Defaults.Exposed › گزارشها
SPF کافی نیست: آن 119 میلیون دامنهای که هرگز اعمال نمیکنند
منتشرشده 2026-07-03 · بهروزرسانیشده 2026-07-03
ارقام به تاریخ 2026-06-29 · روششناسی نسخه ۷. دادههای سرشماری که بررسیها را برای هر دامنه در سراسر 261 میلیون دامنهی درجهبندیشده به هم پیوند میدهد. «اعمالکننده» = سیاست DMARC از نوع
quarantineیاreject؛ «کاملاً محافظتشده» = هم SPF و هم DKIM برقرار باشند، بهعلاوهی DMARC اعمالکننده — سهگانهی کامل احراز هویت ایمیل. همهی ارقام تجمیعی هستند — ما هرگز درجهی یک کسبوکار منفرد را منتشر نمیکنیم.
شمارش: چند دامنه تنها به SPF متکی هستند
SPF بهتنهایی برای متوقف کردن جعل هویت ایمیل کافی نیست — و سرشماری اکنون میتواند بشمارد که چند دامنه با این حال به آن متکی هستند: 119,212,005 دامنه (119 میلیون) SPF منتشر میکنند اما هرگز DMARC را اعمال نمیکنند. این یعنی 85.8٪ از هر دامنهای که زحمت راهاندازی SPF را به خود داد. مقالهی همراه آن، SPF بدون DMARC، سازوکار را توضیح میدهد — اینکه چرا SPF نمیتواند از نشانی «From» که یک شخص واقعاً میبیند دفاع کند؛ این مقاله جمعیت را اندازه میگیرد — اینکه این شکاف چند دامنه را در معرض آسیب میگذارد، و شکل این آسیبپذیری چیست.
خلاصهی مطلب: راهاندازی SPF رایجترین اقدام امنیت ایمیل در اینترنت است، و برای اکثریت قاطع دامنههایی که این کار را انجام دادند، آخرین اقدام نیز هست.
سه جمعیت
139 میلیون دامنه — 138,911,937 دامنه از آنها — یک رکورد SPF منتشر میکنند. تفکیک بر اساس آنچه پشت آن قرار دارد:
| جمعیت | دامنهها | سهم از منتشرکنندگان SPF |
|---|---|---|
| SPF منتشرشده، بدون هیچ رکورد DMARC | 84,638,430 | 60.9٪ |
| SPF منتشرشده، DMARC موجود اما هرگز اعمالنشده (اَبَرمجموعه، شامل ردیف بالا) | 119,212,005 | 85.8٪ |
| SPF + DKIM، پشتیبانیشده با DMARC اعمالکننده | 10,092,481 | — |
ردیفها با مجموع کل SPF جمع نمیشوند: باقیمانده منتشرکنندگان SPF هستند که DMARC آنها اعمال میشود اما DKIM آنها بهطور کامل برقرار نیست — اعمالکننده، اما هنوز کوتاهتر از سهگانهی کاملی که ردیف پایین میشمارد.
ردیف میانی تیتر اصلی است: تقریباً 119 میلیون دامنه زحمت اعلام فرستندگان مشروع خود را کشیدند و سپس هرگز به صندوقهای ورودی جهان نگفتند که بر اساس آن عمل کنند. و ردیف پایین نکتهی پایانی است: در سراسر همهی 261 میلیون دامنهی درجهبندیشده، تنها 3.87٪ — حدود 10 میلیون — بهطور کامل از نظر ایمیل محافظت میشوند. محافظت کامل از نظر فنی معیار سختی نیست؛ صرفاً پایان سفری است که 119 میلیون دامنه آغاز کردند و متوقف شدند.
چرا این شمارش اینقدر نامتوازن است
SPF جایی است که هر راهنمای راهاندازی از آن آغاز میشود، جایی که فرایند شروع کار اکثر ارائهدهندگان ایمیل به پایان میرسد، و چیزی است که اکثر فهرستهای بازبینی انطباق واقعاً آن را آزمایش میکنند. یک اثر قابل مشاهده تولید میکند — یک رکورد TXT — و یک تیک سبز در هر ابزاری که آن را بررسی کرده است. DMARC اعمالشده تجربهی مخالفی تولید میکند: یک پیشرفت را میطلبد (انتشار، مشاهده، شناسایی فرستندگان، سپس اعمال)، و پاداش آن نامرئی است — ایمیل جعلیای که بیسروصدا از رسیدن بازمیماند.
پس اینترنت برای آن تیک بهینه شد. سرشماری نشان میدهد که این در مقیاس چگونه به نظر میرسد: 85 میلیون دامنه (84,638,430) دارای SPF هستند و هیچ رکورد DMARC از هیچ نوعی ندارند — حتی یک جانگهدار p=none. این مالکان تنبل نیستند؛ آنها دستورالعملهایی را که به آنها داده شده بود دنبال کردند، و دستورالعملها زودهنگام متوقف شدند.
«پوششدادهشده» در اینجا واقعاً به چه معناست
پیامد، نه ترس: یک دامنه با SPF و بدون DMARC اعمالکننده همچنان میتواند در همان جایی که انسانها نگاه میکنند جعل هویت شود — خط قابل مشاهدهی «From». SPF به سرورهای گیرنده اجازه میدهد تأیید کنند که کدام ماشینها میتوانند از طرف دامنهی envelope ارسال کنند، اما بدون DMARC هیچ الزامی وجود ندارد که فرستندهی قابل مشاهده با هرآنچه SPF بررسی کرده مطابقت داشته باشد، و هیچ دستوری برای رد کردن ایمیلی که ناموفق است وجود ندارد. فاکتور جعلی، بازنشانی جعلی رمز عبور، تغییر مسیر پرداختِ تأمینکننده — همه همچنان به مشتریان و تأمینکنندگان شما به نام شما قابل تحویل باقی میمانند، علیرغم وجود رکورد SPF.
در شش مرحلهی بلوغ DMARC، این 119 میلیون دامنه در مراحل ۱ تا ۳ گیر کردهاند — کف ساخته شده، یا نیمهساخته است، و در هرگز نصب نشد. فاصلهی آنجا تا محافظتشده بهخوبی درک شده و عمدتاً رویهای است؛ چیزی که این سرشماری میافزاید این آگاهی است که تقریباً هیچکس آن را طی نمیکند.
اگر دامنهی شما یکی از آن 119 میلیون است
- SPF را نگه دارید — آن یک پیشنیاز است، نه یک اشتباه. (SPF را اصلاح کنید ←.)
- DKIM را اضافه کنید تا ایمیل شما علاوه بر منبعداشتن، امضا هم شود. (DKIM را اصلاح کنید ←.)
- DMARC را با گزارشدهی منتشر کنید، سپس اعمال کنید — ابتدا
p=noneباrua=، هر فرستندهی مشروع را شناسایی کنید، سپس بهquarantineوrejectبروید. این همان گامی است که «پیکربندیشده» را به «محافظتشده» تبدیل میکند. (DMARC را اصلاح کنید ←.)
پرسشهای پرتکرار
آیا SPF برای محافظت از یک دامنه در برابر جعل کافی است؟ نه. SPF سرورهای ارسالکننده را در برابر دامنهی envelope اعتبارسنجی میکند؛ نه نشانی قابل مشاهدهی «From» را بررسی میکند و نه به گیرندگان میگوید که ناموفقها را رد کنند. تنها یک سیاست DMARC اعمالکننده هر دو را انجام میدهد — و 119,212,005 دامنه بدون آن SPF منتشر میکنند.
چند دامنه SPF دارند اما اصلاً DMARC ندارند؟ 84,638,430 — یعنی 60.9٪ از همهی منتشرکنندگان SPF هیچ رکورد DMARC از هیچ نوعی ندارند، حتی حالت پایش را.
چند دامنه بهطور کامل محافظت میشوند؟
10,092,481 — یعنی 3.87٪ از 261 میلیون دامنهی درجهبندیشده SPF و DKIM را با یک سیاست DMARC از نوع quarantine یا reject ترکیب میکنند.
آیا داشتن SPF دستکم کمک میکند؟ بله — آن پایهای است که DMARC بر اساس آن ارزیابی میکند، و قابلیت تحویل ایمیل مشروع شما را بهبود میبخشد. فقط بهتنهایی از هیچ چیز محافظت نمیکند؛ آن گام یکِ از سه است، و سرشماری نشان میدهد که اکثر اینترنت آن را همچون کل پلکان تلقی کرد.
بررسی کنید دامنهی شما در کدام جمعیت است
«ما SPF را راهاندازی کردیم» 139 میلیون دامنه را توصیف میکند؛ «ما محافظت میشویم» 10 میلیون را توصیف میکند. پی بردن به اینکه شما کدامیک هستید یک دقیقه طول میکشد، محرمانه و رایگان — ببینید کدامیک از ۳۴ بررسی را قبول میشوید و چگونه آنهایی را که رد میشوید اصلاح کنید.
دامنهی خود را بررسی کنید ← · شش مرحلهی بلوغ DMARC ← · ستون DMARC ← · فقط دادههای تجمیعی. دادهها در اتحادیهی اروپا ذخیره و پردازش میشوند.