Defaults.Exposed › Ataskaitos
SPF diegimo brandos modelis (SPFAMM): 6 SPF etapai (2026)
Paskelbta 2026-07-03
Skaičiai 2026-06-29 būsenos · metodika v7. Etaloninis modelis, paremtas pasikartojančiu 261 milijonų įvertintų domenų surašymu; kiekvienas leidimas iš naujo įvertina tą pačią populiaciją, todėl skaičius galima stebėti laike. Visi skaičiai yra suvestiniai — mes niekada nepublikuojame atskiro verslo įrašo.
Kokiame etape yra internetas?
2.4 etape iš 6. Įvertinus 261 milijonų domenų, vidutinis domenas dar nepasiekė veikiančios SPF tvoros — o internetas kaip visuma SPF stiprumu surenka 29 iš 100. SPF paskelbimas yra dažniausiai atliekamas el. pašto saugumo veiksmas (53.21% domenų tai daro), tačiau daugelis tų įrašų sustoja ties nustatymu, kuris prašo gavėjų vis tiek pristatyti klastotes.
Problema yra ne diegimas — problema ta, kad daugelis brandos rekomendacijų sustoja ties „mes paskelbėme SPF”, tarsi pats įrašas būtų pasiekimas. SPF įrašas gali įgalioti visą internetą, nepareikšti jokios nuomonės, tyliai save panaikinti arba amžinai likti ties softfail, nes jo sugriežtinimas reiškia darbą, kurio niekas nesuplanavo. Naudingas modelis įvardija kiekvieną iš tų būsenų. Šis tai daro: SPF diegimo brandos modelis — SPFAMM, šeši etapai, po vieną žingsnį kiekviename, ir pavadinimas, kurį galite cituoti. Tai SPF atitikmuo šešiems DMARC brandos etapams.
Kokie yra šeši SPF brandos etapai?
Kiekvienas iš 261 milijonų įvertintų domenų yra lygiai viename iš 1–5 etapų, ir tos penkios populiacijos tiksliai sudaro surašymo bendrą sumą; 6 etapas yra sugriežtintas poaibis, skaičiuojamas 5 etapo viduje. Būtent tai daro SPFAMM matavimu, o ne plakatu.
| Etapas | Pavadinimas | Domenai | Dalis |
|---|---|---|---|
| 1 | Neapsaugoti | 121,145,609 | 46.4% |
| 2 | Leidžiantys arba sugadinti | 7,798,366 | 3.0% |
| 3 | Švelniai aptverti | 70,368,600 | 27.0% |
| 4 | Griežti | 42,514,532 | 16.3% |
| 5 | Suderinti | 19,259,125 | 7.4% |
| 6 | Sutvirtinti | 10,092,481 | 3.87% |
(6 etapas yra sutvirtintas 5 etapo suderintų domenų poaibis, todėl 1–5 etapai padalija surašymą, o 6 etapas yra 5 etapo viduje.)
1 etapas — Neapsaugoti. Nėra v=spf1 įrašo. Nė vienas gavėjas nieko netikrina; domeno klastojimas SPF atkarpoje yra lengvas. Žingsnis: paskelbkite v=spf1 įrašą, išvardijantį tikruosius jūsų siuntėjus ir besibaigiantį fail kvalifikatoriumi.
2 etapas — Leidžiantys arba sugadinti. Įrašas egzistuoja, bet nieko neapsaugo. Šis etapas surenka bedantes pabaigas — ?all neutralų (3.0% skelbėjų) ir +all sveikimo kilimėlį — kartu su sugadintais įrašais: keliais v=spf1 įrašais, kuriuos standartas visiškai panaikina, ir fragmentiniais įrašais be tinkamos pabaigos. Viena išimtis: apie 2.1 milijonų įrašų baigiasi redirect=, o tai yra galiojantis delegavimas — jų tikroji politika yra tiksle, ir mes juos čia skaičiuojame tik todėl, kad jų pačių įrašas neneša jokio verdikto. Žingsnis: vienas įrašas, viena tikra pabaiga — ~all arba -all.
3 etapas — Švelniai aptverti. Įrašas baigiasi ~all (softfail) be jokio įgyvendinimo už jo — 70.4 milijonai domenų, didžiausia populiacija tarp visų paskelbtų SPF etapų. Softfail yra tikra tvora su atrakintais vartais: ji sako gavėjams „paštas iš kitur greičiausiai yra suklastotas” ir prašo jų vis tiek jį pristatyti. Žingsnis: užlipkite ant sienos — atsižvelkite į kiekvieną siuntėją, tada rinkitės vieną iš kelių aukštyn (žemiau).
4 etapas — Griežti. Įrašas baigiasi -all: 42.5 milijonai domenų skelbia tiesmuką „atmesti visus kitus”, tačiau dar be DMARC įgyvendinimo už jo. Vienas sąžiningas įspėjimas, kurį dabar kiekybiškai įvertina mūsų pačių matavimas: -all įrašas, kuris viršija 10 paieškų ribą, yra niekinis, kad ir koks griežtas atrodytų — bent 112,215 interneto -all įrašų yra tokios būsenos. Žingsnis: už įrašo padėkite įgyvendinančią DMARC politiką, kad į nesėkmes būtų reaguojama visur.
5 etapas — Suderinti. SPF — švelnus ar griežtas — yra už DMARC p=quarantine arba p=reject. Tai etapas, kuriame tikslus jūsų domeno klastojimas iš tikrųjų sustabdomas kiekviename dideliame pašto teikėjo serveryje: 19.3 milijonai domenų, iš kurių 7.1 milijonai poruoja ~all su įgyvendinimu (modelis, kurį rekomenduoja Google siuntėjų gairės), o 12.1 milijonai poruoja -all su juo. Žingsnis: pridėkite DKIM ir toliau stebėkite — įrašai pūva.
6 etapas — Sutvirtinti. SPF plius DKIM plius įgyvendinantis DMARC — visiškai apsaugotų rinkinys, 10,092,481 domenų, 3.87% interneto — plius drausmė stebėti nuokrypį: include: grandinės keičiasi, teikėjai perkelia IP adresus, kažkas prijungia naują įrankį, kuris siunčia jūsų vardu. Žingsnis: likite čia. Tai praktika, o ne ženkliukas.
Nesiunčiančiųjų juosta. Domenas, kuris nesiunčia jokio pašto, gali šoktelėti į viršų vienu redagavimu: SPF
-allplius DMARCp=reject. Nėra ko teisėto apsaugoti, vadinasi, nėra sienos, į kurią reikia lipti — ir tai uždaro vieną dažniausių apsimetinėjimo vektorių.
Kodėl 3 etape internetas užstringa?
Todėl, kad beveik kiekvienas kitas žingsnis yra nedidelis DNS redagavimas, o išėjimas iš 3 etapo yra darbas: kiekvienos sistemos, kuri teisėtai siunčia jūsų vardu, suskaičiavimas — pašto teikėjo, naujienlaiškių platformos, CRM, sąskaitų faktūrų įrankio, to dalyko, kurį rinkodara užregistravo pernai pavasarį — ir jų sutalpinimas į vieną įrašą neišeikvojant 10 paieškų biudžeto. Tai ir yra siena. ~all yra paskutinis laiptelis, pasiekiamas to nepadarius, todėl 70.4 milijonai domenų ilsisi ten.
Nuo sienos viršaus yra du keliai aukštyn, ir abu atveda į 5 etapą:
- Sugriežtinkite iki
-all(per 4 etapą) — tvirtas ne pačiame įraše. Kada tai teisingas sprendimas, žr.~allprieš-all. - Palikite
~allir įgyvendinkite su DMARCp=reject— kelią, kurį dabar rekomenduoja Google gairės ir dauguma pristatomumo praktikos, nes jis vienodai apsaugo prie DMARC vertinančių gavėjų, neatmesdamas persiųsto pašto.
Surašymas rodo, kaip retai bet kuris kelias užbaigiamas: iš 77.5 milijonų softfail įrašų tik 7.1 milijonai — apie 1 iš 11 — turi įgyvendinimą už savęs.
Kaip apskaičiuojamas SPF stiprumo balas?
Paprastai, ir svorius laikome pastovius, kad balas būtų palyginamas mėnuo iš mėnesio: pilnas kreditas domenams, kuriuose kažkas įgyvendina (5–6 etapai), pusė kredito už tikrą tvorą, į kurią niekas nereaguoja (3–4 etapai), nieko už nesančius, leidžiančius arba sugadintus įrašus. Tokioje skalėje internetas surenka 29/100 2026-06-29 būsenos. Beveik pusė populiacijos prisideda nuliu, nes visiškai nieko neskelbia.
Kaip rasti savo domeno etapą?
1–4 etapai yra nuskaitomi tiesiai iš jūsų DNS įrašo; 5 etapas prideda jūsų DMARC politiką; 6 etapas prideda DKIM. Vienintelis dalykas, kurio žvilgsnis negali pasakyti, yra ar griežtas įrašas slapta nėra virš paieškų ribos — tam reikia išspręsti grandinę, ką jūsų vietoje padaro mūsų tikrintuvas.
Dažnai užduodami klausimai
Kas yra SPFAMM? SPF diegimo brandos modelis — šešių etapų modelis šiame puslapyje: Neapsaugoti, Leidžiantys/sugadinti, Švelniai aptverti, Griežti, Suderinti, Sutvirtinti. Kiekvieno domeno etapas apskaičiuojamas iš jo DNS: 1–5 etapai tiksliai padalija 261 milijonų domenų surašymą, o 6 etapas yra sutvirtintas poaibis 5 etapo viduje.
Kokiame etape yra dauguma domenų? 1 etape — 46.4% domenų visiškai neskelbia SPF. Tarp skelbiančių domenų 3 etapas (softfail be įgyvendinimo) yra dažniausia sustojimo vieta, su 70.4 milijonais domenų. Pagal populiaciją pasvertas vidurkis yra 2.4 etapas.
Ar ~all softfail pakanka?
Tik su įgyvendinančia DMARC politika už jo — tas derinys yra 5 etapas ir modelis, kurį rekomenduoja Google siuntėjų gairės. Pats savaime tai yra 3 etapas: tikra tvora, atrakinti vartai. Visą palyginimą rasite ~all prieš -all.
Ar būtina pasiekti -all, kad būčiau saugus?
Ne. 4 etapas yra vienas iš dviejų kelių, o ne reikalavimas — ~all palikimas ir įgyvendinimas su DMARC p=reject atveda prie tos pačios apsaugos prie DMARC vertinančių gavėjų. Kas reikalinga, tai siena: pažinti kiekvieną siuntėją prieš tai, kai kas nors pradeda įgyvendinti.
Kiek domenų užbaigia visus šešis etapus? 10,092,481 — 3.87% interneto — kartu turi SPF, DKIM ir įgyvendinančią DMARC politiką. Kiekvienas etapo perėjimas yra nemokamas; detales rasite apsaugotieji nedaugelis.
Patikrinkite, kur yra jūsų domenas
Jūsų domenas yra lygiai viename iš šių šešių etapų, o kitą žingsnį galima sužinoti per 30 sekundžių — nemokamai, ir kiekvienas taisymas kopiant laiptais yra DNS pakeitimas, o ne pirkinys.
Patikrinkite savo domeną → · Taisyti SPF → · ~all prieš -all → · SPF PermError ataskaita → · 6 DMARC brandos etapai → · Tik suvestiniai duomenys. Duomenys saugomi ir apdorojami ES.