Defaults.Exposed

Defaults.Exposed › Отчёты

SPF недостаточно: 119 миллионов доменов, которые так и не переходят к принуждению

Опубликовано 2026-07-03 · обновлено 2026-07-03

Данные по состоянию на 2026-06-29 · методология v7. Данные переписи, объединяющие проверки по каждому домену среди 261 миллионов оценённых доменов. «Принуждение» = политика DMARC quarantine или reject; «полностью защищён» = наличие и SPF, и DKIM, плюс принуждающая политика DMARC — полная триада аутентификации электронной почты. Все цифры агрегированы — мы никогда не публикуем оценку отдельного бизнеса.

Подсчёт: сколько доменов полагаются только на SPF

SPF в одиночку недостаточно, чтобы остановить подделку писем — и перепись теперь может подсчитать, сколько доменов всё равно на него полагаются: 119 212 005 (119 миллионов) публикуют SPF, но никогда не применяют принуждение через DMARC. Это 85,8% всех доменов, которые потрудились настроить SPF. Сопутствующая статья, SPF без DMARC, объясняет механизм — почему SPF не может защитить адрес «From», который человек действительно видит; эта же статья измеряет популяцию — сколько доменов эта брешь оставляет уязвимыми и какова форма этой уязвимости.

Если коротко: настройка SPF — это самое распространённое действие по обеспечению безопасности электронной почты в интернете, и для подавляющего большинства доменов, которые это сделали, оно же оказывается последним.

Три популяции

139 миллионов доменов — 138 911 937 из них — публикуют SPF-запись. Разбивка по тому, что за ней стоит:

ПопуляцияДоменыДоля среди публикующих SPF
SPF опубликован, DMARC-записи нет вообще84 638 43060,9%
SPF опубликован, DMARC присутствует, но принуждение не применяется (надмножество, включает строку выше)119 212 00585,8%
SPF + DKIM, подкреплённые принуждающей DMARC10 092 481

Строки не суммируются в общее число SPF: остаток — это публикующие SPF, чья DMARC действительно принуждает, но чей DKIM установлен не полностью — принуждают, но не дотягивают до полной триады, которую считает нижняя строка.

Средняя строка — главный заголовок: примерно 119 миллионов доменов проделали работу по объявлению своих легитимных отправителей, а затем так и не велели входящим ящикам мира действовать на основании этого. А нижняя строка — соль всего: среди всех 261 миллионов оценённых доменов лишь 3,87% — около 10 миллионов — полностью защищены по электронной почте. Полная защита технически не является высокой планкой; это просто завершение пути, который 119 миллионов доменов начали и бросили.

Почему подсчёт настолько перекошен

SPF — это то, с чего начинается любое руководство по настройке, чем заканчивается онбординг большинства почтовых провайдеров и что фактически проверяет большинство чек-листов по соответствию требованиям. Он производит видимый артефакт — TXT-запись — и зелёную галочку в любом инструменте, который её проверил. Принуждающая DMARC даёт противоположный опыт: она требует поэтапного продвижения (опубликовать, наблюдать, определить отправителей, затем принудить), а её награда невидима — поддельная почта тихо перестаёт долетать.

Так интернет оптимизировался под галочку. Перепись показывает, как это выглядит в масштабе: 85 миллионов доменов (84 638 430) имеют SPF и не имеют DMARC-записи какого-либо вида — даже заглушки p=none. Эти владельцы не ленивы; они последовали данным им инструкциям, а инструкции закончились рано.

Что здесь на самом деле означает «прикрыт»

Следствие, а не запугивание: домен с SPF и без принуждающей DMARC всё равно можно подделать в том единственном месте, куда смотрят люди, — в видимой строке «From». SPF позволяет принимающим серверам проверить, каким машинам разрешено отправлять от имени домена в конверте, но без DMARC нет требования, чтобы видимый отправитель совпадал с чем-либо, что проверил SPF, и нет указания отклонять почту, которая не прошла проверку. Поддельный счёт, фальшивый сброс пароля, перенаправление платежа поставщику — всё это остаётся доставляемым вашим клиентам и поставщикам от вашего имени, несмотря на наличие SPF-записи.

В шести стадиях зрелости DMARC эти 119 миллионов доменов застряли на стадиях 1–3 — фундамент построен или частично построен, а дверь так и не была установлена. Путь оттуда до защищённости хорошо изучен и в основном процедурный; что добавляет эта перепись — это знание, что этот путь почти никто не проходит.

Если ваш домен — один из 119 миллионов

  1. Сохраните SPF — это необходимое условие, а не ошибка. (Исправить SPF →.)
  2. Добавьте DKIM, чтобы ваша почта была не только с проверенным источником, но и подписана. (Исправить DKIM →.)
  3. Опубликуйте DMARC с отчётностью, затем перейдите к принуждению — сначала p=none с rua=, определите каждого легитимного отправителя, затем перейдите к quarantine и reject. Это тот шаг, который превращает «настроено» в «защищено». (Исправить DMARC →.)

Часто задаваемые вопросы

Достаточно ли SPF, чтобы защитить домен от подделки? Нет. SPF проверяет отправляющие серверы по домену конверта; он не проверяет ни видимый адрес «From», ни велит получателям отклонять сбои. Только принуждающая политика DMARC делает и то, и другое — а 119 212 005 доменов публикуют SPF без неё.

У скольких доменов есть SPF, но вообще нет DMARC? 84 638 430 — 60,9% всех публикующих SPF не имеют DMARC-записи какого-либо вида, даже в режиме мониторинга.

Сколько доменов полностью защищены? 10 092 481 — 3,87% из 261 миллионов оценённых доменов сочетают SPF и DKIM с политикой DMARC quarantine или reject.

Хотя бы помогает ли наличие SPF? Да — это фундамент, относительно которого работает DMARC, и он улучшает доставляемость вашей легитимной почты. Просто сам по себе он ничего не защищает; это первый шаг из трёх, и перепись показывает, что бо́льшая часть интернета восприняла его как всю лестницу.

Проверьте, в какой популяции ваш домен

«Мы настроили SPF» описывает 139 миллионов доменов; «мы защищены» описывает 10 миллионов. Выяснить, к какой из них относитесь вы, займёт минуту, приватно и бесплатно — узнайте, какие из 34 проверок вы проходите и как исправить те, которые нет.

Проверьте свой домен → · Шесть стадий зрелости DMARC → · Опора DMARC → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.