Defaults.Exposed

Defaults.Exposed › Доклади

Моделът за зрялост на приемане на SPF (SPFAMM): 6-те етапа на SPF (2026)

Публикувано 2026-07-03

Данни към 2026-06-29 · методология v7. Референтен модел, подкрепен от повтарящо се преброяване на 261 милиона оценени домейна; всяко издание измерва отново същото население, така че числата могат да се проследяват с времето. Всички цифри са агрегирани — никога не публикуваме записа на отделен бизнес.

На какъв етап е интернет?

Етап 2.4 от 6. Измерено при 261 милиона домейна, средният домейн все още не е достигнал работеща SPF ограда — а интернет като цяло получава 29 от 100 по сила на SPF. Публикуването на SPF е най-честото действие за сигурност на имейл (53.21% от домейните го правят), но повечето от тези записи спират при настройка, която все пак иска от получателите да доставят фалшификациите.

Проблемът не е в приемането — той е в това, че повечето насоки за зрялост спират при „публикувахме SPF”, сякаш самият запис е постижението. SPF записът може да упълномощи целия интернет, да не изразява мнение, тихо да се самоанулира или да стои на softfail завинаги, защото затягането му означава работа, която никой не е планирал. Полезен модел назовава всяко едно от тези състояния. Този го прави: Моделът за зрялост на приемане на SPF — SPFAMM, шест етапа, по един ход всеки, и наименование, което може да се цитира. Той е SPF спътникът на шестте етапа на зрялост на DMARC.

Какви са шестте етапа на зрялост на SPF?

Всеки от 261 милиона оценени домейна е точно на един от етапи 1–5, и тези пет популации сумират точно до общия брой на преброяването; етап 6 е закаленото подмножество, преброено в рамките на етап 5. Това е, което прави SPFAMM измерване, а не плакат.

ЕтапНаименованиеДомейниДял
1Незащитен121,145,60946.4%
2Разрешителен или счупен7,798,3663.0%
3С мека ограда70,368,60027.0%
4Строг42,514,53216.3%
5Съгласуван19,259,1257.4%
6Закален10,092,4813.87%

(Етап 6 е закаленото подмножество на съгласуваните домейни от Етап 5, така че етапи 1–5 разделят преброяването и етап 6 е вътре в етап 5.)

Етап 1 — Незащитен. Без запис v=spf1. Нито един получател не проверява нищо; фалшифицирането на домейна при SPF крака е лесно. Ходът: публикувайте запис v=spf1, изброяващ реалните ви изпращачи, завършващ с квалификатор за отказ.

Етап 2 — Разрешителен или счупен. Записът съществува, но не защитава нищо. Този етап събира безубодните завършеци — ?all неутрален (3.0% от публикуващите) и добре дошлата изтривалка +all — заедно с счупените записи: множество записи v=spf1, които стандартът анулира изцяло, и фрагментарни записи без използваем завършек. Едно изключение: около 2.1 милиона записа завършват с redirect=, което е валидно делегиране — реалната им политика е на целта, и ги броим тук само защото собственият им запис не носи присъда. Ходът: един запис, един реален завършек — ~all или -all.

Етап 3 — С мека ограда. Записът завършва с ~all (softfail) без нищо зад него да принуждава — 70.4 милиона домейна, най-голямото население на всеки етап с публикуван SPF. Softfail е реална ограда с отключена порта: казва на получателите „пощата от другаде е вероятно фалшива” и все пак ги моли да я доставят. Ходът: покатерете се на стената — отчетете всеки изпращач, след което поемете по един от двата пътя нагоре (по-долу).

Етап 4 — Строг. Записът завършва с -all: 42.5 милиона домейна, публикуващи категорично „откажи всички останали”, без DMARC принудително прилагане зад него. Едно честно предупреждение, което нашето собствено измерване вече квантифицира: запис -all, надвишаващ 10-търсачния лимит, е невалиден независимо колко строго изглежда — поне 112,215 от записите -all в интернет са в това състояние. Ходът: поставете принудително прилагана DMARC политика зад записа, така че неуспехите да се действат навсякъде.

Етап 5 — Съгласуван. SPF — мек или строг — е зад DMARC p=quarantine или p=reject. Това е етапът, където подправянето на точния ви домейн реално спира при всеки основен доставчик на пощенски кутии: 19.3 милиона домейна, от които 7.1 милиона сдвояват ~all с принудително прилагане (моделът, препоръчван от насоките на изпращачите на Google) и 12.1 милиона сдвояват -all с него. Ходът: добавете DKIM и продължавайте да следите — записите се влошават.

Етап 6 — Закален. SPF плюс DKIM плюс принудително прилаган DMARC — напълно защитеният набор, 10,092,481 домейна, 3.87% от интернет — плюс дисциплината да наблюдавате за дрейф: include: веригите се променят, доставчиците местят IP адреси, някой свързва нов инструмент, изпращащ като вас. Ходът: останете тук. Това е практика, не значка.

Лентата без поща. Домейн, изпращащ без поща, може да скочи до върха с едно редактиране: SPF -all плюс DMARC p=reject. Няма нищо легитимно за защита означава, че няма стена за катерене — и затваря един от най-честите вектори на имитация.

Защо Етап 3 е там, където интернетът забива?

Защото почти всеки друг ход е малка DNS редакция, а ходът от Етап 3 е работа: изброяване на всяка система, легитимно изпращаща като вас — доставчик на пощенски кутии, платформа за бюлетини, CRM, инструмент за фактуриране, нещото, което маркетингът е регистрирал миналата пролет — и поставянето им в един запис без надвишаване на бюджета от 10 търсания. Това е стената. ~all е последното стъпало, достижимо без да се прави, затова 70.4 милиона домейна почиват там.

От върха на стената има два пътя нагоре, и двата пристигат в Етап 5:

Преброяването показва колко рядко и двата пътя се завършват: от 77.5 милиона softfail записи, само 7.1 милиона — около 1 на 11 — имат принудително прилагане зад тях.

Как се изчислява SPF Strength Score?

Просто, и поддържаме теглата константни, за да е резултатът сравним от месец на месец: пълен кредит за домейни, при които нещо принуждава (етапи 5–6), половин кредит за реална ограда, при която никой не действа (етапи 3–4), нищо за липсващи, разрешителни или счупени записи. По тази скала интернет получава 29/100 към 2026-06-29. Почти половината от населението допринася с нула, защото изобщо не публикува нищо.

Как да намеря етапа на своя домейн?

Етапи 1–4 са четими директно от вашия DNS запис; етап 5 добавя DMARC политиката ви; етап 6 добавя DKIM. Единственото нещо, което бегъл поглед не може да ви каже, е дали строг запис тайно е над лимита на търсанията — това изисква разрешаване на веригата, което нашата проверка прави вместо вас.

Често задавани въпроси

Какво е SPFAMM? Моделът за зрялост на приемане на SPF — шестстепенният модел на тази страница: Незащитен, Разрешителен/счупен, С мека ограда, Строг, Съгласуван, Закален. Етапът на всеки домейн е изчислим от DNS: етапи 1–5 разделят точно преброяването от 261 милиона домейна, а етап 6 е закаленото подмножество в рамките на етап 5.

На какъв етап са повечето домейни? Етап 1 — 46.4% от домейните изобщо не публикуват SPF. Сред домейните, които публикуват, Етап 3 (softfail без принудително прилагане) е най-честото място за почивка, с 70.4 милиона домейна. Средното, претеглено по население, е етап 2.4.

Достатъчно ли е ~all softfail? Само с принудително прилагана DMARC политика зад него — тази двойка е Етап 5 и моделът, препоръчван от насоките на изпращачите на Google. Само по себе си е Етап 3: реална ограда, отключена порта. Пълното сравнение е в ~all срещу -all.

Трябва ли да достигна -all, за да бъда в безопасност? Не. Етап 4 е един от двата пътя, не изискване — запазването на ~all и принудителното прилагане с DMARC p=reject постига същата защита при получателите, оценяващи DMARC. Необходима е стената: познаването на всеки изпращач преди принудителното прилагане.

Колко домейна завършват всичките шест етапа? 10,092,481 — 3.87% от интернет — притежават SPF, DKIM и принудително прилагана DMARC политика заедно. Всеки преход между етапи е безплатен; подробностите са в напълно защитените малцина.

Проверете на кой етап е вашият домейн

Вашият домейн е точно на един от тези шест етапа, и следващият ход е познаваем за 30 секунди — безплатно, и всяка поправка по стълбата е DNS промяна, не покупка.

Проверете своя домейн → · Поправете SPF → · ~all срещу -all · Докладът за SPF PermError → · 6-те етапа на зрялост на DMARC → · Само агрегирани данни. Данните се съхраняват и обработват в ЕС.