Defaults.Exposed › التقارير
نشر SPF لا يكفي: الإحساس الزائف بأمان البريد الإلكتروني (2026)
نُشر 2026-06-29
الأرقام حتى 2026-06-29 · المنهجية الإصدار v7. بيانات تعداد مجمّعة تدمج الفحوصات لكل نطاق عبر 261 مليون نطاق مُقيَّم. «مُنفِّذ» = سياسة DMARC بقيمة
quarantineأوreject. راجع كيف نُقيّم.
أخطر موضع في أمن البريد الإلكتروني هو أن تشعر بالحماية. ينشر 32.4% من النطاقات سجل SPF لكن دون أي DMARC على الإطلاق — و45.7% لديها SPF غير مدعوم بالتنفيذ. فعل هؤلاء المالكون شيئاً، رأوا «SPF: مُهيّأ» وتوقفوا. لكن SPF وحده لا يمنع أحداً من تزوير عنوان «من» المرئي لديك — فقط DMARC المُنفَّذ يفعل ذلك. حتى 2026-06-29، فإن 3.87% فقط من النطاقات محمية بالكامل على مستوى البريد.
الفجوة بين «مُهيّأ» و«محمي»
يتحقق SPF من الخوادم المسموح لها بالإرسال نيابةً عنك. وهو لا يحكم عنوان «من» الذي يراه الشخص فعلياً، ولا يُخبر المستقبِلين بما يفعلونه عند الفشل. تلك مهمة DMARC. لذا فإن SPF دون سياسة DMARC مُنفِّذة هو قفل بلا باب خلفه:
| الحالة | حصة النطاقات | محمي فعلاً؟ |
|---|---|---|
| SPF منشور، لا سجل DMARC على الإطلاق | 32.4% | لا |
| SPF منشور، DMARC غير مُنفِّذ | 45.7% | لا |
| محمي بالكامل على مستوى البريد (SPF + DMARC مُنفَّذ) | 3.87% | نعم |
اقرأ الصف الأوسط مجدداً: 45.7% من جميع النطاقات لديها SPF لكن دون تنفيذ — أي ما يقارب أغلبية الإنترنت قابعة في منطقة الأمان الزائف. وهي، لأغراض المهاجم، قابلة للانتحال — و89.4% من النطاقات إجمالاً كذلك.
أسوأ نسخة: البريد يدخل، ولا حارس على الباب
يصبح الأمر أحدّ بالنسبة للنطاقات التي تستقبل البريد فعلاً. 42.7% من النطاقات تقبل البريد (لديها سجلات MX) لكن دون أي مصادقة بريد إلكتروني فعّالة على الإطلاق — لا تنفيذ SPF، ولا DMARC. هذه نطاقات حيّة وقيد الاستخدام، يُرسل ويستقبل مالكوها كل يوم، وهي قابلة للانتحال بالكامل. وهذا النشاط بالضبط هو ما يجعلها أهدافاً جذابة لاحتيال الفواتير وعمليات الاحتيال على المورّدين.
لماذا أصبحت «لدينا SPF» هي الفخ
SPF أقدم وأبسط وأول ما تذكره معظم أدلة الإعداد — لذا فهو المربع الذي يُؤشَّر عليه. ظهر DMARC لاحقاً، ويبدو أكثر تقدماً، ويتطلب تدرّجاً مقصوداً نحو التنفيذ. والنتيجة شريحة هائلة تبنّت الخطوة الأولى ولم تخطُ الخطوة الثانية أبداً، ثم استمرت تعتقد أن المهمة أُنجِزت. يكشف التعداد حجم هذا الوهم لأول مرة: 32.4% لديها SPF ودون أي DMARC على الإطلاق.
كيف تصبح محمياً فعلاً
- احتفظ بسجل SPF، لكن لا تعتمد عليه وحده. (إصلاح SPF.)
- أضِف DKIM ليكون بريدك موقَّعاً. (إصلاح DKIM.)
- انشر DMARC وانقله إلى التنفيذ (
p=none←quarantine←reject). هذه هي الخطوة التي تُحوّل «مُهيّأ» إلى «محمي». (إصلاح DMARC.)
الأسئلة الشائعة
هل SPF كافٍ لإيقاف انتحال البريد الإلكتروني؟ لا. لا يحمي SPF عنوان «من» المرئي ولا يُخبر المستقبِلين برفض المزوَّرات — فقط سياسة DMARC مُنفِّذة تفعل ذلك. 45.7% من النطاقات لديها SPF دون ذلك التنفيذ.
لديّ سجل SPF — هل أنا محمي؟
ليس بمفرده. أنت محمي فقط عندما يكون SPF (ومن الأمثل DKIM) مدعوماً بـ DMARC مضبوط على quarantine أو reject. لا يبلغ ذلك سوى 3.87% من النطاقات.
ما حصة النطاقات التي لا يزال يمكن انتحالها؟ 89.4% — لأنها تفتقر إلى DMARC مُنفِّذ، بغض النظر عما إذا كانت تنشر SPF.
لماذا يُعدّ امتلاك بريد (MX) دون مصادقة محفوفاً بالمخاطر بوجه خاص؟ 42.7% من النطاقات تُرسل وتستقبل البريد بنشاط لكن دون مصادقة فعّالة — نطاقات حيّة وموثوقة يمكن لأي شخص تزويرها، وهو بالضبط ما يبحث عنه المحتالون.
تحقّق مما إذا كنت محمياً فعلاً
«لدينا SPF» ليست هي نفسها كونك محمياً. تحقّق من نطاقك مجاناً وبسرية — انظر ما إذا كان بإمكان تزوير بريدك بعد.
تحقّق من نطاقك ← · إصلاح DMARC ← · درجة تعرّض النطاق ← · p=none ليست حماية ← · بيانات مجمّعة فقط. تُخزَّن البيانات وتُعالَج في الاتحاد الأوروبي.