
+all— 36,014 tên miền. Đây là giá trị SPF tệ nhất có thể: nó nói rõ với cả thế giới rằng bất kỳ máy chủ nào cũng được phép gửi email thay mặt tên miền. Hầu như luôn là tai nạn sao chép-dán, và nó dứt khoát còn tệ hơn việc không có SPF nào cả.- Quá nhiều lượt tra cứu DNS — 7,958 tên miền. SPF cho phép tối đa 10 lượt tra cứu DNS lồng nhau; vượt quá thì bản ghi trở thành “permerror” mà bên nhận coi là hỏng. Điều này hiếm hơn người ta lo sợ (0.01% bản ghi SPF), nhưng khi nó xảy ra, nó lặng lẽ vô hiệu hóa toàn bộ SPF của bạn.
Softfail có thực sự là vấn đề không?
Không, nếu nó được DMARC hậu thuẫn. Thông lệ tốt nhất hiện đại là ~all cộng với một chính sách DMARC quarantine hoặc reject — sự kết hợp đó mang lại cho bạn sự thực thi nghiêm ngặt mà không làm hỏng thư được chuyển tiếp. Vấn đề là tỷ lệ lớn tên miền dùng ~all mà không có DMARC thực thi phía sau — chỉ 10.59% trong tất cả tên miền thực thi DMARC — khiến softfail gần như chẳng làm gì cả. SPF đặt thành ~all là một phương tiện cho một mục đích; không có DMARC, nó chỉ là một gợi ý.
Câu hỏi thường gặp
Sự khác biệt giữa ~all và -all trong SPF là gì?
-all (hardfail) bảo bên nhận từ chối thư từ các máy chủ không có trong danh sách của bạn. ~all (softfail) bảo họ cứ chấp nhận nhưng đánh dấu là đáng ngờ. 55.8% tên miền có SPF dùng ~all; 39.3% dùng -all.
Dùng ~all (softfail) có an toàn không?
Có — nhưng chỉ khi đi kèm với một chính sách DMARC thực thi (quarantine hoặc reject). Tự thân nó, softfail cung cấp sự bảo vệ yếu.
+all làm gì?
+all cho phép mọi máy chủ trên internet gửi email thay mặt tên miền của bạn — tệ hơn việc không có SPF. 36,014 tên miền có thiết lập này, hầu như luôn do nhầm lẫn.
Lỗi SPF “quá nhiều lượt tra cứu” là gì? SPF cho phép tối đa 10 lượt tra cứu DNS lồng nhau; vượt quá thì bản ghi thất bại dưới dạng “permerror” và bị bỏ qua. Nó ảnh hưởng đến 7,958 tên miền.
Kiểm tra xem SPF của bạn đã được cấu hình đúng chưa
Công bố SPF mới chỉ là một nửa công việc; đặt nó nghiêm ngặt và hậu thuẫn nó bằng DMARC là nửa còn lại. Kiểm tra tên miền của bạn một cách riêng tư và miễn phí.
Kiểm tra tên miền của bạn → · Sửa SPF → · Sửa DMARC → · Tại sao email của tôi vào thư rác → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.