Defaults.Exposed › SPF
SPF: wdrożenie, siła i luka podatności na podszywanie
Dane na dzień 2026-06-29 · metodologia v7 · wyłącznie zagregowane
138.9 milionów domen publikuje rekord SPF — ale publikowanie to nie ochrona. W naszej 100-punktowej skali siły SPF internet uzyskuje 29, co odpowiada średniej dojrzałości na etapie 2.39 z 6. Większość rekordów wspina się do poziomu „może” i tam się zatrzymuje.
SPF odrzuca podrobioną wiadomość tylko przy swoim rygorystycznym zakończeniu (-all) — albo gdy egzekwująca polityka DMARC zareaguje na softfail. 55.8% rekordów kończy się na ~all (softfail); tylko 39.3% kończy się na -all. Ta luka — opublikowane, ale nieegzekwowane — to najliczniejsza populacja w bezpieczeństwie poczty.
Model dojrzałości wdrożenia SPF (SPFAMM)
Sześć etapów, po jednym ruchu na każdym, i jedna dochodzeniowa ściana między etapem 3 → 4. Tam gdzie DAMM mierzy drogę DMARC, SPFAMM mierzy drogę SPF: od braku listy dozwolonych nadawców, przez bezzębny środek, aż po rygorystyczny rekord, na który DMARC może zareagować.
- Etap 1 — Brak: brak rekordu SPF — 46% wszystkich ocenionych domen (121.1 mln).
- Etap 2 — Uszkodzony/permisywny: wiele rekordów,
+all, neutralne lub bez terminatora (7.8 mln). - Etap 3 — Softfail: kończy się na
~all, ale nic tego nie egzekwuje — najczęstsze miejsce spoczynku (70.4 mln). - Etap 4 — Rygorystyczny: kończy się na
-all, parsuje się bez błędów, mieści się w 10-lookup limit (42.5 mln). - Etap 5 — Zgodny: rygorystyczny lub softfail z egzekwującą polityką DMARC za nim (19.3 mln).
- Etap 6 — W pełni chroniony: nieliczni zgodni i egzekwowani (10.1 mln).
Ścianą jest przejście z etapu 3 → 4: każdy inny ruch to jednowierszowa edycja DNS; ten oznacza wyliczenie każdego systemu, który wysyła w Twoim imieniu, bez przekroczenia 10-lookup limit. Właśnie dlatego internet spoczywa na softfailu.
Poznaj dane
- Model dojrzałości wdrożenia SPF (SPFAMM)
6 etapów SPF oraz dochodzeniowa ściana na etapie 3→4, gdzie zatrzymuje się większość internetu. - ~all kontra -all: co wybrało 139 mln rekordów
Softfail to najczęstsze zakończenie: 55.8% kończy się na ~all („prawdopodobnie fałszywe — dostarcz mimo to”) wobec 39.3% z rygorystycznym -all. - Raport SPF PermError
797,263 domen po cichu psuje własny SPF, przekraczając 10-lookup limit — 100× więcej, niż pokazują powierzchowne zliczenia. - Dwa rekordy SPF = żaden
1,013,416 domen publikuje dwa lub więcej rekordów SPF — reguła unieważnia je wszystkie. - Pułapka ptr
Mechanizm odradzany od 2014 roku, wciąż obecny w 950,631 rekordach. - Mapa +all
36,015 domen publikuje +all — otwarte zaproszenie do wysyłania w ich imieniu. - Który dostawca poczty zapewnia najsilniejsze domyślne SPF?
Liga 15 dostawców pod względem wskaźników rygorystycznego SPF i egzekwowania — Twój dostawca pisze Twoje ustawienia domyślne. - Indeks podatności poczty na podszywanie
Ile domen może podrobić dowolna osoba — według TLD i kraju.
Sprawdź własną domenę
Sprawdź swoją domenę — za darmo, 30 sekund →
Zobacz przewodnik naprawczy: Jak naprawić SPF → · Wyłącznie dane zagregowane. Dane przechowywane i przetwarzane w UE.