Defaults.Exposed

Defaults.Exposed › Raporty

SPF to za mało: 119 miliona domen, które nigdy nie egzekwują

Opublikowano 2026-07-03 · zaktualizowano 2026-07-03

Dane na 2026-06-29 · metodologia v7. Dane spisu łączące weryfikacje per domena dla 261 miliona ocenionych domen. „Egzekwujące” = polityka DMARC ustawiona na quarantine lub reject; „w pełni chronione” = SPF i DKIM oba obecne, plus egzekwujące DMARC — kompletna triada uwierzytelniania poczty. Wszystkie liczby są zagregowane — nigdy nie publikujemy oceny pojedynczej firmy.

Liczba: ile domen polega wyłącznie na SPF

Sam SPF nie wystarcza, aby powstrzymać podszywanie się pod pocztę — a spis potrafi teraz policzyć, ile domen mimo to na nim polega: 119 212 005 (119 miliona) publikuje SPF, ale nigdy nie egzekwuje DMARC. To 85,8% każdej domeny, która w ogóle zadała sobie trud skonfigurowania SPF. Towarzyszący artykuł, SPF bez DMARC, wyjaśnia mechanizm — dlaczego SPF nie potrafi obronić adresu „Od”, który człowiek faktycznie widzi; ten artykuł mierzy populację — ile domen ta luka pozostawia narażonymi i jaki kształt ma ta ekspozycja.

Krótka wersja: skonfigurowanie SPF to najczęstszy akt bezpieczeństwa poczty w internecie, a dla przytłaczającej większości domen, które to zrobiły, jest to również akt ostatni.

Trzy populacje

139 miliona domen — 138 911 937 z nich — publikuje rekord SPF. Podział według tego, co za nim stoi:

PopulacjaDomenyUdział wśród publikujących SPF
SPF opublikowany, brak jakiegokolwiek rekordu DMARC84 638 43060,9%
SPF opublikowany, DMARC obecny, ale nigdy nieegzekwowany (nadzbiór, obejmuje wiersz powyżej)119 212 00585,8%
SPF + DKIM, wsparte egzekwującym DMARC10 092 481

Wiersze nie sumują się do łącznej liczby SPF: pozostała część to publikujący SPF, których DMARC egzekwuje, ale których DKIM nie jest w pełni wdrożony — egzekwujące, lecz bez kompletnej triady liczonej w dolnym wierszu.

Środkowy wiersz to nagłówek: mniej więcej 119 miliona domen wykonało pracę zadeklarowania swoich prawowitych nadawców, a potem nigdy nie kazało skrzynkom odbiorczym świata na to reagować. A dolny wiersz to puenta: spośród wszystkich 261 miliona ocenionych domen jedynie 3,87% — około 10 miliona — jest w pełni chronionych pocztowo. Pełna ochrona nie jest technicznie wysoką poprzeczką; to po prostu ukończenie drogi, którą 119 miliona domen rozpoczęło i porzuciło.

Dlaczego liczba jest tak niesymetryczna

SPF to miejsce, gdzie zaczyna się każdy poradnik konfiguracji, gdzie kończy się wdrożenie u większości dostawców poczty i to, co faktycznie sprawdza większość list kontrolnych zgodności. Wytwarza on widoczny artefakt — rekord TXT — i zielony haczyk w narzędziu, które go sprawdziło. Egzekwowany DMARC daje doświadczenie odwrotne: wymaga progresji (opublikuj, obserwuj, zidentyfikuj nadawców, następnie egzekwuj), a jego nagroda jest niewidoczna — sfałszowana poczta, która po cichu przestaje docierać.

Internet zoptymalizował się więc pod haczyk. Spis pokazuje, jak to wygląda w skali: 85 miliona domen (84 638 430) ma SPF i żadnego rekordu DMARC — nawet nie zastępczego p=none. Ci właściciele nie są leniwi; postąpili zgodnie z otrzymanymi instrukcjami, a instrukcje urwały się za wcześnie.

Co tak naprawdę oznacza tu „objęte ochroną”

Konsekwencja, nie strach: pod domenę z SPF i bez egzekwującego DMARC nadal można się podszyć w jedynym miejscu, na które patrzą ludzie — w widocznym wierszu „Od”. SPF pozwala serwerom odbierającym zweryfikować, które maszyny mogą wysyłać w imieniu domeny koperty, ale bez DMARC nie ma wymogu, aby widoczny nadawca odpowiadał czemukolwiek, co SPF sprawdził, ani instrukcji, aby odrzucać pocztę, która nie przechodzi weryfikacji. Sfałszowana faktura, fałszywe zresetowanie hasła, przekierowanie płatności do dostawcy — wszystko to pozostaje dostarczalne do Twoich klientów i dostawców w Twoim imieniu, mimo istnienia rekordu SPF.

W sześciu etapach dojrzałości DMARC te 119 miliona domen tkwi na etapach 1–3 — podłoga jest położona, lub położona częściowo, a drzwi nigdy nie zostały zamontowane. Odległość stamtąd do stanu chronionego jest dobrze rozumiana i głównie proceduralna; to, co ten spis dodaje, to wiedza, że prawie nikt jej nie pokonuje.

Jeśli Twoja domena jest jedną z tych 119 miliona

  1. Zachowaj SPF — to warunek wstępny, nie błąd. (Napraw SPF →.)
  2. Dodaj DKIM, aby Twoja poczta była nie tylko źródłowana, ale i podpisywana. (Napraw DKIM →.)
  3. Opublikuj DMARC z raportowaniem, a następnie egzekwuj — najpierw p=none z rua=, zidentyfikuj każdego prawowitego nadawcę, potem przejdź do quarantine i reject. To krok, który przekształca „skonfigurowane” w „chronione”. (Napraw DMARC →.)

Najczęściej zadawane pytania

Czy SPF wystarcza, aby chronić domenę przed podszywaniem się? Nie. SPF weryfikuje serwery wysyłające względem domeny koperty; nie sprawdza ani widocznego adresu „Od”, ani nie każe odbiorcom odrzucać niepowodzeń. Robi jedno i drugie tylko egzekwująca polityka DMARC — a 119 212 005 domen publikuje SPF bez niej.

Ile domen ma SPF, ale w ogóle nie ma DMARC? 84 638 430 — 60,9% wszystkich publikujących SPF nie ma żadnego rekordu DMARC, nawet w trybie monitorowania.

Ile domen jest w pełni chronionych? 10 092 481 — 3,87% z 261 miliona ocenionych domen łączy SPF i DKIM z polityką DMARC ustawioną na quarantine lub reject.

Czy posiadanie SPF przynajmniej pomaga? Tak — to fundament, względem którego DMARC dokonuje oceny, i poprawia dostarczalność Twojej prawowitej poczty. Po prostu sam w sobie niczego nie chroni; to krok pierwszy z trzech, a spis pokazuje, że większość internetu potraktowała go jak całe schody.

Sprawdź, w której populacji jest Twoja domena

„Skonfigurowaliśmy SPF” opisuje 139 miliona domen; „jesteśmy chronieni” opisuje 10 miliona. Ustalenie, którą z nich jesteś, zajmuje minutę, prywatnie i za darmo — zobacz, które z 34 weryfikacji przechodzisz i jak naprawić te, których nie.

Sprawdź swoją domenę → · Sześć etapów dojrzałości DMARC → · Filar DMARC → · Wyłącznie dane zagregowane. Dane przechowywane i przetwarzane w UE.