Defaults.Exposed

Defaults.Exposed › Rapporter

SPF-modenhedsmodellen (SPFAMM): De 6 stadier af SPF (2026)

Udgivet 2026-07-03

Tal pr. 2026-06-29 · metodologi v7. En referencemodel understøttet af en tilbagevendende folketælling af 261 millioner graderede domæner; hver udgave gennemmåler den samme population, så tallene kan følges over tid. Alle tal er aggregerede — vi offentliggør aldrig en enkelt virksomheds record.

Hvilket stadie befinder internettet sig på?

Stadie 2.4 af 6. Målt på tværs af 261 millioner domæner har det gennemsnitlige domæne endnu ikke nået et fungerende SPF-hegn — og internettet som helhed scorer 29 ud af 100 på SPF-styrke. At offentliggøre SPF er den mest almindelige handling inden for e-mailsikkerhed, der findes (53.21% af domænerne gør det), men de fleste af disse records stopper ved en indstilling, der beder modtagere om at levere forfalskninger alligevel.

Problemet er ikke udbredelsen — det er, at det meste modenhedsvejledning stopper ved “vi har offentliggjort SPF”, som om selve recorden var bedriften. En SPF-record kan autorisere hele internettet, udtrykke ingen holdning, stille og roligt annullere sig selv eller sidde fast i softfail for evigt, fordi det at stramme den betyder arbejde, som ingen har planlagt. En brugbar model navngiver hver af disse tilstande. Det gør denne: SPF-modenhedsmodellen — SPFAMM, seks stadier, ét skridt hvert, og et navn, du kan citere. Den er SPF-modstykket til de seks stadier af DMARC-modenhed.

Hvad er de seks stadier af SPF-modenhed?

Hvert eneste af de 261 millioner graderede domæner sidder på præcis ét af stadierne 1–5, og disse fem populationer summerer nøjagtigt til folketællingens total; stadie 6 er den hærdede delmængde, der tælles inden for stadie 5. Det er det, der gør SPFAMM til en måling snarere end en plakat.

StadieNavnDomænerAndel
1Ubeskyttet121,145,60946.4%
2Tilladende eller ødelagt7,798,3663.0%
3Blødt indhegnet70,368,60027.0%
4Streng42,514,53216.3%
5Justeret19,259,1257.4%
6Hærdet10,092,4813.87%

(Stadie 6 er den hærdede delmængde af stadie 5’s justerede domæner, så stadierne 1–5 opdeler folketællingen, og stadie 6 sidder inden i stadie 5.)

Stadie 1 — Ubeskyttet. Ingen v=spf1-record. Ingen modtager tjekker noget; at forfalske domænet på SPF-benet er let. Skridtet: offentliggør en v=spf1-record, der oplister dine rigtige afsendere, og som ender med en fail-kvalifikator.

Stadie 2 — Tilladende eller ødelagt. En record findes, men beskytter intet. Dette stadie samler de tandløse afslutninger — ?all neutral (3.0% af publisherne) og +all-velkomstmåtten — sammen med de ødelagte records: flere v=spf1-records, som standarden annullerer fuldstændigt, og fragmentariske records uden nogen brugbar afslutning. Én undtagelse: omkring 2.1 millioner records ender med redirect=, hvilket er gyldig delegering — deres reelle policy bor hos målet, og vi tæller dem kun her, fordi deres egen record ikke bærer nogen dom. Skridtet: én record, én rigtig afslutning — ~all eller -all.

Stadie 3 — Blødt indhegnet. Recorden ender med ~all (softfail) uden noget, der håndhæver bag den — 70.4 millioner domæner, den største population af nogen stadie med offentliggjort SPF. Softfail er et rigtigt hegn med en ulåst låge: den fortæller modtagere “post fra andre steder er sandsynligvis forfalsket” og beder dem om at levere den alligevel. Skridtet: klatr over muren — gør rede for hver afsender, og tag så en af de to veje op (nedenfor).

Stadie 4 — Streng. Recorden ender med -all: 42.5 millioner domæner offentliggør et direkte “afvis alle andre”, men uden DMARC-håndhævelse bag sig endnu. Ét ærligt forbehold, som vores egen måling nu kvantificerer: en -all-record, der overskrider grænsen på 10 opslag, er ugyldig, uanset hvor streng den ser ud — mindst 112,215 af internettets -all-records er i den tilstand. Skridtet: sæt en håndhævende DMARC-policy bag recorden, så der handles på fejl overalt.

Stadie 5 — Justeret. SPF — blød eller streng — sidder bag DMARC p=quarantine eller p=reject. Dette er det stadie, hvor spoofing af dit præcise domæne faktisk stopper hos hver større mailboksudbyder: 19.3 millioner domæner, hvoraf 7.1 millioner parrer ~all med håndhævelse (mønstret, som Googles afsenderretningslinjer anbefaler), og 12.1 millioner parrer -all med det. Skridtet: tilføj DKIM og bliv ved med at holde øje — records rådner.

Stadie 6 — Hærdet. SPF plus DKIM plus håndhævende DMARC — det fuldt beskyttede sæt, 10,092,481 domæner, 3.87% af internettet — plus disciplinen ved at overvåge for afdrift: include:-kæder ændrer sig, udbydere flytter IP-adresser, nogen tilslutter et nyt værktøj, der sender som dig. Skridtet: bliv her. Det er en praksis, ikke et emblem.

Ingen-post-banen. Et domæne, der ikke sender post, kan springe til toppen i én redigering: SPF -all plus DMARC p=reject. Intet legitimt at beskytte betyder ingen mur at klatre over — og det lukker en af de mest almindelige impersoneringsvektorer, der findes.

Hvorfor er stadie 3, hvor internettet går i stå?

Fordi næsten hvert andet skridt er en lille DNS-redigering, og skridtet ud af stadie 3 er arbejde: at optælle hvert system, der legitimt sender som dig — mailboksudbyder, nyhedsbrevsplatform, CRM, faktureringsværktøj, den ting, marketing tilmeldte sig sidste forår — og få dem til at passe ind i én record uden at sprænge budgettet på 10 opslag. Det er muren. ~all er det sidste trin, man kan nå uden at gøre det, hvilket er grunden til, at 70.4 millioner domæner hviler dér.

Fra toppen af muren er der to veje op, og begge ankommer til stadie 5:

Folketællingen viser, hvor sjældent nogen af vejene bliver færdiggjort: af de 77.5 millioner softfail-records har kun 7.1 millioner — omkring 1 ud af 11 — håndhævelse bag sig.

Hvordan beregnes SPF-styrkescoren?

Enkelt, og vi holder vægtene konstante, så scoren er sammenlignelig fra måned til måned: fuld kredit for domæner, hvor noget håndhæver (stadie 5–6), halv kredit for et rigtigt hegn, som ingen handler på (stadie 3–4), intet for fraværende, tilladende eller ødelagte records. På den skala scorer internettet 29/100 pr. 2026-06-29. Næsten halvdelen af populationen bidrager med nul, fordi den slet ikke offentliggør noget.

Hvordan finder jeg mit domænes stadie?

Stadie 1–4 kan aflæses direkte fra din DNS-record; stadie 5 tilføjer din DMARC-policy; stadie 6 tilføjer DKIM. Det ene, et blik ikke kan fortælle dig, er, om en streng record i hemmelighed er over opslagsgrænsen — det kræver, at kæden opløses, hvilket vores checker gør for dig.

Ofte stillede spørgsmål

Hvad er SPFAMM? SPF-modenhedsmodellen — den seksstadiers model på denne side: Ubeskyttet, Tilladende/ødelagt, Blødt indhegnet, Streng, Justeret, Hærdet. Hvert domænes stadie kan beregnes ud fra dets DNS: stadie 1–5 opdeler folketællingen på 261 millioner domæner nøjagtigt, og stadie 6 er den hærdede delmængde inden for stadie 5.

Hvilket stadie befinder de fleste domæner sig på? Stadie 1 — 46.4% af domænerne offentliggør slet ingen SPF. Blandt domæner, der offentliggør, er stadie 3 (softfail uden håndhævelse) det mest almindelige hvilested, med 70.4 millioner domæner. Det populationsvægtede gennemsnit er stadie 2.4.

Er ~all softfail godt nok? Kun med en håndhævende DMARC-policy bag sig — den parring er stadie 5 og mønstret, som Googles afsenderretningslinjer anbefaler. Alene er det stadie 3: rigtigt hegn, ulåst låge. Den fulde sammenligning findes i ~all vs -all.

Skal jeg nå -all for at være sikker? Nej. Stadie 4 er en af to veje, ikke et krav — at beholde ~all og håndhæve med DMARC p=reject ankommer til den samme beskyttelse hos DMARC-evaluerende modtagere. Det, der kræves, er muren: at kende hver afsender, før noget håndhæver.

Hvor mange domæner gennemfører alle seks stadier? 10,092,481 — 3.87% af internettet — har SPF, DKIM og en håndhævende DMARC-policy samlet. Hvert stadieskift er gratis; detaljerne findes i de få beskyttede.

Tjek, hvor dit domæne står

Dit domæne er på præcis ét af disse seks stadier, og det næste skridt er til at kende på 30 sekunder — gratis, og hver rettelse op ad stigen er en DNS-ændring, ikke et køb.

Tjek dit domæne → · Ret SPF → · ~all vs -all · SPF PermError-rapporten → · De 6 stadier af DMARC-modenhed → · Kun aggregerede data. Data lagres og behandles i EU.