Defaults.Exposed

Defaults.Exposed › Jelentések

Az SPF nem elég: az a 119 millió domain, amely sosem kényszerít ki semmit

Közzétéve 2026-07-03 · frissítve 2026-07-03

Az adatok 2026-06-29 állapot szerint · v7 módszertan. Cenzus-adatok, amelyek domainenként összekapcsolják az ellenőrzéseket 261 millió osztályozott domainen át. „Kényszerítő” = quarantine vagy reject DMARC-házirend; „teljesen védett” = az SPF és a DKIM egyaránt megvan, plusz kényszerítő DMARC — a teljes e-mail-hitelesítési hármas. Minden adat aggregált — soha nem tesszük közzé egyetlen vállalkozás osztályzatát sem.

A számláló: hány domain támaszkodik egyedül az SPF-re

Az SPF önmagában nem elég ahhoz, hogy megállítsa az e-mailes megszemélyesítést — és a cenzus mostantól meg tudja számolni, hány domain támaszkodik rá mégis: 119,212,005 (119 millió) tesz közzé SPF-et, de sosem kényszeríti ki a DMARC-ot. Ez azoknak a domaineknek a 85.8%-a, amelyek egyáltalán vették a fáradságot, hogy beállítsák az SPF-et. Társcikke, az SPF DMARC nélkül, a mechanizmust magyarázza el — miért nem tudja az SPF megvédeni azt a „Feladó” címet, amelyet egy ember valóban lát; ez a cikk a populációt méri — hány domaint hagy kitéve ez a rés, és milyen alakú a kitettség.

Röviden: az SPF beállítása a leggyakoribb e-mail-biztonsági cselekedet az interneten, és a túlnyomó többségük számára, amelyik megtette, egyben az utolsó is.

A három populáció

139 millió domain — közülük 138,911,937 — tesz közzé SPF-rekordot. Aszerint felosztva, mi áll mögötte:

PopulációDomainekAz SPF-közzétevők aránya
SPF közzétéve, egyáltalán nincs DMARC-rekord84,638,43060.9%
SPF közzétéve, DMARC jelen van, de sosem kényszerítik ki (bővebb halmaz, tartalmazza a fenti sort)119,212,00585.8%
SPF + DKIM, kényszerítő DMARC-cal alátámasztva10,092,481

A sorok nem adják ki az SPF-összeget: a maradék olyan SPF-közzétevő, amelynek a DMARC-ja kikényszerít ugyan, de a DKIM-je nincs teljesen a helyén — kényszerítő, mégis kevesebb, mint a teljes hármas, amelyet az alsó sor számol.

A középső sor a lényeg: nagyjából 119 millió domain elvégezte a munkát, hogy bejelentse a jogos küldőit, majd sosem mondta meg a világ postafiókjainak, hogy cselekedjenek ez alapján. Az alsó sor pedig a csattanó: mind a 261 millió osztályozott domain közül mindössze 3.87% — nagyjából 10 millió — teljesen védett e-mailben. A teljes védelem technikailag nem magas mérce; egyszerűen egy olyan út befejezése, amelyet 119 millió domain elkezdett, majd abbahagyott.

Miért ennyire féloldalas a számláló

Az SPF ott van, ahol minden beállítási útmutató kezdődik, ahol a legtöbb levélszolgáltató bevezetése végződik, és amit a legtöbb megfelelőségi ellenőrzőlista valójában tesztel. Látható eredményt hoz létre — egy TXT-rekordot — és egy zöld pipát abban az eszközben, amelyik ellenőrizte. A kényszerített DMARC ennek az ellenkezőjét nyújtja: fokozatosságot követel (közzétenni, megfigyelni, azonosítani a küldőket, majd kikényszeríteni), a jutalma pedig láthatatlan — a hamisított levél csendben megszűnik befutni.

Így az internet a pipára optimalizált. A cenzus megmutatja, hogy néz ez ki nagyban: 85 millió domainnek (84,638,430) van SPF-je és semmiféle DMARC-rekordja — még egy p=none helykitöltő sem. Ezek a tulajdonosok nem lusták; követték a nekik adott utasításokat, és az utasítások korán véget értek.

Mit jelent itt valójában a „lefedett”

Következmény, nem félelemkeltés: egy SPF-fel rendelkező, de kényszerítő DMARC nélküli domain még mindig megszemélyesíthető azon az egy helyen, ahová az emberek néznek — a látható „Feladó” sorban. Az SPF lehetővé teszi, hogy a fogadó szerverek ellenőrizzék, mely gépek küldhetnek a boríték-domain nevében, de DMARC nélkül nincs olyan követelmény, hogy a látható feladó bármivel egyezzen, amit az SPF ellenőrzött, és nincs utasítás a bukott levél elutasítására. A hamisított számla, a hamis jelszó-visszaállítás, a szállítói fizetés átirányítása — mind kézbesíthető marad az ügyfeleinek és beszállítóinak az ön nevében, az SPF-rekord ellenére.

A DMARC-érettség hat szakaszában ez a 119 millió domain az 1–3. szakaszban ragadt — az alap kész, vagy részben kész, az ajtót viszont sosem szerelték be. Az onnan a védettségig vezető távolság jól ismert és többnyire eljárási jellegű; amit ez a cenzus hozzátesz, az az a tudás, hogy szinte senki nem járja végig.

Ha az ön domainje az egyike a 119 milliónak

  1. Tartsa meg az SPF-et — ez előfeltétel, nem hiba. (SPF javítása →.)
  2. Adjon hozzá DKIM-et, hogy a levele ne csak forrás szerint legyen igazolva, hanem alá is legyen írva. (DKIM javítása →.)
  3. Tegyen közzé DMARC-ot jelentéskészítéssel, majd kényszerítse ki — először p=none rua=-val, azonosítson minden jogos küldőt, majd lépjen tovább a quarantine és a reject felé. Ez az a lépés, amely a „beállítottat” „védetté” alakítja. (DMARC javítása →.)

Gyakran ismételt kérdések

Elég az SPF ahhoz, hogy megvédjen egy domaint a hamisítástól? Nem. Az SPF a küldő szervereket validálja a boríték-domain ellenében; nem ellenőrzi a látható „Feladó” címet, és nem is utasítja a fogadókat a bukások elutasítására. Csak egy kényszerítő DMARC-házirend teszi meg mindkettőt — és 119,212,005 domain tesz közzé SPF-et ilyen nélkül.

Hány domainnek van SPF-je, de egyáltalán nincs DMARC-ja? 84,638,430 — az összes SPF-közzétevő 60.9%-ának semmiféle DMARC-rekordja nincs, még megfigyelő üzemmódban sem.

Hány domain teljesen védett? 10,092,481 — a 261 millió osztályozott domain 3.87%-a egyesíti az SPF-et és a DKIM-et egy quarantine vagy reject DMARC-házirenddel.

Legalább segít, ha van SPF? Igen — ez az alap, amelyhez a DMARC viszonyít, és javítja a jogos levele kézbesíthetőségét. Csak épp önmagában semmit nem véd meg; ez a háromból az első lépés, és a cenzus megmutatja, hogy az internet nagy része az egész lépcsőnek tekintette.

Nézze meg, melyik populációba tartozik a domainje

A „beállítottuk az SPF-et” 139 millió domaint ír le; a „védettek vagyunk” 10 milliót. Kideríteni, melyik ön, egy percbe telik, bizalmasan és ingyen — nézze meg, a 34 ellenőrzés közül melyiken felel meg, és hogyan javítsa ki azokat, amelyeken nem.

Ellenőrizze a domainjét → · A DMARC-érettség 6 szakasza → · A DMARC-pillér → · Csak aggregált adatok. Az adatokat az EU-ban tároljuk és dolgozzuk fel.