Defaults.Exposed › Отчёты
Модель зрелости внедрения SPF (SPFAMM): 6 стадий SPF (2026)
Опубликовано 2026-07-03
Данные по состоянию на 2026-06-29 · методология v7. Справочная модель, основанная на регулярной переписи 261 миллионов оценённых доменов; каждый выпуск повторно измеряет ту же совокупность, чтобы за цифрами можно было следить во времени. Все показатели агрегированные — мы никогда не публикуем запись отдельного бизнеса.
На какой стадии находится интернет?
Стадия 2,4 из 6. По измерениям на 261 миллионах доменов средний домен ещё не дошёл до работающего забора SPF — а интернет в целом набирает 29 из 100 по силе SPF. Публикация SPF — самое распространённое действие в сфере безопасности электронной почты (53,21% доменов это делают), однако большинство таких записей останавливаются на настройке, которая всё равно просит получателей доставлять подделки.
Проблема не в самом внедрении — а в том, что большинство руководств по зрелости останавливаются на «мы опубликовали SPF», как будто сама запись и есть достижение. Запись SPF может авторизовать весь интернет, не выражать никакого мнения, тихо аннулировать саму себя или вечно стоять на softfail, потому что её ужесточение — это работа, которую никто не запланировал. Полезная модель называет каждое из этих состояний. Эта — называет: Модель зрелости внедрения SPF — SPFAMM, шесть стадий, по одному шагу на каждой и название, на которое можно сослаться. Это спутник SPF к шести стадиям зрелости DMARC.
Каковы шесть стадий зрелости SPF?
Каждый из 261 миллионов оценённых доменов находится ровно на одной из стадий 1–5, и эти пять совокупностей в сумме дают точный итог переписи; стадия 6 — это укреплённое подмножество, учитываемое внутри стадии 5. Именно это делает SPFAMM измерением, а не плакатом.
| Стадия | Название | Домены | Доля |
|---|---|---|---|
| 1 | Незащищённые | 121 145 609 | 46,4% |
| 2 | Разрешительные или сломанные | 7 798 366 | 3,0% |
| 3 | С мягким забором | 70 368 600 | 27,0% |
| 4 | Строгие | 42 514 532 | 16,3% |
| 5 | Выровненные | 19 259 125 | 7,4% |
| 6 | Укреплённые | 10 092 481 | 3,87% |
(Стадия 6 — это укреплённое подмножество выровненных доменов стадии 5, поэтому стадии 1–5 разбивают перепись на части, а стадия 6 находится внутри стадии 5.)
Стадия 1 — Незащищённые. Нет записи v=spf1. Получатель ничего не проверяет; подделать домен на участке SPF легко. Шаг: опубликуйте запись v=spf1, перечисляющую ваших настоящих отправителей и заканчивающуюся квалификатором fail.
Стадия 2 — Разрешительные или сломанные. Запись существует, но ничего не защищает. Эта стадия собирает беззубые окончания — нейтральное ?all (3,0% публикующих) и приветственный коврик +all — вместе со сломанными записями: несколько записей v=spf1, которые стандарт полностью аннулирует, и фрагментарными записями без пригодного окончания. Одно исключение: около 2,1 миллионов записей заканчиваются на redirect=, что является действительным делегированием — их настоящая политика живёт по целевому адресу, и мы учитываем их здесь только потому, что их собственная запись не несёт вердикта. Шаг: одна запись, одно настоящее окончание — ~all или -all.
Стадия 3 — С мягким забором. Запись заканчивается на ~all (softfail), и за ней ничто не обеспечивает исполнение — 70,4 миллионов доменов, крупнейшая совокупность среди всех стадий с опубликованным SPF. Softfail — это настоящий забор с незапертыми воротами: он говорит получателям «письмо из другого места, вероятно, подделка» и просит их всё равно его доставить. Шаг: переберитесь через стену — учтите каждого отправителя, а затем выберите любой из путей наверх (ниже).
Стадия 4 — Строгие. Запись заканчивается на -all: 42,5 миллионов доменов публикуют прямое «отклонить всех остальных», но за этим пока нет исполнения DMARC. Одна честная оговорка, которую теперь количественно оценивает наше собственное измерение: запись -all, которая превышает лимит в 10 обращений, недействительна, как бы строго она ни выглядела — как минимум 112 215 из записей -all в интернете находятся в этом состоянии. Шаг: поставьте за записью исполняющую политику DMARC, чтобы по сбоям действовали везде.
Стадия 5 — Выровненные. SPF — мягкий или строгий — стоит за DMARC p=quarantine или p=reject. Это стадия, на которой подделка именно вашего домена действительно останавливается у каждого крупного провайдера почтовых ящиков: 19,3 миллионов доменов, из которых 7,1 миллионов сочетают ~all с исполнением (шаблон, рекомендуемый рекомендациями Google для отправителей), а 12,1 миллионов сочетают с ним -all. Шаг: добавьте DKIM и продолжайте наблюдать — записи портятся.
Стадия 6 — Укреплённые. SPF плюс DKIM плюс исполняющий DMARC — полностью защищённый набор, 10 092 481 доменов, 3,87% интернета — плюс дисциплина мониторинга дрейфа: цепочки include: меняются, провайдеры переносят IP-адреса, кто-то подключает новый инструмент, отправляющий письма от вашего имени. Шаг: оставайтесь здесь. Это практика, а не значок.
Полоса без почты. Домен, который не отправляет почту, может одним изменением прыгнуть на самый верх: SPF
-allплюс DMARCp=reject. Раз нет ничего легитимного для защиты — нет и стены, через которую нужно перебираться, и это закрывает один из самых распространённых векторов выдачи себя за другого.
Почему интернет застревает именно на стадии 3?
Потому что почти любой другой шаг — это небольшая правка DNS, а выход из стадии 3 — это работа: перечисление каждой системы, которая легитимно отправляет письма от вашего имени — провайдер почтовых ящиков, платформа рассылок, CRM, инструмент выставления счетов, та штука, на которую маркетинг подписался прошлой весной — и размещение их всех в одной записи без превышения бюджета в 10 обращений. Это и есть стена. ~all — последняя ступень, до которой можно дотянуться, не делая этого, поэтому 70,4 миллионов доменов отдыхают на ней.
С вершины стены есть два пути наверх, и оба приводят к стадии 5:
- Ужесточить до
-all(через стадию 4) — твёрдое «нет» в самой записи. См.~allпротив-all, когда это правильный выбор. - Оставить
~allи обеспечить исполнение через DMARCp=reject— путь, который теперь рекомендуют рекомендации Google и большинство практик доставляемости, потому что он защищает так же у получателей, оценивающих DMARC, не отбивая пересылаемую почту.
Перепись показывает, как редко доходит до конца любой из путей: из 77,5 миллионов записей softfail лишь у 7,1 миллионов — примерно у 1 из 11 — за ними стоит исполнение.
Как рассчитывается оценка силы SPF?
Просто, и мы держим веса постоянными, чтобы оценку можно было сравнивать месяц к месяцу: полный балл за домены, где что-то обеспечивает исполнение (стадии 5–6), половина балла за настоящий забор, по которому никто не действует (стадии 3–4), ничего за отсутствующие, разрешительные или сломанные записи. По этой шкале интернет набирает 29/100 по состоянию на 2026-06-29. Почти половина совокупности вносит ноль, потому что вообще ничего не публикует.
Как определить стадию моего домена?
Стадии 1–4 читаются прямо из вашей записи DNS; стадия 5 добавляет вашу политику DMARC; стадия 6 добавляет DKIM. Единственное, чего беглый взгляд сказать не может, — это тайно ли строгая запись превышает лимит обращений — для этого нужно разрешить цепочку, что наш чекер делает за вас.
Часто задаваемые вопросы
Что такое SPFAMM? Модель зрелости внедрения SPF — шестистадийная модель на этой странице: Незащищённые, Разрешительные/сломанные, С мягким забором, Строгие, Выровненные, Укреплённые. Стадию каждого домена можно вычислить из его DNS: стадии 1–5 точно разбивают перепись из 261 миллионов доменов, а стадия 6 — укреплённое подмножество внутри стадии 5.
На какой стадии находится большинство доменов? Стадия 1 — 46,4% доменов вообще не публикуют SPF. Среди тех, кто публикует, самое частое место остановки — стадия 3 (softfail без исполнения), с 70,4 миллионами доменов. Средневзвешенное по совокупности значение — стадия 2,4.
Достаточно ли softfail ~all?
Только с исполняющей политикой DMARC за ним — эта пара и есть стадия 5 и шаблон, рекомендуемый рекомендациями Google для отправителей. Сам по себе это стадия 3: настоящий забор, незапертые ворота. Полное сравнение — в ~all против -all.
Обязательно ли доходить до -all, чтобы быть в безопасности?
Нет. Стадия 4 — это один из двух путей, а не требование — оставить ~all и обеспечить исполнение через DMARC p=reject приводит к той же защите у получателей, оценивающих DMARC. Что действительно требуется — это стена: знать каждого отправителя до того, как что-либо начнёт обеспечивать исполнение.
Сколько доменов проходят все шесть стадий? 10 092 481 — 3,87% интернета — держат SPF, DKIM и исполняющую политику DMARC вместе. Каждый переход между стадиями бесплатен; подробности — в немногих защищённых.
Проверьте, где стоит ваш домен
Ваш домен находится ровно на одной из этих шести стадий, а следующий шаг можно узнать за 30 секунд — бесплатно, и каждое исправление по лестнице — это изменение DNS, а не покупка.
Проверьте свой домен → · Исправить SPF → · ~all против -all → · Отчёт по SPF PermError → · 6 стадий зрелости DMARC → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.