Defaults.Exposed › Rapporter
SPF räcker inte: de 119 miljoner domäner som aldrig upprätthåller skydd
Publicerad 2026-07-03 · uppdaterad 2026-07-03
Siffror per 2026-06-29 · metodik v7. Folkräkningsdata som sammanför kontroller per domän över 261 miljoner betygsatta domäner. “Upprätthåller” = en DMARC-policy på
quarantineellerreject; “fullt skyddad” = både SPF och DKIM på plats, plus upprätthållande DMARC — den kompletta e-postautentiseringstriaden. Alla siffror är aggregerade — vi publicerar aldrig ett enskilt företags betyg.
Uppräkningen: hur många domäner förlitar sig på enbart SPF
Enbart SPF räcker inte för att stoppa e-postimitation — och folkräkningen kan nu räkna hur många domäner som ändå förlitar sig på det: 119,212,005 (119 miljoner) publicerar SPF men upprätthåller aldrig DMARC. Det är 85.8% av varje domän som ens brydde sig om att sätta upp SPF. Dess systerartikel, SPF utan DMARC, förklarar mekanismen — varför SPF inte kan försvara den “Från”-adress en person faktiskt ser; den här artikeln mäter populationen — hur många domäner det gapet lämnar exponerade, och hur exponeringen ser ut.
Den korta versionen: att sätta upp SPF är den vanligaste handlingen inom e-postsäkerhet på internet, och för den överväldigande majoriteten av de domäner som gjorde det är det också den sista.
De tre populationerna
139 miljoner domäner — 138,911,937 av dem — publicerar en SPF-post. Uppdelat efter vad som står bakom den:
| Population | Domäner | Andel av SPF-publicerare |
|---|---|---|
| SPF publicerad, ingen DMARC-post alls | 84,638,430 | 60.9% |
| SPF publicerad, DMARC finns men upprätthålls aldrig (övermängd, inkluderar raden ovan) | 119,212,005 | 85.8% |
| SPF + DKIM, uppbackad av upprätthållande DMARC | 10,092,481 | — |
Raderna summerar inte till SPF-totalen: resten är SPF-publicerare vars DMARC visserligen upprätthåller men vars DKIM inte är fullt på plats — upprätthållande, men ändå kort av den kompletta triad som den nedersta raden räknar.
Den mellersta raden är rubriken: ungefär 119 miljoner domäner gjorde arbetet med att deklarera sina legitima avsändare och sa sedan aldrig åt världens inkorgar att agera på det. Och den nedersta raden är poängen: över alla 261 miljoner betygsatta domäner är bara 3.87% — omkring 10 miljoner — fullt e-postskyddade. Fullt skydd är inte en hög ribba tekniskt sett; det är helt enkelt slutet på en resa som 119 miljoner domäner påbörjade och avbröt.
Varför uppräkningen är så sned
SPF är där varje installationsguide börjar, där de flesta e-postleverantörers introduktion slutar, och vad de flesta efterlevnadschecklistor faktiskt testar. Det producerar en synlig artefakt — en TXT-post — och en grön bock i vilket verktyg som än kontrollerade det. Upprätthållen DMARC producerar den motsatta upplevelsen: den kräver en progression (publicera, observera, identifiera avsändare, sedan upprätthålla), och dess belöning är osynlig — förfalskad post som stillsamt slutar landa.
Så internet optimerade för bocken. Folkräkningen visar hur det ser ut i stor skala: 85 miljoner domäner (84,638,430) har SPF och ingen DMARC-post av något slag — inte ens en p=none-platshållare. Dessa ägare är inte lata; de följde instruktionerna de fick, och instruktionerna slutade för tidigt.
Vad “täckt” faktiskt betyder här
Konsekvens, inte rädsla: en domän med SPF och ingen upprätthållande DMARC kan fortfarande imiteras på det enda ställe människor tittar — den synliga “Från”-raden. SPF låter mottagande servrar verifiera vilka maskiner som får skicka för kuvertdomänens räkning, men utan DMARC finns det inget krav på att den synliga avsändaren matchar något som SPF kontrollerade, och ingen instruktion att avvisa post som misslyckas. Den förfalskade fakturan, den falska lösenordsåterställningen, omdirigeringen av leverantörsbetalning — allt förblir levererbart till dina kunder och leverantörer i ditt namn, SPF-post till trots.
I de sex stadierna av DMARC-mognad sitter dessa 119 miljoner domäner fast i stadium 1–3 — golvet är byggt, eller delvis byggt, och dörren monterades aldrig. Avståndet därifrån till skyddad är väl förstått och till största delen procedurmässigt; vad denna folkräkning tillför är vetskapen att nästan ingen går det.
Om din domän är en av de 119 miljonerna
- Behåll SPF — det är en förutsättning, inte ett misstag. (Åtgärda SPF →.)
- Lägg till DKIM så att din post är signerad såväl som härledd. (Åtgärda DKIM →.)
- Publicera DMARC med rapportering, upprätthåll sedan —
p=nonemedrua=först, identifiera varje legitim avsändare, gå sedan vidare tillquarantineochreject. Detta är steget som omvandlar “konfigurerad” till “skyddad”. (Åtgärda DMARC →.)
Vanliga frågor
Räcker SPF för att skydda en domän från spoofing? Nej. SPF validerar sändande servrar mot kuvertdomänen; det kontrollerar varken den synliga “Från”-adressen eller säger åt mottagare att avvisa misslyckanden. Endast en upprätthållande DMARC-policy gör bådadera — och 119,212,005 domäner publicerar SPF utan en.
Hur många domäner har SPF men ingen DMARC alls? 84,638,430 — 60.9% av alla SPF-publicerare har ingen DMARC-post av något slag, inte ens övervakningsläge.
Hur många domäner är fullt skyddade?
10,092,481 — 3.87% av de 261 miljoner betygsatta domänerna kombinerar SPF och DKIM med en DMARC-policy på quarantine eller reject.
Hjälper det åtminstone att ha SPF? Ja — det är grunden som DMARC utvärderar mot, och det förbättrar leveransbarheten för din legitima post. Det skyddar bara ingenting i sig självt; det är steg ett av tre, och folkräkningen visar att större delen av internet behandlade det som hela trappan.
Kontrollera vilken population din domän tillhör
“Vi satte upp SPF” beskriver 139 miljoner domäner; “vi är skyddade” beskriver 10 miljoner. Att ta reda på vilken du är tar en minut, privat och gratis — se vilka av de 34 kontrollerna du klarar och hur du åtgärdar dem du inte klarar.
Kontrollera din domän → · De 6 stadierna av DMARC-mognad → · DMARC-pelaren → · Endast aggregerade data. Data lagras och behandlas i EU.