Defaults.Exposed

Defaults.Exposed › Rapporten

Het SPF Adoption Maturity Model (SPFAMM): de 6 fasen van SPF (2026)

Gepubliceerd 2026-07-03

Cijfers per 2026-06-29 · methodologie v7. Een referentiemodel onderbouwd door een terugkerende telling van 261 miljoen gegradeerde domeinen; elke editie meet dezelfde populatie opnieuw, zodat de cijfers in de tijd gevolgd kunnen worden. Alle cijfers zijn geaggregeerd — we publiceren nooit het record van een individueel bedrijf.

Op welke fase staat het internet?

Fase 2,4 van 6. Gemeten over 261 miljoen domeinen heeft het gemiddelde domein nog geen werkend SPF-hek bereikt — en het internet als geheel scoort 29 van de 100 op SPF-sterkte. SPF publiceren is de meest voorkomende daad van e-mailbeveiliging die er is (53,21% van de domeinen doet het), maar de meeste van die records blijven steken op een instelling die ontvangers vraagt om vervalsingen toch af te leveren.

Het probleem is niet de adoptie — het is dat de meeste volwassenheidsadviezen stoppen bij “we hebben SPF gepubliceerd”, alsof het record zelf de prestatie was. Een SPF-record kan het hele internet autoriseren, geen mening uitspreken, zichzelf stilletjes ongeldig maken, of voor altijd op softfail blijven staan omdat het aanscherpen ervan werk is dat niemand heeft ingepland. Een nuttig model geeft elk van die toestanden een naam. Dit model doet dat: het SPF Adoption Maturity Model — SPFAMM, zes fasen, één stap per keer, en een naam die je kunt citeren. Het is de SPF-tegenhanger van de zes fasen van DMARC-volwassenheid.

Wat zijn de zes fasen van SPF-volwassenheid?

Elk van de 261 miljoen gegradeerde domeinen bevindt zich op precies één van de fasen 1–5, en die vijf populaties tellen exact op tot het telling-totaal; fase 6 is de geharde deelverzameling die binnen fase 5 wordt geteld. Dat is wat SPFAMM een meting maakt in plaats van een poster.

FaseNaamDomeinenAandeel
1Onbeschermd121.145.60946,4%
2Permissief of kapot7.798.3663,0%
3Zacht omheind70.368.60027,0%
4Strikt42.514.53216,3%
5Uitgelijnd19.259.1257,4%
6Gehard10.092.4813,87%

(Fase 6 is de geharde deelverzameling van de uitgelijnde domeinen in fase 5, dus de fasen 1–5 verdelen de telling en fase 6 ligt binnen fase 5.)

Fase 1 — Onbeschermd. Geen v=spf1-record. Geen enkele ontvanger controleert iets; het domein vervalsen op het SPF-onderdeel is eenvoudig. De stap: publiceer een v=spf1-record met daarin je echte verzenders, eindigend op een fail-kwalificatie.

Fase 2 — Permissief of kapot. Er bestaat een record, maar het beschermt niets. Deze fase verzamelt de tandeloze eindes — ?all neutraal (3,0% van de publiceerders) en de +all-welkomstmat — samen met de kapotte records: meerdere v=spf1-records, die de standaard volledig ongeldig verklaart, en fragmentarische records zonder bruikbaar einde. Eén uitzondering: ongeveer 2,1 miljoen records eindigen op redirect=, wat geldige delegatie is — hun echte beleid staat op het doel, en we tellen ze hier alleen mee omdat hun eigen record geen oordeel bevat. De stap: één record, één echt einde — ~all of -all.

Fase 3 — Zacht omheind. Het record eindigt op ~all (softfail) zonder dat er iets achter zit dat handhaaft — 70,4 miljoen domeinen, de grootste populatie van alle fasen met gepubliceerde SPF. Softfail is een echt hek met een open poort: het vertelt ontvangers “e-mail van elders is waarschijnlijk vervalst”, en vraagt ze die toch af te leveren. De stap: klim over de muur — breng elke verzender in kaart en kies daarna een van beide routes omhoog (hieronder).

Fase 4 — Strikt. Het record eindigt op -all: 42,5 miljoen domeinen die ronduit “wijs iedereen anders af” publiceren, nog zonder DMARC-handhaving erachter. Eén eerlijke kanttekening die onze eigen meting nu kwantificeert: een -all-record dat de limiet van 10 lookups overschrijdt is ongeldig, hoe strikt het er ook uitziet — ten minste 112.215 van de -all-records op het internet verkeren in die toestand. De stap: zet een handhavend DMARC-beleid achter het record, zodat er overal op fouten wordt gehandeld.

Fase 5 — Uitgelijnd. SPF — zacht of strikt — zit achter DMARC p=quarantine of p=reject. Dit is de fase waarin het spoofen van precies jouw domein daadwerkelijk stopt bij elke grote mailboxaanbieder: 19,3 miljoen domeinen, waarvan 7,1 miljoen ~all combineren met handhaving (het patroon dat Google’s afzenderrichtlijnen aanbevelen) en 12,1 miljoen -all ermee combineren. De stap: voeg DKIM toe en blijf opletten — records verrotten.

Fase 6 — Gehard. SPF plus DKIM plus handhavend DMARC — de volledig beschermde verzameling, 10.092.481 domeinen, 3,87% van het internet — plus de discipline van het monitoren op drift: include:-ketens veranderen, aanbieders verhuizen IP’s, iemand koppelt een nieuwe tool die namens jou verstuurt. De stap: blijf hier. Het is een praktijk, geen medaille.

De geen-e-mail-baan. Een domein dat geen e-mail verstuurt kan in één bewerking naar de top springen: SPF -all plus DMARC p=reject. Niets legitiems om te beschermen betekent geen muur om over te klimmen — en het sluit een van de meest voorkomende vectoren voor identiteitsvervalsing die er zijn.

Waarom is fase 3 waar het internet vastloopt?

Omdat bijna elke andere stap een kleine DNS-bewerking is, en de stap uit fase 3 werk is: het opsommen van elk systeem dat legitiem namens jou verstuurt — mailboxaanbieder, nieuwsbriefplatform, CRM, facturatietool, dat ding dat marketing afgelopen voorjaar heeft aangemeld — en die inpassen in één record zonder het budget van 10 lookups op te blazen. Dat is de muur. ~all is de laatste sport die bereikbaar is zonder dat te doen, en daarom rusten 70,4 miljoen domeinen daar.

Vanaf de top van de muur zijn er twee routes omhoog, en beide komen uit bij fase 5:

De telling laat zien hoe zelden een van beide routes wordt afgemaakt: van de 77,5 miljoen softfail-records hebben er slechts 7,1 miljoen — ongeveer 1 op 11 — handhaving erachter.

Hoe wordt de SPF Strength Score berekend?

Eenvoudig, en we houden de wegingen constant zodat de score van maand tot maand vergelijkbaar is: volledig krediet voor domeinen waar iets handhaaft (fasen 5–6), half krediet voor een echt hek waarop niemand handelt (fasen 3–4), niets voor afwezige, permissieve of kapotte records. Op die schaal scoort het internet 29/100 per 2026-06-29. Bijna de helft van de populatie draagt nul bij, omdat die helemaal niets publiceert.

Hoe vind ik de fase van mijn domein?

De fasen 1–4 zijn rechtstreeks af te lezen uit je DNS-record; fase 5 voegt je DMARC-beleid toe; fase 6 voegt DKIM toe. Het enige wat een blik je niet kan vertellen, is of een strikt record stiekem boven de lookup-limiet zit — dat vergt het uitresolven van de keten, wat onze checker voor je doet.

Veelgestelde vragen

Wat is SPFAMM? Het SPF Adoption Maturity Model — het zesfasige model op deze pagina: Onbeschermd, Permissief/kapot, Zacht omheind, Strikt, Uitgelijnd, Gehard. De fase van elk domein is te berekenen uit zijn DNS: de fasen 1–5 verdelen de telling van 261 miljoen domeinen exact, en fase 6 is de geharde deelverzameling binnen fase 5.

Op welke fase staan de meeste domeinen? Fase 1 — 46,4% van de domeinen publiceert helemaal geen SPF. Onder de domeinen die wél publiceren is fase 3 (softfail zonder handhaving) de meest voorkomende rustplaats, met 70,4 miljoen domeinen. Het populatiegewogen gemiddelde is fase 2,4.

Is ~all softfail goed genoeg? Alleen met een handhavend DMARC-beleid erachter — die combinatie is fase 5 en het patroon dat Google’s afzenderrichtlijnen aanbevelen. Op zichzelf is het fase 3: een echt hek, een open poort. De volledige vergelijking staat in ~all vs -all.

Moet ik -all bereiken om veilig te zijn? Nee. Fase 4 is een van twee routes, geen vereiste — ~all houden en handhaven met DMARC p=reject komt uit op dezelfde bescherming bij DMARC-evaluerende ontvangers. Wat wél vereist is, is de muur: elke verzender kennen voordat er iets handhaaft.

Hoeveel domeinen doorlopen alle zes de fasen? 10.092.481 — 3,87% van het internet — houden SPF, DKIM en een handhavend DMARC-beleid samen. Elke fase-overgang is gratis; de details staan in de weinige beschermden.

Controleer waar jouw domein staat

Jouw domein bevindt zich op precies één van deze zes fasen, en de volgende stap is in 30 seconden te achterhalen — gratis, en elke fix langs de ladder is een DNS-wijziging, geen aankoop.

Controleer je domein → · Herstel SPF → · ~all vs -all · Het SPF PermError-rapport → · De 6 fasen van DMARC-volwassenheid → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.