Defaults.Exposed

Defaults.Exposed › Laporan

SPF Tidak Mencukupi: 119 Juta Domain Yang Tidak Pernah Menguatkuasakannya

Diterbitkan 2026-07-03 · dikemas kini 2026-07-03

Angka setakat 2026-06-29 · metodologi v7. Data banci menggabungkan semakan setiap domain merentasi 261 juta domain yang digredkan. “Menguatkuasakan” = dasar DMARC quarantine atau reject; “dilindungi sepenuhnya” = SPF dan DKIM kedua-duanya tersedia, ditambah DMARC yang menguatkuasakan — triad pengesahan e-mel yang lengkap. Semua angka adalah agregat — kami tidak pernah menerbitkan gred sesebuah perniagaan individu.

Kiraan: berapa banyak domain yang bergantung pada SPF sahaja

SPF sahaja tidak mencukupi untuk menghalang penyamaran e-mel — dan banci kini boleh mengira berapa banyak domain yang tetap bergantung padanya: 119,212,005 (119 juta) menerbitkan SPF tetapi tidak pernah menguatkuasakan DMARC. Itu ialah 85.8% daripada setiap domain yang bersusah payah menyediakan SPF. Artikel iringannya, SPF tanpa DMARC, menerangkan mekanismenya — mengapa SPF tidak dapat mempertahankan alamat “From” yang sebenarnya dilihat oleh seseorang; artikel ini pula mengukur populasinya — berapa banyak domain yang jurang itu biarkan terdedah, dan bagaimana bentuk pendedahan itu.

Versi ringkasnya: menyediakan SPF ialah tindakan keselamatan e-mel yang paling lazim di internet, dan bagi majoriti besar domain yang melakukannya, ia juga merupakan tindakan terakhir.

Tiga populasi

139 juta domain — 138,911,937 daripadanya — menerbitkan rekod SPF. Dibahagikan mengikut apa yang menyokongnya:

PopulasiDomainBahagian daripada penerbit SPF
SPF diterbitkan, tiada rekod DMARC langsung84,638,43060.9%
SPF diterbitkan, DMARC hadir tetapi tidak pernah dikuatkuasakan (superset, termasuk baris di atas)119,212,00585.8%
SPF + DKIM, disokong oleh DMARC yang menguatkuasakan10,092,481

Baris-baris ini tidak berjumlah kepada jumlah SPF: bakinya ialah penerbit SPF yang DMARC-nya menguatkuasakan tetapi DKIM-nya tidak tersedia sepenuhnya — menguatkuasakan, namun belum mencapai triad lengkap yang dikira oleh baris terakhir.

Baris tengah ialah tajuk utamanya: kira-kira 119 juta domain melakukan kerja mengisytiharkan penghantar sah mereka dan kemudian tidak pernah menyuruh peti masuk seluruh dunia bertindak atasnya. Dan baris terakhir ialah kesimpulan gigihnya: merentasi kesemua 261 juta domain yang digredkan, hanya 3.87% — kira-kira 10 juta — yang dilindungi e-mel sepenuhnya. Perlindungan penuh bukanlah sasaran yang tinggi dari segi teknikal; ia hanyalah penamat sebuah perjalanan yang dimulakan dan diberhentikan oleh 119 juta domain.

Mengapa kiraannya begitu berat sebelah

SPF ialah tempat setiap panduan penyediaan bermula, tempat proses onboarding kebanyakan penyedia mel berakhir, dan apa yang sebenarnya diuji oleh kebanyakan senarai semak pematuhan. Ia menghasilkan artifak yang boleh dilihat — rekod TXT — dan tanda hijau dalam apa jua alat yang menyemaknya. DMARC yang dikuatkuasakan menghasilkan pengalaman sebaliknya: ia menuntut kemajuan berperingkat (menerbitkan, memerhati, mengenal pasti penghantar, kemudian menguatkuasakan), dan ganjarannya tidak kelihatan — mel palsu yang senyap-senyap berhenti sampai.

Jadi internet mengoptimumkan demi tanda itu. Banci menunjukkan rupa keadaan itu pada skala besar: 85 juta domain (84,638,430) mempunyai SPF dan tiada rekod DMARC dalam apa jua bentuk — malah tiada penanda tempat p=none sekalipun. Pemilik ini bukan malas; mereka mengikuti arahan yang diberikan kepada mereka, dan arahan itu berhenti awal.

Apa erti “dilindungi” di sini sebenarnya

Akibat, bukan ketakutan: sesebuah domain dengan SPF tetapi tanpa DMARC yang menguatkuasakan masih boleh disamar di satu tempat yang dilihat oleh manusia — baris “From” yang kelihatan. SPF membolehkan pelayan penerima mengesahkan mesin mana yang boleh menghantar bagi pihak domain sampul, tetapi tanpa DMARC tiada keperluan bahawa penghantar yang kelihatan sepadan dengan apa-apa yang disemak oleh SPF, dan tiada arahan untuk menolak mel yang gagal. Invois palsu, penetapan semula kata laluan tiruan, pengalihan bayaran pembekal — semuanya kekal boleh dihantar kepada pelanggan dan pembekal anda atas nama anda, walaupun rekod SPF wujud.

Dalam enam peringkat kematangan DMARC, 119 juta domain ini tersekat di Peringkat 1–3 — lantai telah dibina, atau separuh dibina, dan pintu tidak pernah dipasang. Jarak dari situ ke tahap dilindungi difahami dengan baik dan kebanyakannya bersifat prosedur; apa yang ditambah oleh banci ini ialah pengetahuan bahawa hampir tiada sesiapa yang menempuhnya.

Jika domain anda ialah salah satu daripada 119 juta itu

  1. Kekalkan SPF — ia satu prasyarat, bukan kesilapan. (Baiki SPF →.)
  2. Tambah DKIM supaya mel anda ditandatangani dan bukan sekadar bersumber. (Baiki DKIM →.)
  3. Terbitkan DMARC dengan pelaporan, kemudian kuatkuasakanp=none dengan rua= dahulu, kenal pasti setiap penghantar sah, kemudian beralih ke quarantine dan reject. Inilah langkah yang menukar “dikonfigurasi” kepada “dilindungi”. (Baiki DMARC →.)

Soalan lazim

Adakah SPF mencukupi untuk melindungi domain daripada penyamaran? Tidak. SPF mengesahkan pelayan penghantar terhadap domain sampul; ia tidak menyemak alamat “From” yang kelihatan mahupun menyuruh penerima menolak kegagalan. Hanya dasar DMARC yang menguatkuasakan melakukan kedua-duanya — dan 119,212,005 domain menerbitkan SPF tanpanya.

Berapa banyak domain yang mempunyai SPF tetapi tiada DMARC langsung? 84,638,430 — 60.9% daripada semua penerbit SPF tiada rekod DMARC dalam apa jua bentuk, malah tiada mod pemantauan sekalipun.

Berapa banyak domain yang dilindungi sepenuhnya? 10,092,481 — 3.87% daripada 261 juta domain yang digredkan menggabungkan SPF dan DKIM dengan dasar DMARC quarantine atau reject.

Adakah memiliki SPF sekurang-kurangnya membantu? Ya — ia ialah asas yang dinilai oleh DMARC, dan ia meningkatkan kebolehhantaran mel sah anda. Cuma ia tidak melindungi apa-apa dengan sendirinya; ia langkah satu daripada tiga, dan banci menunjukkan bahawa sebahagian besar internet menganggapnya sebagai keseluruhan tangga.

Semak dalam populasi mana domain anda berada

“Kami sediakan SPF” menggambarkan 139 juta domain; “kami dilindungi” menggambarkan 10 juta. Mengetahui yang mana satu anda mengambil masa seminit, secara peribadi dan percuma — lihat yang mana antara 34 semakan yang anda lulus dan cara membaiki yang gagal.

Semak domain anda → · Enam peringkat kematangan DMARC → · Tonggak DMARC → · Data agregat sahaja. Data disimpan dan diproses di EU.