Defaults.Exposed

Defaults.Exposed › گزارش‌ها

مدل بلوغ پذیرش SPF ‏(SPFAMM): شش مرحله SPF ‏(۲۰۲۶)

منتشرشده 2026-07-03

ارقام تا تاریخ 2026-06-29 · روش‌شناسی نسخه ۷. یک مدل مرجع که بر پایه یک سرشماری دوره‌ای از 261 میلیون دامنه درجه‌بندی‌شده بنا شده است؛ هر ویرایش همان جمعیت را دوباره اندازه‌گیری می‌کند تا بتوان اعداد را در طول زمان دنبال کرد. همه ارقام تجمیعی هستند — ما هرگز سابقه یک کسب‌وکار منفرد را منتشر نمی‌کنیم.

اینترنت در کدام مرحله است؟

مرحله 2.4 از ۶. با اندازه‌گیری در سراسر 261 میلیون دامنه، دامنه متوسط هنوز به یک حصار SPF کارآمد نرسیده است — و اینترنت به‌طور کلی از نظر قدرت SPF نمره 29 از ۱۰۰ می‌گیرد. انتشار SPF رایج‌ترین اقدام امنیتی ایمیل موجود است (53.21٪ از دامنه‌ها این کار را انجام می‌دهند)، با این حال بیشتر آن رکوردها در تنظیمی متوقف می‌شوند که از گیرندگان می‌خواهد جعلیات را به هر حال تحویل دهند.

مشکل، پذیرش نیست — مشکل این است که بیشتر راهنماهای بلوغ در «ما SPF منتشر کردیم» متوقف می‌شوند، انگار خودِ رکورد یک دستاورد باشد. یک رکورد SPF می‌تواند کل اینترنت را مجاز بشمارد، هیچ نظری ابراز نکند، بی‌سروصدا خودش را باطل کند، یا برای همیشه در حالت softfail بماند چون سفت‌کردنش کاری است که کسی برایش برنامه‌ای نگذاشته. یک مدل مفید هر یک از این حالت‌ها را نام‌گذاری می‌کند. این مدل چنین می‌کند: مدل بلوغ پذیرش SPF — SPFAMM، شش مرحله، هر مرحله یک گام، و نامی که می‌توانید به آن استناد کنید. این همتای SPFِ شش مرحله بلوغ DMARC است.

شش مرحله بلوغ SPF کدام‌اند؟

هر یک از 261 میلیون دامنه درجه‌بندی‌شده دقیقاً در یکی از مراحل ۱ تا ۵ قرار می‌گیرد، و آن پنج جمعیت دقیقاً با کل سرشماری جمع می‌شوند؛ مرحله ۶ زیرمجموعه سخت‌شده‌ای است که درون مرحله ۵ شمارش می‌شود. همین است که SPFAMM را به یک سنجش تبدیل می‌کند نه یک پوستر.

مرحلهنامدامنه‌هاسهم
۱محافظت‌نشده121,145,60946.4٪
۲بازگذارنده یا خراب7,798,3663.0٪
۳حصار نرم70,368,60027.0٪
۴سخت‌گیر42,514,53216.3٪
۵هم‌راستا19,259,1257.4٪
۶سخت‌شده10,092,4813.87٪

(مرحله ۶ زیرمجموعه سخت‌شده دامنه‌های هم‌راستای مرحله ۵ است، بنابراین مراحل ۱ تا ۵ سرشماری را افراز می‌کنند و مرحله ۶ درون مرحله ۵ قرار دارد.)

مرحله ۱ — محافظت‌نشده. هیچ رکورد v=spf1 وجود ندارد. هیچ گیرنده‌ای چیزی را بررسی نمی‌کند؛ جعل دامنه در بخش SPF آسان است. گام بعدی: یک رکورد v=spf1 منتشر کنید که فرستنده‌های واقعی شما را فهرست کند و به یک واجدشرط fail ختم شود.

مرحله ۲ — بازگذارنده یا خراب. رکوردی وجود دارد اما از هیچ‌چیز محافظت نمی‌کند. این مرحله پایان‌بندی‌های بی‌دندان را گرد می‌آورد — ?all خنثی (3.0٪ از منتشرکنندگان) و پادری خوش‌آمدگویی +all — به‌همراه رکوردهای خراب: چند رکورد v=spf1، که استاندارد آن را کاملاً باطل می‌کند، و رکوردهای تکه‌تکه بدون هیچ پایان‌بندی قابل‌استفاده. یک استثنا: حدود 2.1 میلیون رکورد به redirect= ختم می‌شوند، که واگذاری معتبر است — سیاست واقعی‌شان در مقصد قرار دارد، و ما آن‌ها را اینجا فقط به این دلیل می‌شماریم که رکورد خودشان هیچ حکمی ندارد. گام بعدی: یک رکورد، یک پایان‌بندی واقعی — ~all یا -all.

مرحله ۳ — حصار نرم. رکورد به ~all ‏(softfail) ختم می‌شود بی‌آنکه چیزی پشت آن اجرا کند — 70.4 میلیون دامنه، بزرگ‌ترین جمعیت در میان همه مراحل SPFِ منتشرشده. softfail یک حصار واقعی با دروازه‌ای بازقفل است: به گیرندگان می‌گوید «ایمیل از جای دیگر احتمالاً جعلی است»، و از آن‌ها می‌خواهد که به هر حال آن را تحویل دهند. گام بعدی: از دیوار بالا بروید — هر فرستنده را به‌حساب آورید، سپس یکی از دو مسیر بالا (در ادامه) را برگزینید.

مرحله ۴ — سخت‌گیر. رکورد به -all ختم می‌شود: 42.5 میلیون دامنه که یک «همه دیگران را رد کن» صریح منتشر می‌کنند، اما هنوز بدون اجرای DMARC پشت آن. یک نکته صادقانه که اندازه‌گیری خود ما اکنون کمّی‌اش می‌کند: یک رکورد -all که از حد ۱۰ جست‌وجو فراتر می‌رود هر قدر هم سخت‌گیر به‌نظر برسد باطل است — دست‌کم 112,215 از رکوردهای -all اینترنت در این حالت‌اند. گام بعدی: یک سیاست اجرایی DMARC پشت رکورد قرار دهید تا در همه‌جا به شکست‌ها ترتیب اثر داده شود.

مرحله ۵ — هم‌راستا. SPF — نرم یا سخت — پشت DMARCِ p=quarantine یا p=reject قرار می‌گیرد. این مرحله‌ای است که جعل دقیق دامنه شما در واقع نزد هر ارائه‌دهنده بزرگ صندوق پستی متوقف می‌شود: 19.3 میلیون دامنه، که از این میان 7.1 میلیون ~all را با اجرا جفت می‌کنند (الگویی که راهنمای فرستنده گوگل توصیه می‌کند) و 12.1 میلیون -all را با آن جفت می‌کنند. گام بعدی: DKIM را اضافه کنید و مراقب بمانید — رکوردها می‌پوسند.

مرحله ۶ — سخت‌شده. SPF به‌علاوه DKIM به‌علاوه DMARCِ اجرایی — مجموعه کاملاً محافظت‌شده، 10,092,481 دامنه، 3.87٪ از اینترنت — به‌همراه انضباط پایش انحراف: زنجیره‌های include: تغییر می‌کنند، ارائه‌دهندگان IPها را جابه‌جا می‌کنند، کسی ابزار جدیدی وصل می‌کند که به‌نام شما ایمیل می‌فرستد. گام بعدی: همین‌جا بمانید. این یک رَویه است، نه یک نشان افتخار.

مسیر بدون‌ایمیل. دامنه‌ای که هیچ ایمیلی نمی‌فرستد می‌تواند با یک ویرایش به بالای فهرست بپرد: SPFِ -all به‌علاوه DMARCِ p=reject. نبودِ چیزِ مشروعی برای محافظت یعنی نبودِ دیواری برای بالارفتن — و این یکی از رایج‌ترین بردارهای جعل هویت موجود را می‌بندد.

چرا اینترنت در مرحله ۳ متوقف می‌شود؟

چون تقریباً هر گام دیگر یک ویرایش کوچک DNS است، اما گامِ بیرون‌آمدن از مرحله ۳ کار است: برشمردن هر سامانه‌ای که مشروعاً به‌نام شما ایمیل می‌فرستد — ارائه‌دهنده صندوق پستی، سکوی خبرنامه، CRM، ابزار صورت‌حساب، آن چیزی که بازاریابی بهار گذشته ثبت‌نامش کرد — و جای‌دادن آن‌ها در یک رکورد بدون منفجرکردن بودجه ۱۰ جست‌وجو. این همان دیوار است. ~all آخرین پله‌ای است که بدون انجام این کار قابل‌دسترس است، و به همین دلیل 70.4 میلیون دامنه همان‌جا آرام گرفته‌اند.

از بالای دیوار دو مسیر بالا وجود دارد، و هر دو به مرحله ۵ می‌رسند:

سرشماری نشان می‌دهد که هر یک از این دو مسیر چه به‌ندرت به پایان می‌رسد: از 77.5 میلیون رکورد softfail، تنها 7.1 میلیون — حدود ۱ از هر 11 — اجرا پشتشان دارند.

نمره قدرت SPF چگونه محاسبه می‌شود؟

ساده، و ما وزن‌ها را ثابت نگه می‌داریم تا نمره از ماهی به ماه دیگر قابل‌مقایسه باشد: اعتبار کامل برای دامنه‌هایی که چیزی اجرا می‌کند (مراحل ۵ تا ۶)، نیم‌اعتبار برای یک حصار واقعی که کسی به آن ترتیب اثر نمی‌دهد (مراحل ۳ تا ۴)، هیچ‌چیز برای رکوردهای غایب، بازگذارنده یا خراب. روی این مقیاس اینترنت تا تاریخ 2026-06-29 نمره 29 از ۱۰۰ می‌گیرد. تقریباً نیمی از جمعیت صفر مشارکت دارد چون اصلاً چیزی منتشر نمی‌کند.

مرحله دامنه‌ام را چگونه پیدا کنم؟

مراحل ۱ تا ۴ را می‌توان مستقیماً از روی رکورد DNS شما خواند؛ مرحله ۵ سیاست DMARC شما را می‌افزاید؛ مرحله ۶ نیز DKIM را اضافه می‌کند. تنها چیزی که یک نگاه نمی‌تواند به شما بگوید این است که آیا یک رکورد سخت‌گیر پنهانی بالای حد جست‌وجو است یا نه — این کار مستلزم حل‌کردن زنجیره است، کاری که بررسی‌گر ما برای شما انجام می‌دهد.

پرسش‌های پرتکرار

SPFAMM چیست؟ مدل بلوغ پذیرش SPF — مدل شش‌مرحله‌ای این صفحه: محافظت‌نشده، بازگذارنده/خراب، حصار نرم، سخت‌گیر، هم‌راستا، سخت‌شده. مرحله هر دامنه از روی DNSِ آن قابل‌محاسبه است: مراحل ۱ تا ۵ سرشماری 261 میلیون‌دامنه‌ای را دقیقاً افراز می‌کنند، و مرحله ۶ زیرمجموعه سخت‌شده درون مرحله ۵ است.

بیشتر دامنه‌ها در کدام مرحله‌اند؟ مرحله ۱ — 46.4٪ از دامنه‌ها اصلاً هیچ SPFی منتشر نمی‌کنند. در میان دامنه‌هایی که منتشر می‌کنند، مرحله ۳ ‏(softfail بدون اجرا) رایج‌ترین محل توقف است، با 70.4 میلیون دامنه. میانگین وزن‌دهی‌شده بر اساس جمعیت مرحله 2.4 است.

آیا ~all ‏(softfail) به‌اندازه کافی خوب است؟ فقط با یک سیاست اجرایی DMARC پشت آن — این جفت‌شدن مرحله ۵ است و همان الگویی که راهنمای فرستنده گوگل توصیه می‌کند. به‌تنهایی مرحله ۳ است: حصار واقعی، دروازه بازقفل. مقایسه کامل در ~all در برابر -all آمده است.

آیا برای ایمن‌بودن باید به -all برسم؟ نه. مرحله ۴ یکی از دو مسیر است، نه یک الزام — نگه‌داشتن ~all و اجرا با DMARCِ p=reject نزد گیرندگانی که DMARC را ارزیابی می‌کنند به همان محافظت می‌رسد. آنچه الزامی است دیوار است: شناختن هر فرستنده پیش از آنکه چیزی اجرا کند.

چند دامنه هر شش مرحله را کامل می‌کنند؟ 10,092,481 — 3.87٪ از اینترنت — SPF، DKIM و یک سیاست اجرایی DMARC را باهم دارند. هر گذار مرحله رایگان است؛ جزئیات در آن معدود کاملاً محافظت‌شده آمده است.

بررسی کنید دامنه‌تان کجا ایستاده است

دامنه شما دقیقاً در یکی از این شش مرحله است، و گام بعدی در ۳۰ ثانیه قابل‌دانستن است — رایگان، و هر اصلاح در طول این نردبان یک تغییر DNS است، نه یک خرید.

دامنه خود را بررسی کنید ← · رفع SPF ← · ~all در برابر -all · گزارش SPF PermError ← · شش مرحله بلوغ DMARC ← · فقط داده تجمیعی. داده‌ها در اتحادیه اروپا ذخیره و پردازش می‌شوند.