Defaults.Exposed › Raportit
SPF-käyttöönoton kypsyysmalli (SPFAMM): SPF:n 6 vaihetta (2026)
Julkaistu 2026-07-03
Luvut päivämäärältä 2026-06-29 · menetelmä v7. Viitemalli, jonka taustalla on toistuva väestölaskenta 261 miljoonasta arvostellusta verkkotunnuksesta; jokainen laitos mittaa saman joukon uudelleen, joten lukuja voidaan seurata ajan mittaan. Kaikki luvut ovat kokonaislukuja — emme koskaan julkaise yksittäisen yrityksen tietuetta.
Missä vaiheessa internet on?
Vaihe 2.4 kuudesta. 261 miljoonan verkkotunnuksen mittauksessa keskimääräinen verkkotunnus ei ole vielä saavuttanut toimivaa SPF-aitaa — ja internet kokonaisuutena saa SPF-vahvuudesta pistemäärän 29 sadasta. SPF:n julkaiseminen on yleisin sähköpostiturvallisuuden teko, mitä on (53.21% verkkotunnuksista tekee sen), mutta useimmat noista tietueista pysähtyvät asetukseen, joka pyytää vastaanottajia toimittamaan väärennökset kaikesta huolimatta.
Ongelma ei ole käyttöönotto — se on, että useimmat kypsyysohjeet pysähtyvät kohtaan “julkaisimme SPF:n”, ikään kuin tietue itsessään olisi saavutus. SPF-tietue voi valtuuttaa koko internetin, olla ilmaisematta mielipidettä, mitätöidä itsensä hiljaa tai jäädä softfail-tilaan ikuisesti, koska sen tiukentaminen tarkoittaa työtä, jota kukaan ei aikatauluttanut. Hyödyllinen malli nimeää jokaisen näistä tiloista. Tämä tekee niin: SPF-käyttöönoton kypsyysmalli — SPFAMM, kuusi vaihetta, yksi askel kussakin, ja nimi, jonka voit mainita. Se on SPF-vastine DMARC-kypsyyden kuudelle vaiheelle.
Mitkä ovat SPF-kypsyyden kuusi vaihetta?
Jokainen niistä 261 miljoonasta arvostellusta verkkotunnuksesta on täsmälleen yhdessä vaiheista 1–5, ja nuo viisi joukkoa summautuvat tarkalleen väestölaskennan kokonaismäärään; vaihe 6 on vaiheen 5 sisällä laskettu koventunut osajoukko. Juuri tämä tekee SPFAMM:sta mittauksen eikä julisteen.
| Vaihe | Nimi | Verkkotunnukset | Osuus |
|---|---|---|---|
| 1 | Suojaamaton | 121,145,609 | 46.4% |
| 2 | Salliva tai rikkinäinen | 7,798,366 | 3.0% |
| 3 | Pehmeästi aidattu | 70,368,600 | 27.0% |
| 4 | Tiukka | 42,514,532 | 16.3% |
| 5 | Kohdistettu | 19,259,125 | 7.4% |
| 6 | Koventunut | 10,092,481 | 3.87% |
(Vaihe 6 on vaiheen 5 kohdistettujen verkkotunnusten koventunut osajoukko, joten vaiheet 1–5 jakavat väestölaskennan ja vaihe 6 sijaitsee vaiheen 5 sisällä.)
Vaihe 1 — Suojaamaton. Ei v=spf1-tietuetta. Vastaanottaja ei tarkista mitään; verkkotunnuksen väärentäminen SPF-osuudella on helppoa. Askel: julkaise v=spf1-tietue, joka luettelee todelliset lähettäjäsi ja päättyy fail-määreeseen.
Vaihe 2 — Salliva tai rikkinäinen. Tietue on olemassa, mutta se ei suojaa mitään. Tähän vaiheeseen kerätään hampaattomat päätteet — ?all neutral (3.0% julkaisijoista) ja +all-tervetulomatto — yhdessä rikkinäisten tietueiden kanssa: useat v=spf1-tietueet, jotka standardi mitätöi kokonaan, sekä pirstaleiset tietueet, joilla ei ole käyttökelpoista päätettä. Yksi poikkeus: noin 2.1 miljoonaa tietuetta päättyy redirect=-osaan, mikä on kelvollinen delegointi — niiden todellinen käytäntö sijaitsee kohteessa, ja laskemme ne tähän vain siksi, että niiden oma tietue ei sisällä verdiktiä. Askel: yksi tietue, yksi todellinen pääte — ~all tai -all.
Vaihe 3 — Pehmeästi aidattu. Tietue päättyy ~all-osaan (softfail), eikä sen takana pakota mitään — 70.4 miljoonaa verkkotunnusta, minkä tahansa julkaistun SPF:n vaiheen suurin joukko. Softfail on todellinen aita, jonka portti on auki: se kertoo vastaanottajille “muualta tuleva posti on luultavasti väärennetty” ja pyytää heitä toimittamaan sen silti. Askel: kiipeä muurin yli — huomioi jokainen lähettäjä ja valitse sitten kumpi tahansa reitti ylös (alla).
Vaihe 4 — Tiukka. Tietue päättyy -all-osaan: 42.5 miljoonaa verkkotunnusta julkaisee suoran “hylkää kaikki muut” -käskyn, ilman että sen takana on vielä DMARC-pakotusta. Yksi rehellinen varaus, jonka oma mittauksemme nyt kvantifioi: -all-tietue, joka ylittää 10 haun rajan, on mitätön riippumatta siitä, kuinka tiukalta se näyttää — vähintään 112,215 internetin -all-tietueista on tässä tilassa. Askel: aseta tietueen taakse pakottava DMARC-käytäntö, jotta epäonnistumisiin puututaan kaikkialla.
Vaihe 5 — Kohdistettu. SPF — pehmeä tai tiukka — sijaitsee DMARC p=quarantine- tai p=reject-käytännön takana. Tämä on vaihe, jossa täsmällisen verkkotunnuksesi väärentäminen todella pysähtyy jokaisen suuren postilaatikkopalvelun kohdalla: 19.3 miljoonaa verkkotunnusta, joista 7.1 miljoonaa yhdistää ~all-osan pakotukseen (kuvio, jota Googlen lähettäjäohjeet suosittelevat) ja 12.1 miljoonaa yhdistää -all-osan siihen. Askel: lisää DKIM ja jatka seurantaa — tietueet rappeutuvat.
Vaihe 6 — Koventunut. SPF plus DKIM plus pakottava DMARC — täysin suojattu joukko, 10,092,481 verkkotunnusta, 3.87% internetistä — sekä kurinalaisuus valvoa poikkeamia: include:-ketjut muuttuvat, palveluntarjoajat vaihtavat IP-osoitteita, joku liittää uuden työkalun, joka lähettää sinuna. Askel: pysy täällä. Se on käytäntö, ei mitali.
Postittomat kaista. Verkkotunnus, joka ei lähetä postia, voi hypätä huipulle yhdellä muokkauksella: SPF
-allplus DMARCp=reject. Kun ei ole mitään laillista suojattavaa, ei ole muuria kiivettävänä — ja se sulkee yhden yleisimmistä toisena esiintymisen väylistä, mitä on.
Miksi internet pysähtyy vaiheeseen 3?
Koska lähes jokainen muu askel on pieni DNS-muokkaus, ja poistuminen vaiheesta 3 on työtä: jokaisen sellaisen järjestelmän luettelointi, joka laillisesti lähettää sinuna — postilaatikkopalvelu, uutiskirjealusta, CRM, laskutustyökalu, se juttu, jonka markkinointi rekisteröi viime keväänä — ja niiden sovittaminen yhteen tietueeseen räjäyttämättä 10 haun budjettia. Se on se muuri. ~all on viimeinen puola, joka on saavutettavissa ilman tämän tekemistä, minkä vuoksi 70.4 miljoonaa verkkotunnusta lepää siinä.
Muurin huipulta on kaksi reittiä ylös, ja molemmat päätyvät vaiheeseen 5:
- Kovenna
-all-osaan (vaiheen 4 kautta) — tiukka ei itse tietueessa. Katso~allvs-all, milloin tämä on oikea valinta. - Pidä
~allja pakota DMARCp=reject-käytännöllä — reitti, jota Googlen ohjeet ja useimmat toimitettavuuskäytännöt nykyään suosittelevat, koska se suojaa yhtä lailla DMARC:ia arvioivilla vastaanottajilla palauttamatta edelleenlähetettyä postia.
Väestölaskenta osoittaa, kuinka harvoin kumpikaan reitti saadaan valmiiksi: 77.5 miljoonasta softfail-tietueesta vain 7.1 miljoonalla — noin 1:llä 11:sta — on pakotus takanaan.
Miten SPF-vahvuuspisteet lasketaan?
Yksinkertaisesti, ja pidämme painot vakioina, jotta pistemäärä on vertailukelpoinen kuukaudesta toiseen: täydet pisteet verkkotunnuksille, joissa jokin pakottaa (vaiheet 5–6), puolet pisteistä todelliselle aidalle, jonka mukaan kukaan ei toimi (vaiheet 3–4), ei mitään puuttuville, salliville tai rikkinäisille tietueille. Tällä asteikolla internet saa 29/100 päivämäärältä 2026-06-29. Lähes puolet joukosta antaa nollan, koska se ei julkaise mitään lainkaan.
Miten löydän verkkotunnukseni vaiheen?
Vaiheet 1–4 ovat luettavissa suoraan DNS-tietueestasi; vaihe 5 lisää DMARC-käytäntösi; vaihe 6 lisää DKIM:n. Ainoa asia, jota vilkaisu ei voi kertoa, on se, onko tiukka tietue salaa yli haun rajan — se vaatii ketjun selvittämistä, minkä tarkistajamme tekee puolestasi.
Usein kysytyt kysymykset
Mikä on SPFAMM? SPF-käyttöönoton kypsyysmalli — tällä sivulla oleva kuusivaiheinen malli: Suojaamaton, Salliva/rikkinäinen, Pehmeästi aidattu, Tiukka, Kohdistettu, Koventunut. Jokaisen verkkotunnuksen vaihe on laskettavissa sen DNS:stä: vaiheet 1–5 jakavat 261 miljoonan verkkotunnuksen väestölaskennan tarkalleen, ja vaihe 6 on vaiheen 5 sisällä oleva koventunut osajoukko.
Missä vaiheessa useimmat verkkotunnukset ovat? Vaihe 1 — 46.4% verkkotunnuksista ei julkaise lainkaan SPF:ää. Julkaisevien verkkotunnusten joukossa vaihe 3 (softfail ilman pakotusta) on yleisin lepopaikka, 70.4 miljoonalla verkkotunnuksella. Väestöpainotettu keskiarvo on vaihe 2.4.
Riittääkö ~all-softfail?
Vain, kun sen takana on pakottava DMARC-käytäntö — tuo yhdistelmä on vaihe 5 ja kuvio, jota Googlen lähettäjäohjeet suosittelevat. Yksinään se on vaihe 3: todellinen aita, auki oleva portti. Täydellinen vertailu on kohdassa ~all vs -all.
Onko minun päästävä -all-osaan ollakseni turvassa?
Ei. Vaihe 4 on toinen kahdesta reitistä, ei vaatimus — ~all-osan pitäminen ja pakottaminen DMARC p=reject -käytännöllä saavuttaa saman suojan DMARC:ia arvioivilla vastaanottajilla. Vaatimuksena on muuri: jokaisen lähettäjän tunteminen ennen kuin mikään pakottaa.
Kuinka moni verkkotunnus suorittaa kaikki kuusi vaihetta? 10,092,481 — 3.87% internetistä — pitää SPF:ää, DKIM:ää ja pakottavaa DMARC-käytäntöä yhdessä. Jokainen vaiheen siirtymä on ilmainen; yksityiskohdat ovat kohdassa suojattu harvalukuinen joukko.
Tarkista, missä verkkotunnuksesi on
Verkkotunnuksesi on täsmälleen yhdessä näistä kuudesta vaiheesta, ja seuraava askel on tiedettävissä 30 sekunnissa — ilmaiseksi, ja jokainen korjaus tikapuiden varrella on DNS-muutos, ei ostos.
Tarkista verkkotunnuksesi → · Korjaa SPF → · ~all vs -all → · SPF PermError -raportti → · DMARC-kypsyyden 6 vaihetta → · Vain kokonaisdata. Tiedot tallennetaan ja käsitellään EU:ssa.