Defaults.Exposed › Jelentések
Az SPF nem elég: az a 119 millió domain, amely sosem kényszerít ki semmit
Közzétéve 2026-07-03 · frissítve 2026-07-03
Az adatok 2026-06-29 állapot szerint · v7 módszertan. Cenzus-adatok, amelyek domainenként összekapcsolják az ellenőrzéseket 261 millió osztályozott domainen át. „Kényszerítő” =
quarantinevagyrejectDMARC-házirend; „teljesen védett” = az SPF és a DKIM egyaránt megvan, plusz kényszerítő DMARC — a teljes e-mail-hitelesítési hármas. Minden adat aggregált — soha nem tesszük közzé egyetlen vállalkozás osztályzatát sem.
A számláló: hány domain támaszkodik egyedül az SPF-re
Az SPF önmagában nem elég ahhoz, hogy megállítsa az e-mailes megszemélyesítést — és a cenzus mostantól meg tudja számolni, hány domain támaszkodik rá mégis: 119,212,005 (119 millió) tesz közzé SPF-et, de sosem kényszeríti ki a DMARC-ot. Ez azoknak a domaineknek a 85.8%-a, amelyek egyáltalán vették a fáradságot, hogy beállítsák az SPF-et. Társcikke, az SPF DMARC nélkül, a mechanizmust magyarázza el — miért nem tudja az SPF megvédeni azt a „Feladó” címet, amelyet egy ember valóban lát; ez a cikk a populációt méri — hány domaint hagy kitéve ez a rés, és milyen alakú a kitettség.
Röviden: az SPF beállítása a leggyakoribb e-mail-biztonsági cselekedet az interneten, és a túlnyomó többségük számára, amelyik megtette, egyben az utolsó is.
A három populáció
139 millió domain — közülük 138,911,937 — tesz közzé SPF-rekordot. Aszerint felosztva, mi áll mögötte:
| Populáció | Domainek | Az SPF-közzétevők aránya |
|---|---|---|
| SPF közzétéve, egyáltalán nincs DMARC-rekord | 84,638,430 | 60.9% |
| SPF közzétéve, DMARC jelen van, de sosem kényszerítik ki (bővebb halmaz, tartalmazza a fenti sort) | 119,212,005 | 85.8% |
| SPF + DKIM, kényszerítő DMARC-cal alátámasztva | 10,092,481 | — |
A sorok nem adják ki az SPF-összeget: a maradék olyan SPF-közzétevő, amelynek a DMARC-ja kikényszerít ugyan, de a DKIM-je nincs teljesen a helyén — kényszerítő, mégis kevesebb, mint a teljes hármas, amelyet az alsó sor számol.
A középső sor a lényeg: nagyjából 119 millió domain elvégezte a munkát, hogy bejelentse a jogos küldőit, majd sosem mondta meg a világ postafiókjainak, hogy cselekedjenek ez alapján. Az alsó sor pedig a csattanó: mind a 261 millió osztályozott domain közül mindössze 3.87% — nagyjából 10 millió — teljesen védett e-mailben. A teljes védelem technikailag nem magas mérce; egyszerűen egy olyan út befejezése, amelyet 119 millió domain elkezdett, majd abbahagyott.
Miért ennyire féloldalas a számláló
Az SPF ott van, ahol minden beállítási útmutató kezdődik, ahol a legtöbb levélszolgáltató bevezetése végződik, és amit a legtöbb megfelelőségi ellenőrzőlista valójában tesztel. Látható eredményt hoz létre — egy TXT-rekordot — és egy zöld pipát abban az eszközben, amelyik ellenőrizte. A kényszerített DMARC ennek az ellenkezőjét nyújtja: fokozatosságot követel (közzétenni, megfigyelni, azonosítani a küldőket, majd kikényszeríteni), a jutalma pedig láthatatlan — a hamisított levél csendben megszűnik befutni.
Így az internet a pipára optimalizált. A cenzus megmutatja, hogy néz ez ki nagyban: 85 millió domainnek (84,638,430) van SPF-je és semmiféle DMARC-rekordja — még egy p=none helykitöltő sem. Ezek a tulajdonosok nem lusták; követték a nekik adott utasításokat, és az utasítások korán véget értek.
Mit jelent itt valójában a „lefedett”
Következmény, nem félelemkeltés: egy SPF-fel rendelkező, de kényszerítő DMARC nélküli domain még mindig megszemélyesíthető azon az egy helyen, ahová az emberek néznek — a látható „Feladó” sorban. Az SPF lehetővé teszi, hogy a fogadó szerverek ellenőrizzék, mely gépek küldhetnek a boríték-domain nevében, de DMARC nélkül nincs olyan követelmény, hogy a látható feladó bármivel egyezzen, amit az SPF ellenőrzött, és nincs utasítás a bukott levél elutasítására. A hamisított számla, a hamis jelszó-visszaállítás, a szállítói fizetés átirányítása — mind kézbesíthető marad az ügyfeleinek és beszállítóinak az ön nevében, az SPF-rekord ellenére.
A DMARC-érettség hat szakaszában ez a 119 millió domain az 1–3. szakaszban ragadt — az alap kész, vagy részben kész, az ajtót viszont sosem szerelték be. Az onnan a védettségig vezető távolság jól ismert és többnyire eljárási jellegű; amit ez a cenzus hozzátesz, az az a tudás, hogy szinte senki nem járja végig.
Ha az ön domainje az egyike a 119 milliónak
- Tartsa meg az SPF-et — ez előfeltétel, nem hiba. (SPF javítása →.)
- Adjon hozzá DKIM-et, hogy a levele ne csak forrás szerint legyen igazolva, hanem alá is legyen írva. (DKIM javítása →.)
- Tegyen közzé DMARC-ot jelentéskészítéssel, majd kényszerítse ki — először
p=nonerua=-val, azonosítson minden jogos küldőt, majd lépjen tovább aquarantineés arejectfelé. Ez az a lépés, amely a „beállítottat” „védetté” alakítja. (DMARC javítása →.)
Gyakran ismételt kérdések
Elég az SPF ahhoz, hogy megvédjen egy domaint a hamisítástól? Nem. Az SPF a küldő szervereket validálja a boríték-domain ellenében; nem ellenőrzi a látható „Feladó” címet, és nem is utasítja a fogadókat a bukások elutasítására. Csak egy kényszerítő DMARC-házirend teszi meg mindkettőt — és 119,212,005 domain tesz közzé SPF-et ilyen nélkül.
Hány domainnek van SPF-je, de egyáltalán nincs DMARC-ja? 84,638,430 — az összes SPF-közzétevő 60.9%-ának semmiféle DMARC-rekordja nincs, még megfigyelő üzemmódban sem.
Hány domain teljesen védett?
10,092,481 — a 261 millió osztályozott domain 3.87%-a egyesíti az SPF-et és a DKIM-et egy quarantine vagy reject DMARC-házirenddel.
Legalább segít, ha van SPF? Igen — ez az alap, amelyhez a DMARC viszonyít, és javítja a jogos levele kézbesíthetőségét. Csak épp önmagában semmit nem véd meg; ez a háromból az első lépés, és a cenzus megmutatja, hogy az internet nagy része az egész lépcsőnek tekintette.
Nézze meg, melyik populációba tartozik a domainje
A „beállítottuk az SPF-et” 139 millió domaint ír le; a „védettek vagyunk” 10 milliót. Kideríteni, melyik ön, egy percbe telik, bizalmasan és ingyen — nézze meg, a 34 ellenőrzés közül melyiken felel meg, és hogyan javítsa ki azokat, amelyeken nem.
Ellenőrizze a domainjét → · A DMARC-érettség 6 szakasza → · A DMARC-pillér → · Csak aggregált adatok. Az adatokat az EU-ban tároljuk és dolgozzuk fel.