Defaults.Exposed

Defaults.Exposed › Rapporter

SPF er ikke nok: de 119 millioner domæner, der aldrig håndhæver

Udgivet 2026-07-03 · opdateret 2026-07-03

Tal pr. 2026-06-29 · metodologi v7. Folketællingsdata, der samler tjek pr. domæne på tværs af 261 millioner bedømte domæner. “Håndhævende” = en DMARC-politik på quarantine eller reject; “fuldt beskyttet” = både SPF og DKIM på plads plus håndhævende DMARC — den komplette e-mailautentificeringstriade. Alle tal er aggregerede — vi offentliggør aldrig en enkelt virksomheds bedømmelse.

Optællingen: hvor mange domæner læner sig alene op ad SPF

SPF alene er ikke nok til at stoppe e-mailefterligning — og folketællingen kan nu tælle, hvor mange domæner der læner sig op ad det alligevel: 119,212,005 (119 millioner) offentliggør SPF, men håndhæver aldrig DMARC. Det er 85.8% af hvert eneste domæne, der gad sætte SPF op. Ledsagerartiklen, SPF uden DMARC, forklarer mekanismen — hvorfor SPF ikke kan forsvare den “Fra”-adresse, en person faktisk ser; denne artikel måler populationen — hvor mange domæner det hul lader ligge eksponeret, og hvordan eksponeringen tager form.

Den korte version: at sætte SPF op er den mest almindelige handling inden for e-mailsikkerhed på internettet, og for det overvældende flertal af de domæner, der gjorde det, er det også den sidste.

De tre populationer

139 millioner domæner — 138,911,937 af dem — offentliggør en SPF-post. Opdelt efter, hvad der står bag den:

PopulationDomænerAndel af SPF-udgivere
SPF offentliggjort, slet ingen DMARC-post84,638,43060.9%
SPF offentliggjort, DMARC til stede, men aldrig håndhævet (supersæt, inkluderer rækken ovenfor)119,212,00585.8%
SPF + DKIM, understøttet af håndhævende DMARC10,092,481

Rækkerne summerer ikke til SPF-totalen: resten er SPF-udgivere, hvis DMARC faktisk håndhæver, men hvis DKIM ikke er fuldt på plads — håndhævende, men uden den komplette triade, den nederste række tæller.

Den midterste række er overskriften: cirka 119 millioner domæner gjorde arbejdet med at erklære deres legitime afsendere og fortalte så aldrig verdens indbakker, at de skulle handle på det. Og den nederste række er pointen: på tværs af alle 261 millioner bedømte domæner er blot 3.87% — omkring 10 millioner — fuldt e-mailbeskyttede. Fuld beskyttelse er ikke en høj barre teknisk set; det er simpelthen målstregen på en rejse, som 119 millioner domæner påbegyndte og stoppede.

Hvorfor optællingen er så skæv

SPF er der, hvor enhver opsætningsguide begynder, hvor de fleste mailudbyderes onboarding slutter, og hvad de fleste compliance-tjeklister faktisk tester. Det producerer et synligt artefakt — en TXT-post — og et grønt flueben i det værktøj, der tjekkede det. Håndhævet DMARC giver den modsatte oplevelse: det kræver en progression (offentliggør, observér, identificér afsendere, håndhæv så), og belønningen er usynlig — forfalsket post, der stille og roligt holder op med at lande.

Så internettet optimerede efter fluebenet. Folketællingen viser, hvordan det ser ud i stor skala: 85 millioner domæner (84,638,430) har SPF og ingen DMARC-post af nogen art — ikke engang en p=none-pladsholder. Disse ejere er ikke dovne; de fulgte de instruktioner, de fik, og instruktionerne stoppede for tidligt.

Hvad “dækket” faktisk betyder her

Konsekvens, ikke frygt: et domæne med SPF og ingen håndhævende DMARC kan stadig efterlignes det ene sted, mennesker kigger — den synlige “Fra”-linje. SPF lader modtagende servere verificere, hvilke maskiner der må sende på konvolut-domænets vegne, men uden DMARC er der intet krav om, at den synlige afsender matcher noget, SPF tjekkede, og ingen instruktion om at afvise post, der fejler. Den forfalskede faktura, den falske nulstilling af adgangskode, omdirigeringen af leverandørbetalingen — alt forbliver leverbart til dine kunder og leverandører i dit navn, SPF-post eller ej.

I de seks stadier af DMARC-modenhed sidder disse 119 millioner domæner fast i stadie 1-3 — gulvet er bygget, eller delvist bygget, og døren blev aldrig monteret. Afstanden derfra til beskyttet er velkendt og for det meste proceduremæssig; hvad denne folketælling tilføjer, er den viden, at næsten ingen går den.

Hvis dit domæne er et af de 119 millioner

  1. Behold SPF — det er en forudsætning, ikke en fejl. (Fiks SPF →.)
  2. Tilføj DKIM, så din post er signeret såvel som kildesikret. (Fiks DKIM →.)
  3. Offentliggør DMARC med rapportering, og håndhæv såp=none med rua= først, identificér hver eneste legitime afsender, og gå så til quarantine og reject. Dette er trinnet, der forvandler “konfigureret” til “beskyttet”. (Fiks DMARC →.)

Ofte stillede spørgsmål

Er SPF nok til at beskytte et domæne mod spoofing? Nej. SPF validerer afsendende servere mod konvolutdomænet; det tjekker hverken den synlige “Fra”-adresse eller beder modtagere om at afvise fejl. Kun en håndhævende DMARC-politik gør begge dele — og 119,212,005 domæner offentliggør SPF uden en.

Hvor mange domæner har SPF, men slet ingen DMARC? 84,638,430 — 60.9% af alle SPF-udgivere har ingen DMARC-post af nogen art, ikke engang overvågningstilstand.

Hvor mange domæner er fuldt beskyttede? 10,092,481 — 3.87% af de 261 millioner bedømte domæner kombinerer SPF og DKIM med en DMARC-politik på quarantine eller reject.

Hjælper det i det mindste at have SPF? Ja — det er fundamentet, DMARC evaluerer op imod, og det forbedrer leverbarheden af din legitime post. Det beskytter bare ikke noget i sig selv; det er trin et af tre, og folketællingen viser, at det meste af internettet behandlede det som hele trappen.

Tjek, hvilken population dit domæne er i

“Vi satte SPF op” beskriver 139 millioner domæner; “vi er beskyttede” beskriver 10 millioner. At finde ud af, hvilken du er, tager et minut, privat og gratis — se, hvilke af de 34 tjek du består, og hvordan du fikser dem, du ikke gør.

Tjek dit domæne → · De 6 stadier af DMARC-modenhed → · DMARC-søjlen → · Kun aggregerede data. Data lagres og behandles i EU.