Defaults.Exposed › گزارشها
مدل بلوغ پذیرش SPF (SPFAMM): شش مرحله SPF (۲۰۲۶)
منتشرشده 2026-07-03
ارقام تا تاریخ 2026-06-29 · روششناسی نسخه ۷. یک مدل مرجع که بر پایه یک سرشماری دورهای از 261 میلیون دامنه درجهبندیشده بنا شده است؛ هر ویرایش همان جمعیت را دوباره اندازهگیری میکند تا بتوان اعداد را در طول زمان دنبال کرد. همه ارقام تجمیعی هستند — ما هرگز سابقه یک کسبوکار منفرد را منتشر نمیکنیم.
اینترنت در کدام مرحله است؟
مرحله 2.4 از ۶. با اندازهگیری در سراسر 261 میلیون دامنه، دامنه متوسط هنوز به یک حصار SPF کارآمد نرسیده است — و اینترنت بهطور کلی از نظر قدرت SPF نمره 29 از ۱۰۰ میگیرد. انتشار SPF رایجترین اقدام امنیتی ایمیل موجود است (53.21٪ از دامنهها این کار را انجام میدهند)، با این حال بیشتر آن رکوردها در تنظیمی متوقف میشوند که از گیرندگان میخواهد جعلیات را به هر حال تحویل دهند.
مشکل، پذیرش نیست — مشکل این است که بیشتر راهنماهای بلوغ در «ما SPF منتشر کردیم» متوقف میشوند، انگار خودِ رکورد یک دستاورد باشد. یک رکورد SPF میتواند کل اینترنت را مجاز بشمارد، هیچ نظری ابراز نکند، بیسروصدا خودش را باطل کند، یا برای همیشه در حالت softfail بماند چون سفتکردنش کاری است که کسی برایش برنامهای نگذاشته. یک مدل مفید هر یک از این حالتها را نامگذاری میکند. این مدل چنین میکند: مدل بلوغ پذیرش SPF — SPFAMM، شش مرحله، هر مرحله یک گام، و نامی که میتوانید به آن استناد کنید. این همتای SPFِ شش مرحله بلوغ DMARC است.
شش مرحله بلوغ SPF کداماند؟
هر یک از 261 میلیون دامنه درجهبندیشده دقیقاً در یکی از مراحل ۱ تا ۵ قرار میگیرد، و آن پنج جمعیت دقیقاً با کل سرشماری جمع میشوند؛ مرحله ۶ زیرمجموعه سختشدهای است که درون مرحله ۵ شمارش میشود. همین است که SPFAMM را به یک سنجش تبدیل میکند نه یک پوستر.
| مرحله | نام | دامنهها | سهم |
|---|---|---|---|
| ۱ | محافظتنشده | 121,145,609 | 46.4٪ |
| ۲ | بازگذارنده یا خراب | 7,798,366 | 3.0٪ |
| ۳ | حصار نرم | 70,368,600 | 27.0٪ |
| ۴ | سختگیر | 42,514,532 | 16.3٪ |
| ۵ | همراستا | 19,259,125 | 7.4٪ |
| ۶ | سختشده | 10,092,481 | 3.87٪ |
(مرحله ۶ زیرمجموعه سختشده دامنههای همراستای مرحله ۵ است، بنابراین مراحل ۱ تا ۵ سرشماری را افراز میکنند و مرحله ۶ درون مرحله ۵ قرار دارد.)
مرحله ۱ — محافظتنشده. هیچ رکورد v=spf1 وجود ندارد. هیچ گیرندهای چیزی را بررسی نمیکند؛ جعل دامنه در بخش SPF آسان است. گام بعدی: یک رکورد v=spf1 منتشر کنید که فرستندههای واقعی شما را فهرست کند و به یک واجدشرط fail ختم شود.
مرحله ۲ — بازگذارنده یا خراب. رکوردی وجود دارد اما از هیچچیز محافظت نمیکند. این مرحله پایانبندیهای بیدندان را گرد میآورد — ?all خنثی (3.0٪ از منتشرکنندگان) و پادری خوشآمدگویی +all — بههمراه رکوردهای خراب: چند رکورد v=spf1، که استاندارد آن را کاملاً باطل میکند، و رکوردهای تکهتکه بدون هیچ پایانبندی قابلاستفاده. یک استثنا: حدود 2.1 میلیون رکورد به redirect= ختم میشوند، که واگذاری معتبر است — سیاست واقعیشان در مقصد قرار دارد، و ما آنها را اینجا فقط به این دلیل میشماریم که رکورد خودشان هیچ حکمی ندارد. گام بعدی: یک رکورد، یک پایانبندی واقعی — ~all یا -all.
مرحله ۳ — حصار نرم. رکورد به ~all (softfail) ختم میشود بیآنکه چیزی پشت آن اجرا کند — 70.4 میلیون دامنه، بزرگترین جمعیت در میان همه مراحل SPFِ منتشرشده. softfail یک حصار واقعی با دروازهای بازقفل است: به گیرندگان میگوید «ایمیل از جای دیگر احتمالاً جعلی است»، و از آنها میخواهد که به هر حال آن را تحویل دهند. گام بعدی: از دیوار بالا بروید — هر فرستنده را بهحساب آورید، سپس یکی از دو مسیر بالا (در ادامه) را برگزینید.
مرحله ۴ — سختگیر. رکورد به -all ختم میشود: 42.5 میلیون دامنه که یک «همه دیگران را رد کن» صریح منتشر میکنند، اما هنوز بدون اجرای DMARC پشت آن. یک نکته صادقانه که اندازهگیری خود ما اکنون کمّیاش میکند: یک رکورد -all که از حد ۱۰ جستوجو فراتر میرود هر قدر هم سختگیر بهنظر برسد باطل است — دستکم 112,215 از رکوردهای -all اینترنت در این حالتاند. گام بعدی: یک سیاست اجرایی DMARC پشت رکورد قرار دهید تا در همهجا به شکستها ترتیب اثر داده شود.
مرحله ۵ — همراستا. SPF — نرم یا سخت — پشت DMARCِ p=quarantine یا p=reject قرار میگیرد. این مرحلهای است که جعل دقیق دامنه شما در واقع نزد هر ارائهدهنده بزرگ صندوق پستی متوقف میشود: 19.3 میلیون دامنه، که از این میان 7.1 میلیون ~all را با اجرا جفت میکنند (الگویی که راهنمای فرستنده گوگل توصیه میکند) و 12.1 میلیون -all را با آن جفت میکنند. گام بعدی: DKIM را اضافه کنید و مراقب بمانید — رکوردها میپوسند.
مرحله ۶ — سختشده. SPF بهعلاوه DKIM بهعلاوه DMARCِ اجرایی — مجموعه کاملاً محافظتشده، 10,092,481 دامنه، 3.87٪ از اینترنت — بههمراه انضباط پایش انحراف: زنجیرههای include: تغییر میکنند، ارائهدهندگان IPها را جابهجا میکنند، کسی ابزار جدیدی وصل میکند که بهنام شما ایمیل میفرستد. گام بعدی: همینجا بمانید. این یک رَویه است، نه یک نشان افتخار.
مسیر بدونایمیل. دامنهای که هیچ ایمیلی نمیفرستد میتواند با یک ویرایش به بالای فهرست بپرد: SPFِ
-allبهعلاوه DMARCِp=reject. نبودِ چیزِ مشروعی برای محافظت یعنی نبودِ دیواری برای بالارفتن — و این یکی از رایجترین بردارهای جعل هویت موجود را میبندد.
چرا اینترنت در مرحله ۳ متوقف میشود؟
چون تقریباً هر گام دیگر یک ویرایش کوچک DNS است، اما گامِ بیرونآمدن از مرحله ۳ کار است: برشمردن هر سامانهای که مشروعاً بهنام شما ایمیل میفرستد — ارائهدهنده صندوق پستی، سکوی خبرنامه، CRM، ابزار صورتحساب، آن چیزی که بازاریابی بهار گذشته ثبتنامش کرد — و جایدادن آنها در یک رکورد بدون منفجرکردن بودجه ۱۰ جستوجو. این همان دیوار است. ~all آخرین پلهای است که بدون انجام این کار قابلدسترس است، و به همین دلیل 70.4 میلیون دامنه همانجا آرام گرفتهاند.
از بالای دیوار دو مسیر بالا وجود دارد، و هر دو به مرحله ۵ میرسند:
- سختکردن به
-all(از طریق مرحله ۴) — یک «نه» قاطع در خودِ رکورد. برای اینکه بدانید چه زمانی این تصمیم درست است،~allدر برابر-allرا ببینید. - نگهداشتن
~allو اجرا با DMARCِp=reject— مسیری که راهنمای گوگل و بیشتر عملکردهای قابلیت تحویل اکنون توصیه میکنند، چون در گیرندگانی که DMARC را ارزیابی میکنند بهیکاندازه محافظت میکند بیآنکه ایمیل بازارسالشده را برگرداند.
سرشماری نشان میدهد که هر یک از این دو مسیر چه بهندرت به پایان میرسد: از 77.5 میلیون رکورد softfail، تنها 7.1 میلیون — حدود ۱ از هر 11 — اجرا پشتشان دارند.
نمره قدرت SPF چگونه محاسبه میشود؟
ساده، و ما وزنها را ثابت نگه میداریم تا نمره از ماهی به ماه دیگر قابلمقایسه باشد: اعتبار کامل برای دامنههایی که چیزی اجرا میکند (مراحل ۵ تا ۶)، نیماعتبار برای یک حصار واقعی که کسی به آن ترتیب اثر نمیدهد (مراحل ۳ تا ۴)، هیچچیز برای رکوردهای غایب، بازگذارنده یا خراب. روی این مقیاس اینترنت تا تاریخ 2026-06-29 نمره 29 از ۱۰۰ میگیرد. تقریباً نیمی از جمعیت صفر مشارکت دارد چون اصلاً چیزی منتشر نمیکند.
مرحله دامنهام را چگونه پیدا کنم؟
مراحل ۱ تا ۴ را میتوان مستقیماً از روی رکورد DNS شما خواند؛ مرحله ۵ سیاست DMARC شما را میافزاید؛ مرحله ۶ نیز DKIM را اضافه میکند. تنها چیزی که یک نگاه نمیتواند به شما بگوید این است که آیا یک رکورد سختگیر پنهانی بالای حد جستوجو است یا نه — این کار مستلزم حلکردن زنجیره است، کاری که بررسیگر ما برای شما انجام میدهد.
پرسشهای پرتکرار
SPFAMM چیست؟ مدل بلوغ پذیرش SPF — مدل ششمرحلهای این صفحه: محافظتنشده، بازگذارنده/خراب، حصار نرم، سختگیر، همراستا، سختشده. مرحله هر دامنه از روی DNSِ آن قابلمحاسبه است: مراحل ۱ تا ۵ سرشماری 261 میلیوندامنهای را دقیقاً افراز میکنند، و مرحله ۶ زیرمجموعه سختشده درون مرحله ۵ است.
بیشتر دامنهها در کدام مرحلهاند؟ مرحله ۱ — 46.4٪ از دامنهها اصلاً هیچ SPFی منتشر نمیکنند. در میان دامنههایی که منتشر میکنند، مرحله ۳ (softfail بدون اجرا) رایجترین محل توقف است، با 70.4 میلیون دامنه. میانگین وزندهیشده بر اساس جمعیت مرحله 2.4 است.
آیا ~all (softfail) بهاندازه کافی خوب است؟
فقط با یک سیاست اجرایی DMARC پشت آن — این جفتشدن مرحله ۵ است و همان الگویی که راهنمای فرستنده گوگل توصیه میکند. بهتنهایی مرحله ۳ است: حصار واقعی، دروازه بازقفل. مقایسه کامل در ~all در برابر -all آمده است.
آیا برای ایمنبودن باید به -all برسم؟
نه. مرحله ۴ یکی از دو مسیر است، نه یک الزام — نگهداشتن ~all و اجرا با DMARCِ p=reject نزد گیرندگانی که DMARC را ارزیابی میکنند به همان محافظت میرسد. آنچه الزامی است دیوار است: شناختن هر فرستنده پیش از آنکه چیزی اجرا کند.
چند دامنه هر شش مرحله را کامل میکنند؟ 10,092,481 — 3.87٪ از اینترنت — SPF، DKIM و یک سیاست اجرایی DMARC را باهم دارند. هر گذار مرحله رایگان است؛ جزئیات در آن معدود کاملاً محافظتشده آمده است.
بررسی کنید دامنهتان کجا ایستاده است
دامنه شما دقیقاً در یکی از این شش مرحله است، و گام بعدی در ۳۰ ثانیه قابلدانستن است — رایگان، و هر اصلاح در طول این نردبان یک تغییر DNS است، نه یک خرید.
دامنه خود را بررسی کنید ← · رفع SPF ← · ~all در برابر -all ← · گزارش SPF PermError ← · شش مرحله بلوغ DMARC ← · فقط داده تجمیعی. دادهها در اتحادیه اروپا ذخیره و پردازش میشوند.