Defaults.Exposed

Defaults.Exposed › Laporan

SPF Saja Tidak Cukup: 119 Juta Domain yang Tidak Pernah Menegakkan

Diterbitkan 2026-07-03 · diperbarui 2026-07-03

Angka per 2026-06-29 · metodologi v7. Data sensus yang menggabungkan pemeriksaan per domain di seluruh 261 juta domain yang dinilai. “Menegakkan” = kebijakan DMARC berupa quarantine atau reject; “sepenuhnya terlindungi” = SPF dan DKIM keduanya tersedia, ditambah DMARC yang menegakkan — trio autentikasi email yang lengkap. Semua angka bersifat agregat — kami tidak pernah menerbitkan nilai dari satu bisnis pun.

Hitungannya: berapa banyak domain yang hanya mengandalkan SPF

SPF saja tidak cukup untuk menghentikan peniruan email — dan sensus kini dapat menghitung berapa banyak domain yang tetap mengandalkannya: 119,212,005 (119 juta) menerbitkan SPF tetapi tidak pernah menegakkan DMARC. Itu adalah 85.8% dari setiap domain yang repot-repot mengatur SPF. Artikel pendampingnya, SPF tanpa DMARC, menjelaskan mekanismenya — mengapa SPF tidak bisa membela alamat “From” yang benar-benar dilihat seseorang; artikel ini mengukur populasinya — berapa banyak domain yang celah itu biarkan terpapar, dan seperti apa bentuk paparannya.

Versi singkatnya: mengatur SPF adalah tindakan keamanan email yang paling umum di internet, dan bagi sebagian besar domain yang melakukannya, itu juga menjadi tindakan terakhir.

Tiga populasi

139 juta domain — 138,911,937 di antaranya — menerbitkan catatan SPF. Dipilah berdasarkan apa yang menopangnya:

PopulasiDomainBagian dari penerbit SPF
SPF diterbitkan, tanpa catatan DMARC sama sekali84,638,43060.9%
SPF diterbitkan, DMARC ada tetapi tidak pernah ditegakkan (superset, termasuk baris di atas)119,212,00585.8%
SPF + DKIM, didukung DMARC yang menegakkan10,092,481

Baris-baris ini tidak dijumlahkan menjadi total SPF: sisanya adalah penerbit SPF yang DMARC-nya memang menegakkan tetapi DKIM-nya belum sepenuhnya tersedia — menegakkan, namun belum mencapai trio lengkap yang dihitung baris paling bawah.

Baris tengah adalah judul utamanya: sekitar 119 juta domain melakukan pekerjaan mendeklarasikan pengirim sahnya lalu tidak pernah menyuruh kotak masuk dunia untuk bertindak atas hal itu. Dan baris paling bawah adalah pukulan penutupnya: di seluruh 261 juta domain yang dinilai, hanya 3.87% — sekitar 10 juta — yang sepenuhnya terlindungi email. Perlindungan penuh secara teknis bukanlah standar yang tinggi; ia hanyalah akhir dari sebuah perjalanan yang dimulai dan dihentikan oleh 119 juta domain.

Mengapa hitungannya begitu timpang

SPF adalah tempat setiap panduan penyiapan dimulai, tempat proses orientasi sebagian besar penyedia email berakhir, dan apa yang sebenarnya diuji oleh sebagian besar daftar periksa kepatuhan. Ia menghasilkan artefak yang terlihat — sebuah catatan TXT — dan tanda centang hijau di alat mana pun yang memeriksanya. DMARC yang ditegakkan menghasilkan pengalaman sebaliknya: ia menuntut progres (terbitkan, amati, identifikasi pengirim, lalu tegakkan), dan imbalannya tidak terlihat — email palsu yang diam-diam berhenti tiba.

Maka internet mengoptimalkan untuk tanda centang. Sensus menunjukkan seperti apa hal itu dalam skala besar: 85 juta domain (84,638,430) memiliki SPF dan tanpa catatan DMARC jenis apa pun — bahkan tidak ada placeholder p=none. Para pemilik ini bukanlah malas; mereka mengikuti instruksi yang diberikan kepada mereka, dan instruksi itu berhenti terlalu dini.

Apa arti “tercakup” di sini sebenarnya

Konsekuensi, bukan ketakutan: sebuah domain dengan SPF dan tanpa DMARC yang menegakkan masih dapat ditiru di satu tempat yang dilihat manusia — baris “From” yang terlihat. SPF memungkinkan server penerima memverifikasi mesin mana yang boleh mengirim atas nama domain envelope, tetapi tanpa DMARC tidak ada keharusan bahwa pengirim yang terlihat cocok dengan apa pun yang diperiksa SPF, dan tidak ada instruksi untuk menolak email yang gagal. Faktur palsu, reset kata sandi palsu, pengalihan pembayaran pemasok — semuanya tetap dapat terkirim kepada pelanggan dan pemasok Anda atas nama Anda, kendati catatan SPF ada.

Dalam enam tahap kematangan DMARC, 119 juta domain ini terjebak di Tahap 1–3 — fondasi terbangun, atau sebagian terbangun, dan pintunya tidak pernah dipasang. Jarak dari sana ke terlindungi sudah dipahami dengan baik dan sebagian besar bersifat prosedural; yang ditambahkan sensus ini adalah pengetahuan bahwa hampir tidak ada yang menempuhnya.

Jika domain Anda adalah salah satu dari 119 juta

  1. Pertahankan SPF — ia adalah prasyarat, bukan kesalahan. (Perbaiki SPF →.)
  2. Tambahkan DKIM agar email Anda ditandatangani sekaligus disumberkan. (Perbaiki DKIM →.)
  3. Terbitkan DMARC dengan pelaporan, lalu tegakkanp=none dengan rua= terlebih dahulu, identifikasi setiap pengirim yang sah, lalu beralih ke quarantine dan reject. Inilah langkah yang mengubah “terkonfigurasi” menjadi “terlindungi”. (Perbaiki DMARC →.)

Pertanyaan yang sering diajukan

Apakah SPF cukup untuk melindungi domain dari spoofing? Tidak. SPF memvalidasi server pengirim terhadap domain envelope; ia tidak memeriksa alamat “From” yang terlihat maupun menyuruh penerima untuk menolak kegagalan. Hanya kebijakan DMARC yang menegakkan yang melakukan keduanya — dan 119,212,005 domain menerbitkan SPF tanpa satu pun.

Berapa banyak domain yang memiliki SPF tetapi tanpa DMARC sama sekali? 84,638,430 — 60.9% dari semua penerbit SPF tidak memiliki catatan DMARC jenis apa pun, bahkan tidak dalam mode pemantauan.

Berapa banyak domain yang sepenuhnya terlindungi? 10,092,481 — 3.87% dari 261 juta domain yang dinilai menggabungkan SPF dan DKIM dengan kebijakan DMARC berupa quarantine atau reject.

Apakah memiliki SPF setidaknya membantu? Ya — ia adalah fondasi yang dievaluasi DMARC, dan ia meningkatkan keterkiriman email sah Anda. Ia hanya tidak melindungi apa pun dengan sendirinya; ia adalah langkah satu dari tiga, dan sensus menunjukkan sebagian besar internet memperlakukannya sebagai seluruh tangganya.

Periksa domain Anda berada di populasi yang mana

“Kami mengatur SPF” menggambarkan 139 juta domain; “kami terlindungi” menggambarkan 10 juta. Mencari tahu Anda yang mana hanya butuh satu menit, secara pribadi dan gratis — lihat mana dari 34 pemeriksaan yang Anda lulus dan cara memperbaiki yang tidak Anda lulus.

Periksa domain Anda → · Enam tahap kematangan DMARC → · Pilar DMARC → · Hanya data agregat. Data disimpan dan diproses di UE.