Defaults.Exposed

Defaults.Exposed › گزارش‌ها

SPF کافی نیست: آن 119 میلیون دامنه‌ای که هرگز اعمال نمی‌کنند

منتشرشده 2026-07-03 · به‌روزرسانی‌شده 2026-07-03

ارقام به تاریخ 2026-06-29 · روش‌شناسی نسخه ۷. داده‌های سرشماری که بررسی‌ها را برای هر دامنه در سراسر 261 میلیون دامنه‌ی درجه‌بندی‌شده به هم پیوند می‌دهد. «اعمال‌کننده» = سیاست DMARC از نوع quarantine یا reject؛ «کاملاً محافظت‌شده» = هم SPF و هم DKIM برقرار باشند، به‌علاوه‌ی DMARC اعمال‌کننده — سه‌گانه‌ی کامل احراز هویت ایمیل. همه‌ی ارقام تجمیعی هستند — ما هرگز درجه‌ی یک کسب‌وکار منفرد را منتشر نمی‌کنیم.

شمارش: چند دامنه تنها به SPF متکی هستند

SPF به‌تنهایی برای متوقف کردن جعل هویت ایمیل کافی نیست — و سرشماری اکنون می‌تواند بشمارد که چند دامنه با این حال به آن متکی هستند: 119,212,005 دامنه (119 میلیون) SPF منتشر می‌کنند اما هرگز DMARC را اعمال نمی‌کنند. این یعنی 85.8٪ از هر دامنه‌ای که زحمت راه‌اندازی SPF را به خود داد. مقاله‌ی همراه آن، SPF بدون DMARC، سازوکار را توضیح می‌دهد — اینکه چرا SPF نمی‌تواند از نشانی «From» که یک شخص واقعاً می‌بیند دفاع کند؛ این مقاله جمعیت را اندازه می‌گیرد — اینکه این شکاف چند دامنه را در معرض آسیب می‌گذارد، و شکل این آسیب‌پذیری چیست.

خلاصه‌ی مطلب: راه‌اندازی SPF رایج‌ترین اقدام امنیت ایمیل در اینترنت است، و برای اکثریت قاطع دامنه‌هایی که این کار را انجام دادند، آخرین اقدام نیز هست.

سه جمعیت

139 میلیون دامنه — 138,911,937 دامنه از آن‌ها — یک رکورد SPF منتشر می‌کنند. تفکیک بر اساس آنچه پشت آن قرار دارد:

جمعیتدامنه‌هاسهم از منتشرکنندگان SPF
SPF منتشرشده، بدون هیچ رکورد DMARC84,638,43060.9٪
SPF منتشرشده، DMARC موجود اما هرگز اعمال‌نشده (اَبَرمجموعه، شامل ردیف بالا)119,212,00585.8٪
SPF + DKIM، پشتیبانی‌شده با DMARC اعمال‌کننده10,092,481

ردیف‌ها با مجموع کل SPF جمع نمی‌شوند: باقی‌مانده منتشرکنندگان SPF هستند که DMARC آن‌ها اعمال می‌شود اما DKIM آن‌ها به‌طور کامل برقرار نیست — اعمال‌کننده، اما هنوز کوتاه‌تر از سه‌گانه‌ی کاملی که ردیف پایین می‌شمارد.

ردیف میانی تیتر اصلی است: تقریباً 119 میلیون دامنه زحمت اعلام فرستندگان مشروع خود را کشیدند و سپس هرگز به صندوق‌های ورودی جهان نگفتند که بر اساس آن عمل کنند. و ردیف پایین نکته‌ی پایانی است: در سراسر همه‌ی 261 میلیون دامنه‌ی درجه‌بندی‌شده، تنها 3.87٪ — حدود 10 میلیون — به‌طور کامل از نظر ایمیل محافظت می‌شوند. محافظت کامل از نظر فنی معیار سختی نیست؛ صرفاً پایان سفری است که 119 میلیون دامنه آغاز کردند و متوقف شدند.

چرا این شمارش این‌قدر نامتوازن است

SPF جایی است که هر راهنمای راه‌اندازی از آن آغاز می‌شود، جایی که فرایند شروع کار اکثر ارائه‌دهندگان ایمیل به پایان می‌رسد، و چیزی است که اکثر فهرست‌های بازبینی انطباق واقعاً آن را آزمایش می‌کنند. یک اثر قابل مشاهده تولید می‌کند — یک رکورد TXT — و یک تیک سبز در هر ابزاری که آن را بررسی کرده است. DMARC اعمال‌شده تجربه‌ی مخالفی تولید می‌کند: یک پیشرفت را می‌طلبد (انتشار، مشاهده، شناسایی فرستندگان، سپس اعمال)، و پاداش آن نامرئی است — ایمیل جعلی‌ای که بی‌سروصدا از رسیدن بازمی‌ماند.

پس اینترنت برای آن تیک بهینه شد. سرشماری نشان می‌دهد که این در مقیاس چگونه به نظر می‌رسد: 85 میلیون دامنه (84,638,430) دارای SPF هستند و هیچ رکورد DMARC از هیچ نوعی ندارند — حتی یک جانگهدار p=none. این مالکان تنبل نیستند؛ آن‌ها دستورالعمل‌هایی را که به آن‌ها داده شده بود دنبال کردند، و دستورالعمل‌ها زودهنگام متوقف شدند.

«پوشش‌داده‌شده» در اینجا واقعاً به چه معناست

پیامد، نه ترس: یک دامنه با SPF و بدون DMARC اعمال‌کننده همچنان می‌تواند در همان جایی که انسان‌ها نگاه می‌کنند جعل هویت شود — خط قابل مشاهده‌ی «From». SPF به سرورهای گیرنده اجازه می‌دهد تأیید کنند که کدام ماشین‌ها می‌توانند از طرف دامنه‌ی envelope ارسال کنند، اما بدون DMARC هیچ الزامی وجود ندارد که فرستنده‌ی قابل مشاهده با هرآنچه SPF بررسی کرده مطابقت داشته باشد، و هیچ دستوری برای رد کردن ایمیلی که ناموفق است وجود ندارد. فاکتور جعلی، بازنشانی جعلی رمز عبور، تغییر مسیر پرداختِ تأمین‌کننده — همه همچنان به مشتریان و تأمین‌کنندگان شما به نام شما قابل تحویل باقی می‌مانند، علی‌رغم وجود رکورد SPF.

در شش مرحله‌ی بلوغ DMARC، این 119 میلیون دامنه در مراحل ۱ تا ۳ گیر کرده‌اند — کف ساخته شده، یا نیمه‌ساخته است، و در هرگز نصب نشد. فاصله‌ی آنجا تا محافظت‌شده به‌خوبی درک شده و عمدتاً رویه‌ای است؛ چیزی که این سرشماری می‌افزاید این آگاهی است که تقریباً هیچ‌کس آن را طی نمی‌کند.

اگر دامنه‌ی شما یکی از آن 119 میلیون است

  1. SPF را نگه دارید — آن یک پیش‌نیاز است، نه یک اشتباه. (SPF را اصلاح کنید ←.)
  2. DKIM را اضافه کنید تا ایمیل شما علاوه بر منبع‌داشتن، امضا هم شود. (DKIM را اصلاح کنید ←.)
  3. DMARC را با گزارش‌دهی منتشر کنید، سپس اعمال کنید — ابتدا p=none با rua=، هر فرستنده‌ی مشروع را شناسایی کنید، سپس به quarantine و reject بروید. این همان گامی است که «پیکربندی‌شده» را به «محافظت‌شده» تبدیل می‌کند. (DMARC را اصلاح کنید ←.)

پرسش‌های پرتکرار

آیا SPF برای محافظت از یک دامنه در برابر جعل کافی است؟ نه. SPF سرورهای ارسال‌کننده را در برابر دامنه‌ی envelope اعتبارسنجی می‌کند؛ نه نشانی قابل مشاهده‌ی «From» را بررسی می‌کند و نه به گیرندگان می‌گوید که ناموفق‌ها را رد کنند. تنها یک سیاست DMARC اعمال‌کننده هر دو را انجام می‌دهد — و 119,212,005 دامنه بدون آن SPF منتشر می‌کنند.

چند دامنه SPF دارند اما اصلاً DMARC ندارند؟ 84,638,430 — یعنی 60.9٪ از همه‌ی منتشرکنندگان SPF هیچ رکورد DMARC از هیچ نوعی ندارند، حتی حالت پایش را.

چند دامنه به‌طور کامل محافظت می‌شوند؟ 10,092,481 — یعنی 3.87٪ از 261 میلیون دامنه‌ی درجه‌بندی‌شده SPF و DKIM را با یک سیاست DMARC از نوع quarantine یا reject ترکیب می‌کنند.

آیا داشتن SPF دست‌کم کمک می‌کند؟ بله — آن پایه‌ای است که DMARC بر اساس آن ارزیابی می‌کند، و قابلیت تحویل ایمیل مشروع شما را بهبود می‌بخشد. فقط به‌تنهایی از هیچ چیز محافظت نمی‌کند؛ آن گام یکِ از سه است، و سرشماری نشان می‌دهد که اکثر اینترنت آن را همچون کل پلکان تلقی کرد.

بررسی کنید دامنه‌ی شما در کدام جمعیت است

«ما SPF را راه‌اندازی کردیم» 139 میلیون دامنه را توصیف می‌کند؛ «ما محافظت می‌شویم» 10 میلیون را توصیف می‌کند. پی بردن به اینکه شما کدام‌یک هستید یک دقیقه طول می‌کشد، محرمانه و رایگان — ببینید کدام‌یک از ۳۴ بررسی را قبول می‌شوید و چگونه آن‌هایی را که رد می‌شوید اصلاح کنید.

دامنه‌ی خود را بررسی کنید ← · شش مرحله‌ی بلوغ DMARC ← · ستون DMARC ← · فقط داده‌های تجمیعی. داده‌ها در اتحادیه‌ی اروپا ذخیره و پردازش می‌شوند.