Defaults.Exposed

Defaults.Exposed › דוחות

מודל הבשלות של אימוץ SPF (SPFAMM): ששת שלבי ה-SPF (2026)

פורסם 2026-07-03

הנתונים נכון ל-2026-06-29 · מתודולוגיה v7. מודל ייחוס המגובה במפקד חוזר של 261 מיליון דומיינים מדורגים; כל מהדורה מודדת מחדש את אותה אוכלוסייה כך שניתן לעקוב אחר המספרים לאורך זמן. כל הנתונים הם מצרפיים — אנחנו לעולם לא מפרסמים את הרשומה של עסק בודד.

באיזה שלב נמצא האינטרנט?

שלב 2.4 מתוך 6. במדידה על פני 261 מיליון דומיינים, הדומיין הממוצע עדיין לא הגיע לגדר SPF פעילה — והאינטרנט בכללותו מקבל ציון של 29 מתוך 100 בעוצמת SPF. פרסום SPF הוא המעשה הנפוץ ביותר של אבטחת דוא”ל שקיים (53.21% מהדומיינים עושים זאת), ובכל זאת רוב הרשומות הללו עוצרות בהגדרה שמבקשת מהמקבלים למסור זיופים בכל זאת.

הבעיה אינה האימוץ — אלא שרוב ההנחיות בנושא בשלות עוצרות ב”פרסמנו SPF”, כאילו הרשומה עצמה הייתה ההישג. רשומת SPF יכולה להרשות את כל האינטרנט, לא להביע כל דעה, לבטל את עצמה בשקט, או להישאר ב-softfail לנצח מפני שהידוק שלה משמעו עבודה שאף אחד לא תזמן. מודל שימושי נותן שם לכל אחד מהמצבים הללו. זה כן עושה זאת: מודל הבשלות של אימוץ SPF — SPFAMM, שישה שלבים, מהלך אחד בכל אחד, ושם שאפשר לצטט. זהו המקבילה של SPF לששת שלבי הבשלות של DMARC.

מהם ששת שלבי הבשלות של SPF?

כל אחד מ-261 מיליון הדומיינים המדורגים נמצא בדיוק באחד משלבים 1–5, וחמש האוכלוסיות הללו מסתכמות במדויק בסך המפקד; שלב 6 הוא תת-הקבוצה המוקשחת הנספרת בתוך שלב 5. זה מה שהופך את SPFAMM למדידה ולא לפוסטר.

שלבשםדומייניםחלק
1לא מוגן121,145,60946.4%
2מתירני או שבור7,798,3663.0%
3מגודר רך70,368,60027.0%
4קפדני42,514,53216.3%
5מיושר19,259,1257.4%
6מוקשח10,092,4813.87%

(שלב 6 הוא תת-הקבוצה המוקשחת של הדומיינים המיושרים בשלב 5, כך ששלבים 1–5 מחלקים את המפקד ושלב 6 יושב בתוך שלב 5.)

שלב 1 — לא מוגן. אין רשומת v=spf1. אף מקבל אינו בודק דבר; זיוף הדומיין בשלב ה-SPF הוא קל. המהלך: פרסמו רשומת v=spf1 המפרטת את השולחים האמיתיים שלכם, המסתיימת בקוואליפייר של כישלון.

שלב 2 — מתירני או שבור. רשומה קיימת אך אינה מגינה על דבר. שלב זה אוסף את הסיומות חסרות השיניים — ?all נייטרלי (3.0% מהמפרסמים) ושטיח הקבלת הפנים +all — יחד עם הרשומות השבורות: רשומות v=spf1 מרובות, אותן התקן מבטל לחלוטין, ורשומות מקוטעות ללא סיומת שמישה. הסתייגות אחת: כ-2.1 מיליון רשומות מסתיימות ב-redirect=, שהוא האצלה תקפה — המדיניות האמיתית שלהן שוכנת ביעד, ואנחנו סופרים אותן כאן רק מפני שהרשומה שלהן עצמה אינה נושאת כל פסק דין. המהלך: רשומה אחת, סיומת אמיתית אחת — ~all או -all.

שלב 3 — מגודר רך. הרשומה מסתיימת ב-~all (softfail) ללא שום אכיפה מאחוריה — 70.4 מיליון דומיינים, האוכלוסייה הגדולה ביותר מכל שלב שבו SPF מפורסם. Softfail הוא גדר אמיתית עם שער לא נעול: היא אומרת למקבלים “דואר ממקום אחר הוא כנראה מזויף”, ומבקשת מהם למסור אותו בכל זאת. המהלך: טפסו על הקיר — תנו דין וחשבון על כל שולח, ואז קחו אחד משני המסלולים כלפי מעלה (למטה).

שלב 4 — קפדני. הרשומה מסתיימת ב--all: 42.5 מיליון דומיינים המפרסמים “דחו את כל השאר” מוחלט, ללא אכיפת DMARC מאחוריה עדיין. הסתייגות כנה אחת שהמדידה שלנו מכמתת כעת: רשומת -all שחורגת ממגבלת 10 החיפושים בטלה ולא משנה כמה קפדנית היא נראית — לפחות 112,215 מרשומות ה--all באינטרנט נמצאות במצב הזה. המהלך: הציבו מדיניות DMARC אוכפת מאחורי הרשומה, כך שכשלים ייענו בכל מקום.

שלב 5 — מיושר. SPF — רך או קפדני — יושב מאחורי DMARC p=quarantine או p=reject. זהו השלב שבו זיוף הדומיין המדויק שלכם נעצר בפועל בכל ספק תיבת דואר מרכזי: 19.3 מיליון דומיינים, מתוכם 7.1 מיליון משלבים ~all עם אכיפה (התבנית שהנחיות השולחים של Google ממליצות עליה) ו-12.1 מיליון משלבים -all עמה. המהלך: הוסיפו DKIM והמשיכו לצפות — רשומות נרקבות.

שלב 6 — מוקשח. SPF בתוספת DKIM בתוספת DMARC אוכף — הקבוצה המוגנת במלואה, 10,092,481 דומיינים, 3.87% מהאינטרנט — בתוספת המשמעת של ניטור סחיפה: שרשראות include: משתנות, ספקים מעבירים כתובות IP, מישהו מחבר כלי חדש ששולח בשמכם. המהלך: הישארו כאן. זו פרקטיקה, לא תג הישג.

נתיב חוסר-הדואר. דומיין שאינו שולח דואר יכול לקפוץ לצמרת בעריכה אחת: SPF -all בתוספת DMARC p=reject. אין דבר לגיטימי להגן עליו משמעו אין קיר לטפס עליו — וזה סוגר את אחד מווקטורי ההתחזות הנפוצים ביותר שקיימים.

מדוע שלב 3 הוא המקום שבו האינטרנט נתקע?

מפני שכמעט כל מהלך אחר הוא עריכת DNS קטנה, והמהלך אל מחוץ לשלב 3 הוא עבודה: מנייה של כל מערכת ששולחת בשמכם באופן לגיטימי — ספק תיבת דואר, פלטפורמת ניוזלטר, CRM, כלי חשבוניות, הדבר ההוא שהשיווק נרשם אליו באביב שעבר — והתאמתם לרשומה אחת מבלי לפוצץ את תקציב 10 החיפושים. זה הקיר. ~all הוא השלב האחרון שניתן להגיע אליו מבלי לעשות זאת, ולכן 70.4 מיליון דומיינים נחים שם.

מראש הקיר יש שני מסלולים כלפי מעלה, ושניהם מגיעים לשלב 5:

המפקד מראה כמה נדיר ששני המסלולים מסתיימים: מתוך 77.5 מיליון רשומות softfail, רק 7.1 מיליון — כ-1 מתוך 11 — יש להן אכיפה מאחוריהן.

כיצד מחושב ציון עוצמת ה-SPF?

באופן פשוט, ואנחנו שומרים על המשקלים קבועים כך שהציון ניתן להשוואה מחודש לחודש: קרדיט מלא לדומיינים שבהם משהו אוכף (שלבים 5–6), חצי קרדיט לגדר אמיתית שאף אחד לא פועל לפיה (שלבים 3–4), כלום לרשומות נעדרות, מתירניות או שבורות. בסולם הזה האינטרנט מקבל ציון של 29/100 נכון ל-2026-06-29. כמעט מחצית מהאוכלוסייה תורמת אפס מפני שאינה מפרסמת דבר כלל.

כיצד אני מוצא את השלב של הדומיין שלי?

שלבים 1–4 קריאים ישירות מרשומת ה-DNS שלכם; שלב 5 מוסיף את מדיניות ה-DMARC שלכם; שלב 6 מוסיף DKIM. הדבר היחיד שמבט חטוף אינו יכול לומר לכם הוא האם רשומה קפדנית נמצאת בסתר מעל מגבלת החיפושים — זה דורש פתירת השרשרת, מה שהבודק שלנו עושה עבורכם.

שאלות נפוצות

מהו SPFAMM? מודל הבשלות של אימוץ SPF — המודל בן שישה השלבים בעמוד זה: לא מוגן, מתירני/שבור, מגודר רך, קפדני, מיושר, מוקשח. השלב של כל דומיין ניתן לחישוב מה-DNS שלו: שלבים 1–5 מחלקים במדויק את מפקד 261 מיליון הדומיינים, ושלב 6 הוא תת-הקבוצה המוקשחת בתוך שלב 5.

באיזה שלב נמצאים רוב הדומיינים? שלב 1 — 46.4% מהדומיינים אינם מפרסמים SPF כלל. בקרב הדומיינים שכן מפרסמים, שלב 3 (softfail ללא אכיפה) הוא מקום המנוחה הנפוץ ביותר, עם 70.4 מיליון דומיינים. הממוצע המשוקלל לפי אוכלוסייה הוא שלב 2.4.

האם ~all softfail מספיק טוב? רק עם מדיניות DMARC אוכפת מאחוריו — הצימוד הזה הוא שלב 5 והתבנית שהנחיות השולחים של Google ממליצות עליה. בפני עצמו זהו שלב 3: גדר אמיתית, שער לא נעול. ההשוואה המלאה נמצאת ב~all מול -all.

האם אני חייב להגיע ל--all כדי להיות מוגן? לא. שלב 4 הוא אחד משני מסלולים, לא דרישה — שמירה על ~all ואכיפה עם DMARC p=reject מגיעה לאותה הגנה במקבלים שמעריכים DMARC. מה שכן נדרש הוא הקיר: הכרת כל שולח לפני שמשהו אוכף.

כמה דומיינים משלימים את כל ששת השלבים? 10,092,481 — 3.87% מהאינטרנט — מחזיקים יחד SPF, DKIM ומדיניות DMARC אוכפת. כל מעבר בין שלבים הוא חינמי; הפרטים נמצאים בהמעטים המוגנים במלואם.

בדקו היכן עומד הדומיין שלכם

הדומיין שלכם נמצא בדיוק באחד מששת השלבים הללו, והמהלך הבא ניתן לדעת ב-30 שניות — בחינם, וכל תיקון לאורך הסולם הוא שינוי DNS, לא רכישה.

בדקו את הדומיין שלכם → · תקנו SPF → · ~all מול -all · דוח ה-SPF PermError → · ששת שלבי הבשלות של DMARC → · נתונים מצרפיים בלבד. הנתונים מאוחסנים ומעובדים באיחוד האירופי.