Defaults.Exposed

Defaults.Exposed › Rapporter

SPF-adoptionens mognadsmodell (SPFAMM): De 6 stadierna av SPF (2026)

Publicerad 2026-07-03

Siffror per 2026-06-29 · metodik v7. En referensmodell som bygger på en återkommande folkräkning av 261 miljoner betygsatta domäner; varje utgåva mäter om samma population så att siffrorna kan följas över tid. Alla siffror är aggregerade — vi publicerar aldrig en enskild verksamhets register.

Vilket stadium befinner sig internet på?

Stadium 2.4 av 6. Mätt över 261 miljoner domäner har den genomsnittliga domänen ännu inte nått ett fungerande SPF-staket — och internet som helhet får 29 av 100 på SPF-styrka. Att publicera SPF är den vanligaste handlingen inom e-postsäkerhet som finns (53.21% av domänerna gör det), men de flesta av dessa register stannar vid en inställning som ber mottagarna att leverera förfalskningar ändå.

Problemet är inte adoptionen — det är att de flesta mognadsråd stannar vid ”vi publicerade SPF”, som om själva registret vore bragden. Ett SPF-register kan auktorisera hela internet, uttrycka ingen åsikt, tyst ogiltigförklara sig självt, eller sitta kvar på softfail för alltid eftersom att strama åt det innebär arbete som ingen har schemalagt. En användbar modell namnger vart och ett av dessa tillstånd. Denna gör det: SPF-adoptionens mognadsmodell — SPFAMM, sex stadier, ett steg vardera, och ett namn du kan citera. Det är SPF-motsvarigheten till de sex stadierna av DMARC-mognad.

Vilka är de sex stadierna av SPF-mognad?

Var och en av de 261 miljoner betygsatta domänerna befinner sig på exakt ett av stadierna 1–5, och dessa fem populationer summerar exakt till folkräkningens totalsumma; stadium 6 är den härdade delmängd som räknas inom stadium 5. Det är det som gör SPFAMM till en mätning snarare än en affisch.

StadiumNamnDomänerAndel
1Oskyddad121,145,60946.4%
2Tillåtande eller trasig7,798,3663.0%
3Mjukstängslad70,368,60027.0%
4Strikt42,514,53216.3%
5Justerad19,259,1257.4%
6Härdad10,092,4813.87%

(Stadium 6 är den härdade delmängden av stadium 5:s justerade domäner, så stadierna 1–5 partitionerar folkräkningen och stadium 6 ligger inuti stadium 5.)

Stadium 1 — Oskyddad. Inget v=spf1-register. Ingen mottagare kontrollerar någonting; att förfalska domänen på SPF-benet är enkelt. Steget: publicera ett v=spf1-register som listar dina verkliga avsändare och slutar med en fail-kvalificerare.

Stadium 2 — Tillåtande eller trasig. Ett register finns men skyddar ingenting. Detta stadium samlar de tandlösa avslutningarna — ?all neutral (3.0% av utgivarna) och +all-välkomstmattan — tillsammans med de trasiga registren: flera v=spf1-register, som standarden ogiltigförklarar helt, och fragmentariska register utan användbar avslutning. Ett undantag: omkring 2.1 miljoner register slutar med redirect=, vilket är giltig delegering — deras verkliga policy bor hos målet, och vi räknar dem här endast för att deras eget register inte bär något utslag. Steget: ett register, en verklig avslutning — ~all eller -all.

Stadium 3 — Mjukstängslad. Registret slutar med ~all (softfail) utan att något upprätthåller bakom — 70.4 miljoner domäner, den största populationen av något stadium med publicerad SPF. Softfail är ett verkligt staket med en olåst grind: det säger till mottagarna ”e-post från annat håll är förmodligen förfalskad” och ber dem att leverera den ändå. Steget: klättra över muren — redogör för varje avsändare, och ta sedan någon av vägarna uppåt (nedan).

Stadium 4 — Strikt. Registret slutar med -all: 42.5 miljoner domäner som publicerar ett rakt ”avvisa alla andra”, ännu utan DMARC-upprätthållande bakom. En ärlig brasklapp som vår egen mätning nu kvantifierar: ett -all-register som överskrider gränsen på 10 uppslag är ogiltigt hur strikt det än ser ut — minst 112,215 av internets -all-register befinner sig i det tillståndet. Steget: placera en upprätthållande DMARC-policy bakom registret, så att fel åtgärdas överallt.

Stadium 5 — Justerad. SPF — mjuk eller strikt — sitter bakom DMARC p=quarantine eller p=reject. Detta är stadiet där förfalskning av din exakta domän faktiskt stoppas hos varje större brevlådeleverantör: 19.3 miljoner domäner, varav 7.1 miljoner parar ~all med upprätthållande (det mönster Googles avsändarriktlinjer rekommenderar) och 12.1 miljoner parar -all med det. Steget: lägg till DKIM och fortsätt bevaka — register ruttnar.

Stadium 6 — Härdad. SPF plus DKIM plus upprätthållande DMARC — den fullt skyddade mängden, 10,092,481 domäner, 3.87% av internet — plus disciplinen att övervaka drift: include:-kedjor ändras, leverantörer flyttar IP-adresser, någon kopplar in ett nytt verktyg som skickar som du. Steget: stanna här. Det är en praktik, inte en utmärkelse.

Icke-post-filen. En domän som inte skickar någon e-post kan hoppa till toppen med en enda ändring: SPF -all plus DMARC p=reject. Inget legitimt att skydda betyder ingen mur att klättra över — och det stänger en av de vanligaste vektorerna för identitetsstöld som finns.

Varför är det på stadium 3 som internet fastnar?

Eftersom nästan alla andra steg är en liten DNS-ändring, medan steget ut ur stadium 3 är arbete: att räkna upp varje system som legitimt skickar som du — brevlådeleverantör, nyhetsbrevsplattform, CRM, faktureringsverktyg, det där som marknad skrev upp sig på förra våren — och passa in dem i ett register utan att spränga budgeten på 10 uppslag. Det är muren. ~all är den sista pinnen man når utan att göra det, vilket är varför 70.4 miljoner domäner vilar där.

Från toppen av muren finns det två vägar uppåt, och båda mynnar ut i stadium 5:

Folkräkningen visar hur sällan någon av vägarna blir slutförd: av de 77.5 miljoner softfail-registren har bara 7.1 miljoner — ungefär 1 av 11 — upprätthållande bakom sig.

Hur beräknas SPF-styrkepoängen?

Enkelt, och vi håller vikterna konstanta så att poängen är jämförbar månad för månad: full poäng för domäner där något upprätthåller (stadierna 5–6), halv poäng för ett verkligt staket som ingen agerar på (stadierna 3–4), inget för frånvarande, tillåtande eller trasiga register. På den skalan får internet 29/100 per 2026-06-29. Nästan halva populationen bidrar med noll eftersom den inte publicerar något alls.

Hur hittar jag min domäns stadium?

Stadierna 1–4 går att läsa direkt ur ditt DNS-register; stadium 5 lägger till din DMARC-policy; stadium 6 lägger till DKIM. Det enda en snabb blick inte kan avslöja är om ett strikt register i hemlighet ligger över uppslagsgränsen — det kräver att man löser upp kedjan, vilket vår kontroll gör åt dig.

Vanliga frågor

Vad är SPFAMM? SPF-adoptionens mognadsmodell — den sexstegsmodell som finns på den här sidan: Oskyddad, Tillåtande/trasig, Mjukstängslad, Strikt, Justerad, Härdad. Varje domäns stadium är beräkningsbart från dess DNS: stadierna 1–5 partitionerar folkräkningen på 261 miljoner domäner exakt, och stadium 6 är den härdade delmängden inom stadium 5.

Vilket stadium befinner sig de flesta domäner på? Stadium 1 — 46.4% av domänerna publicerar ingen SPF alls. Bland de domäner som publicerar är stadium 3 (softfail utan upprätthållande) den vanligaste viloplatsen, med 70.4 miljoner domäner. Det populationsviktade genomsnittet är stadium 2.4.

Är ~all softfail tillräckligt bra? Bara med en upprätthållande DMARC-policy bakom sig — den parningen är stadium 5 och det mönster Googles avsändarriktlinjer rekommenderar. På egen hand är det stadium 3: verkligt staket, olåst grind. Hela jämförelsen finns i ~all vs -all.

Måste jag nå -all för att vara säker? Nej. Stadium 4 är en av två vägar, inte ett krav — att behålla ~all och upprätthålla med DMARC p=reject når samma skydd hos DMARC-utvärderande mottagare. Det som krävs är muren: att känna till varje avsändare innan något upprätthåller.

Hur många domäner fullföljer alla sex stadier? 10,092,481 — 3.87% av internet — har SPF, DKIM och en upprätthållande DMARC-policy tillsammans. Varje stadieövergång är gratis; detaljerna finns i de skyddade få.

Kontrollera var din domän står

Din domän befinner sig på exakt ett av dessa sex stadier, och nästa steg går att veta på 30 sekunder — gratis, och varje åtgärd längs stegen är en DNS-ändring, inte ett köp.

Kontrollera din domän → · Åtgärda SPF → · ~all vs -all · SPF PermError-rapporten → · De 6 stadierna av DMARC-mognad → · Endast aggregerade data. Data lagras och behandlas i EU.