Defaults.Exposed › Отчёты
SPF недостаточно: 119 миллионов доменов, которые так и не переходят к принуждению
Опубликовано 2026-07-03 · обновлено 2026-07-03
Данные по состоянию на 2026-06-29 · методология v7. Данные переписи, объединяющие проверки по каждому домену среди 261 миллионов оценённых доменов. «Принуждение» = политика DMARC
quarantineилиreject; «полностью защищён» = наличие и SPF, и DKIM, плюс принуждающая политика DMARC — полная триада аутентификации электронной почты. Все цифры агрегированы — мы никогда не публикуем оценку отдельного бизнеса.
Подсчёт: сколько доменов полагаются только на SPF
SPF в одиночку недостаточно, чтобы остановить подделку писем — и перепись теперь может подсчитать, сколько доменов всё равно на него полагаются: 119 212 005 (119 миллионов) публикуют SPF, но никогда не применяют принуждение через DMARC. Это 85,8% всех доменов, которые потрудились настроить SPF. Сопутствующая статья, SPF без DMARC, объясняет механизм — почему SPF не может защитить адрес «From», который человек действительно видит; эта же статья измеряет популяцию — сколько доменов эта брешь оставляет уязвимыми и какова форма этой уязвимости.
Если коротко: настройка SPF — это самое распространённое действие по обеспечению безопасности электронной почты в интернете, и для подавляющего большинства доменов, которые это сделали, оно же оказывается последним.
Три популяции
139 миллионов доменов — 138 911 937 из них — публикуют SPF-запись. Разбивка по тому, что за ней стоит:
| Популяция | Домены | Доля среди публикующих SPF |
|---|---|---|
| SPF опубликован, DMARC-записи нет вообще | 84 638 430 | 60,9% |
| SPF опубликован, DMARC присутствует, но принуждение не применяется (надмножество, включает строку выше) | 119 212 005 | 85,8% |
| SPF + DKIM, подкреплённые принуждающей DMARC | 10 092 481 | — |
Строки не суммируются в общее число SPF: остаток — это публикующие SPF, чья DMARC действительно принуждает, но чей DKIM установлен не полностью — принуждают, но не дотягивают до полной триады, которую считает нижняя строка.
Средняя строка — главный заголовок: примерно 119 миллионов доменов проделали работу по объявлению своих легитимных отправителей, а затем так и не велели входящим ящикам мира действовать на основании этого. А нижняя строка — соль всего: среди всех 261 миллионов оценённых доменов лишь 3,87% — около 10 миллионов — полностью защищены по электронной почте. Полная защита технически не является высокой планкой; это просто завершение пути, который 119 миллионов доменов начали и бросили.
Почему подсчёт настолько перекошен
SPF — это то, с чего начинается любое руководство по настройке, чем заканчивается онбординг большинства почтовых провайдеров и что фактически проверяет большинство чек-листов по соответствию требованиям. Он производит видимый артефакт — TXT-запись — и зелёную галочку в любом инструменте, который её проверил. Принуждающая DMARC даёт противоположный опыт: она требует поэтапного продвижения (опубликовать, наблюдать, определить отправителей, затем принудить), а её награда невидима — поддельная почта тихо перестаёт долетать.
Так интернет оптимизировался под галочку. Перепись показывает, как это выглядит в масштабе: 85 миллионов доменов (84 638 430) имеют SPF и не имеют DMARC-записи какого-либо вида — даже заглушки p=none. Эти владельцы не ленивы; они последовали данным им инструкциям, а инструкции закончились рано.
Что здесь на самом деле означает «прикрыт»
Следствие, а не запугивание: домен с SPF и без принуждающей DMARC всё равно можно подделать в том единственном месте, куда смотрят люди, — в видимой строке «From». SPF позволяет принимающим серверам проверить, каким машинам разрешено отправлять от имени домена в конверте, но без DMARC нет требования, чтобы видимый отправитель совпадал с чем-либо, что проверил SPF, и нет указания отклонять почту, которая не прошла проверку. Поддельный счёт, фальшивый сброс пароля, перенаправление платежа поставщику — всё это остаётся доставляемым вашим клиентам и поставщикам от вашего имени, несмотря на наличие SPF-записи.
В шести стадиях зрелости DMARC эти 119 миллионов доменов застряли на стадиях 1–3 — фундамент построен или частично построен, а дверь так и не была установлена. Путь оттуда до защищённости хорошо изучен и в основном процедурный; что добавляет эта перепись — это знание, что этот путь почти никто не проходит.
Если ваш домен — один из 119 миллионов
- Сохраните SPF — это необходимое условие, а не ошибка. (Исправить SPF →.)
- Добавьте DKIM, чтобы ваша почта была не только с проверенным источником, но и подписана. (Исправить DKIM →.)
- Опубликуйте DMARC с отчётностью, затем перейдите к принуждению — сначала
p=noneсrua=, определите каждого легитимного отправителя, затем перейдите кquarantineиreject. Это тот шаг, который превращает «настроено» в «защищено». (Исправить DMARC →.)
Часто задаваемые вопросы
Достаточно ли SPF, чтобы защитить домен от подделки? Нет. SPF проверяет отправляющие серверы по домену конверта; он не проверяет ни видимый адрес «From», ни велит получателям отклонять сбои. Только принуждающая политика DMARC делает и то, и другое — а 119 212 005 доменов публикуют SPF без неё.
У скольких доменов есть SPF, но вообще нет DMARC? 84 638 430 — 60,9% всех публикующих SPF не имеют DMARC-записи какого-либо вида, даже в режиме мониторинга.
Сколько доменов полностью защищены?
10 092 481 — 3,87% из 261 миллионов оценённых доменов сочетают SPF и DKIM с политикой DMARC quarantine или reject.
Хотя бы помогает ли наличие SPF? Да — это фундамент, относительно которого работает DMARC, и он улучшает доставляемость вашей легитимной почты. Просто сам по себе он ничего не защищает; это первый шаг из трёх, и перепись показывает, что бо́льшая часть интернета восприняла его как всю лестницу.
Проверьте, в какой популяции ваш домен
«Мы настроили SPF» описывает 139 миллионов доменов; «мы защищены» описывает 10 миллионов. Выяснить, к какой из них относитесь вы, займёт минуту, приватно и бесплатно — узнайте, какие из 34 проверок вы проходите и как исправить те, которые нет.
Проверьте свой домен → · Шесть стадий зрелости DMARC → · Опора DMARC → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.