Defaults.Exposed › Rapporter
SPF er ikke nok: de 119 millioner domenene som aldri håndhever
Publisert 2026-07-03 · oppdatert 2026-07-03
Tall per 2026-06-29 · metodikk v7. Folketellingsdata som kobler sammen sjekker per domene på tvers av 261 millioner graderte domener. “Håndhever” = en DMARC-policy på
quarantineellerreject; “fullt beskyttet” = både SPF og DKIM på plass, pluss håndhevende DMARC — den komplette e-postautentiseringstriaden. Alle tall er aggregerte — vi publiserer aldri en enkelt virksomhets gradering.
Opptellingen: hvor mange domener som stoler på SPF alene
SPF alene er ikke nok til å stoppe e-postimitasjon — og folketellingen kan nå telle hvor mange domener som stoler på det likevel: 119,212,005 (119 millioner) publiserer SPF, men håndhever aldri DMARC. Det er 85.8% av hvert eneste domene som gadd å sette opp SPF. Følgestykket, SPF uten DMARC, forklarer mekanismen — hvorfor SPF ikke kan forsvare “From”-adressen en person faktisk ser; denne artikkelen måler populasjonen — hvor mange domener det gapet lar stå eksponert, og hvordan eksponeringen ser ut.
Kortversjonen: å sette opp SPF er den vanligste handlingen innen e-postsikkerhet på internett, og for det store flertallet av domenene som gjorde det, er det også det siste.
De tre populasjonene
139 millioner domener — 138,911,937 av dem — publiserer en SPF-oppføring. Fordelt etter hva som står bak den:
| Populasjon | Domener | Andel av SPF-publisister |
|---|---|---|
| SPF publisert, ingen DMARC-oppføring i det hele tatt | 84,638,430 | 60.9% |
| SPF publisert, DMARC til stede, men aldri håndhevet (supersett, inkluderer raden over) | 119,212,005 | 85.8% |
| SPF + DKIM, støttet av håndhevende DMARC | 10,092,481 | — |
Radene summeres ikke til SPF-totalen: resten er SPF-publisister hvis DMARC faktisk håndhever, men hvis DKIM ikke er fullt på plass — håndhevende, men uten den komplette triaden som den nederste raden teller.
Den midterste raden er hovedsaken: omtrent 119 millioner domener gjorde jobben med å erklære sine legitime avsendere og fortalte deretter aldri verdens innbokser å handle på det. Og den nederste raden er poenget: på tvers av alle 261 millioner graderte domener er bare 3.87% — omtrent 10 millioner — fullt e-postbeskyttet. Full beskyttelse er ikke en høy terskel teknisk sett; det er rett og slett fullførelsen av en reise som 119 millioner domener startet og stoppet.
Hvorfor opptellingen er så skjev
SPF er der hver oppsettsveiledning begynner, der de fleste e-postleverandørers onboarding slutter, og det de fleste samsvarssjekklister faktisk tester. Det produserer et synlig artefakt — en TXT-oppføring — og en grønn hake i hvilket verktøy som nå enn sjekket det. Håndhevet DMARC gir den motsatte opplevelsen: det krever en progresjon (publiser, observer, identifiser avsendere, deretter håndhev), og belønningen er usynlig — forfalsket e-post som stille slutter å lande.
Så internett optimaliserte for haken. Folketellingen viser hvordan det ser ut i stor skala: 85 millioner domener (84,638,430) har SPF og ingen DMARC-oppføring av noe slag — ikke engang en p=none-plassholder. Disse eierne er ikke late; de fulgte instruksjonene de fikk, og instruksjonene stoppet tidlig.
Hva “dekket” faktisk betyr her
Konsekvens, ikke frykt: et domene med SPF og ingen håndhevende DMARC kan fortsatt imiteres på det ene stedet mennesker ser — den synlige “From”-linjen. SPF lar mottakende servere verifisere hvilke maskiner som kan sende på vegne av konvolutt-domenet, men uten DMARC finnes det ikke noe krav om at den synlige avsenderen samsvarer med noe SPF sjekket, og ingen instruks om å avvise e-post som feiler. Den forfalskede fakturaen, den falske passordtilbakestillingen, omdirigeringen av leverandørbetaling — alt forblir leverbart til dine kunder og leverandører i ditt navn, SPF-oppføring til tross.
I de seks stadiene av DMARC-modenhet sitter disse 119 millioner domenene fast i stadium 1–3 — gulvet er bygget, eller delvis bygget, og døren ble aldri montert. Avstanden derfra til beskyttet er godt forstått og stort sett prosedyremessig; det denne folketellingen legger til, er kunnskapen om at nesten ingen går den.
Hvis domenet ditt er ett av de 119 millioner
- Behold SPF — det er en forutsetning, ikke en feil. (Fiks SPF →.)
- Legg til DKIM slik at e-posten din er signert i tillegg til å ha kildeverifisering. (Fiks DKIM →.)
- Publiser DMARC med rapportering, deretter håndhev —
p=nonemedrua=først, identifiser hver legitime avsender, gå deretter over tilquarantineogreject. Dette er steget som konverterer “konfigurert” til “beskyttet”. (Fiks DMARC →.)
Ofte stilte spørsmål
Er SPF nok til å beskytte et domene mot forfalskning? Nei. SPF validerer sendende servere mot konvoluttdomenet; det verken sjekker den synlige “From”-adressen eller ber mottakere om å avvise feil. Bare en håndhevende DMARC-policy gjør begge deler — og 119,212,005 domener publiserer SPF uten en.
Hvor mange domener har SPF, men ingen DMARC i det hele tatt? 84,638,430 — 60.9% av alle SPF-publisister har ingen DMARC-oppføring av noe slag, ikke engang overvåkingsmodus.
Hvor mange domener er fullt beskyttet?
10,092,481 — 3.87% av de 261 millioner graderte domenene kombinerer SPF og DKIM med en DMARC-policy på quarantine eller reject.
Hjelper det i det minste å ha SPF? Ja — det er grunnmuren DMARC evaluerer mot, og det forbedrer leverbarheten av din legitime e-post. Det beskytter bare ikke noe i seg selv; det er steg én av tre, og folketellingen viser at det meste av internett behandlet det som hele trappen.
Sjekk hvilken populasjon domenet ditt er i
“Vi satte opp SPF” beskriver 139 millioner domener; “vi er beskyttet” beskriver 10 millioner. Å finne ut hvilken du er tar et minutt, privat og gratis — se hvilke av de 34 sjekkene du består og hvordan du fikser dem du ikke består.
Sjekk domenet ditt → · De 6 stadiene av DMARC-modenhet → · DMARC-pilaren → · Kun aggregerte data. Data lagret og behandlet i EU.