Defaults.Exposed › รายงาน
SPF ยังไม่เพียงพอ: 119 ล้านโดเมนที่ไม่เคยบังคับใช้
เผยแพร่ 2026-07-03 · อัปเดต 2026-07-03
ตัวเลข ณ 2026-06-29 · วิธีการ v7 ข้อมูลสำมะโนที่รวมการตรวจสอบต่อโดเมนจาก 261 ล้านโดเมนที่ได้รับการให้คะแนน “การบังคับใช้” = นโยบาย DMARC ที่เป็น
quarantineหรือreject; “ได้รับการป้องกันอย่างครบถ้วน” = ทั้ง SPF และ DKIM อยู่ในสถานะพร้อมใช้งาน บวกกับ DMARC ที่บังคับใช้ — ครบทั้งสามองค์ประกอบการยืนยันตัวตนอีเมล ตัวเลขทั้งหมดเป็นภาพรวม — เราไม่เคยเผยแพร่คะแนนของธุรกิจแต่ละราย
การนับ: จำนวนโดเมนที่พึ่งพา SPF เพียงอย่างเดียว
SPF เพียงอย่างเดียวไม่เพียงพอที่จะหยุดการแอบอ้างอีเมล — และสำมะโนสามารถนับได้แล้วว่ามีโดเมนจำนวนเท่าใดที่ยังคงพึ่งพาสิ่งนี้: 119,212,005 (119 ล้าน) เผยแพร่ SPF แต่ไม่เคยบังคับใช้ DMARC นั่นคือ 85.8% ของทุกโดเมนที่ตั้งใจตั้งค่า SPF บทความคู่กัน SPF ที่ไม่มี DMARC อธิบาย กลไก — ว่าทำไม SPF ไม่สามารถป้องกันที่อยู่ “จาก” ที่มนุษย์เห็นได้จริง; บทความนี้วัด จำนวนประชากร — โดเมนจำนวนเท่าใดที่ช่องว่างนี้ทิ้งไว้โดยไม่ได้รับการป้องกัน และรูปแบบการเปิดเผยเป็นอย่างไร
สรุปสั้น ๆ: การตั้งค่า SPF เป็นการกระทำด้านความปลอดภัยอีเมลที่พบบ่อยที่สุดบนอินเทอร์เน็ต และสำหรับโดเมนส่วนใหญ่ที่ทำ นั่นก็เป็นขั้นตอนสุดท้ายด้วย
สามกลุ่มประชากร
139 ล้านโดเมน — จำนวน 138,911,937 — เผยแพร่บันทึก SPF แบ่งตามสิ่งที่อยู่เบื้องหลัง:
| กลุ่มประชากร | โดเมน | ส่วนแบ่งของผู้เผยแพร่ SPF |
|---|---|---|
| เผยแพร่ SPF ไม่มีบันทึก DMARC เลย | 84,638,430 | 60.9% |
| เผยแพร่ SPF มี DMARC แต่ ไม่เคยบังคับใช้ (รวมแถวด้านบน) | 119,212,005 | 85.8% |
| SPF + DKIM ที่รองรับด้วย DMARC ที่บังคับใช้ | 10,092,481 | — |
แถวไม่รวมกันได้ถึงจำนวน SPF ทั้งหมด: ส่วนที่เหลือคือผู้เผยแพร่ SPF ที่ DMARC บังคับใช้แล้วแต่ DKIM ยังไม่ครบ — บังคับใช้แล้ว แต่ขาดจากครบสามองค์ประกอบที่แถวล่างนับ
แถวกลางคือหัวข้อหลัก: ประมาณ 119 ล้านโดเมนที่ทำงานประกาศผู้ส่งที่ถูกต้องและไม่เคยบอกกล่องข้อความของโลกให้ดำเนินการกับมัน และแถวล่างคือบทสรุป: จาก 261 ล้านโดเมนที่ได้รับการให้คะแนน มีเพียง 3.87% — ประมาณ 10 ล้าน — ที่ได้รับการป้องกันอีเมลอย่างครบถ้วน การป้องกันอย่างครบถ้วนไม่ใช่มาตรฐานสูงในทางเทคนิค มันเป็นเพียงจุดสิ้นสุดของเส้นทางที่ 119 ล้านโดเมนเริ่มต้นและหยุดกลางทาง
ทำไมตัวเลขถึงไม่สมดุลเช่นนี้
SPF คือจุดเริ่มต้นของคู่มือการตั้งค่าทุกฉบับ จุดสิ้นสุดของการเริ่มต้นใช้งานของผู้ให้บริการเมลส่วนใหญ่ และสิ่งที่รายการตรวจสอบการปฏิบัติตามกฎระเบียบส่วนใหญ่ทดสอบจริง ๆ มันสร้างสิ่งที่มองเห็นได้ — บันทึก TXT — และเครื่องหมายถูกสีเขียวในเครื่องมือใดก็ตามที่ตรวจสอบ DMARC ที่บังคับใช้สร้างประสบการณ์ตรงกันข้าม: มันต้องการความก้าวหน้า (เผยแพร่, สังเกต, ระบุผู้ส่ง, จากนั้นบังคับใช้) และรางวัลของมันมองไม่เห็น — เมลปลอมที่หยุดส่งถึงอย่างเงียบ ๆ
ดังนั้นอินเทอร์เน็ตจึงปรับให้เหมาะกับเครื่องหมายถูก สำมะโนแสดงให้เห็นว่าหน้าตาเป็นอย่างไรในระดับใหญ่: 85 ล้านโดเมน (84,638,430) มี SPF และไม่มีบันทึก DMARC ประเภทใดเลย — ไม่แม้แต่ตัวยึดตำแหน่ง p=none เจ้าของเหล่านี้ไม่ได้ขี้เกียจ พวกเขาปฏิบัติตามคำแนะนำที่ได้รับ และคำแนะนำหยุดเร็วเกินไป
”ครอบคลุม” หมายความว่าอะไรที่นี่
ผลลัพธ์ ไม่ใช่ความกลัว: โดเมนที่มี SPF และไม่มี DMARC ที่บังคับใช้ยังสามารถถูกแอบอ้างในจุดที่มนุษย์มอง — บรรทัด “จาก” ที่มองเห็น SPF ให้เซิร์ฟเวอร์รับตรวจสอบได้ว่าเครื่องใดอาจส่งในนามโดเมน envelope แต่หากไม่มี DMARC ก็ไม่มีข้อกำหนดว่าผู้ส่งที่มองเห็นต้องตรงกับสิ่งที่ SPF ตรวจสอบ และไม่มีคำสั่งให้ปฏิเสธเมลที่ล้มเหลว ใบแจ้งหนี้ปลอม การรีเซ็ตรหัสผ่านปลอม การเปลี่ยนเส้นทางการชำระเงินของซัพพลายเออร์ — ทั้งหมดยังคงสามารถส่งถึง ลูกค้าและซัพพลายเออร์ของคุณในชื่อของคุณ ได้ ไม่ว่าจะมีบันทึก SPF หรือไม่
ใน หกขั้นตอนของความสมบูรณ์แบบ DMARC โดเมน 119 ล้านนี้ติดอยู่ในขั้นตอนที่ 1–3 — ฐานถูกสร้าง หรือสร้างบางส่วน และประตูไม่เคยถูกติดตั้ง ระยะทางจากจุดนั้นสู่การป้องกันเป็นที่รู้จักและส่วนใหญ่เป็นขั้นตอน สิ่งที่สำมะโนนี้เพิ่มเติมคือความรู้ว่าเกือบไม่มีใครเดินจนจบ
หากโดเมนของคุณเป็นหนึ่งใน 119 ล้าน
- เก็บ SPF ไว้ — มันเป็นข้อกำหนดเบื้องต้น ไม่ใช่ความผิดพลาด (แก้ไข SPF →.)
- เพิ่ม DKIM เพื่อให้เมลของคุณมีลายเซ็นด้วย ไม่ใช่แค่มีแหล่งที่มา (แก้ไข DKIM →.)
- เผยแพร่ DMARC พร้อมรายงาน จากนั้นบังคับใช้ —
p=noneพร้อมrua=ก่อน ระบุผู้ส่งที่ถูกต้องทุกราย จากนั้นย้ายไปquarantineและrejectนี่คือขั้นตอนที่แปลง “กำหนดค่าแล้ว” เป็น “ได้รับการป้องกัน” (แก้ไข DMARC →.)
คำถามที่พบบ่อย
SPF เพียงพอที่จะปกป้องโดเมนจากการปลอมแปลงหรือไม่? ไม่ SPF ตรวจสอบเซิร์ฟเวอร์ส่งกับโดเมน envelope ไม่ได้ตรวจสอบที่อยู่ “จาก” ที่มองเห็น หรือบอกผู้รับให้ปฏิเสธความล้มเหลว เฉพาะนโยบาย DMARC ที่บังคับใช้เท่านั้นที่ทำทั้งสองอย่าง — และ 119,212,005 โดเมนเผยแพร่ SPF โดยไม่มีสิ่งนั้น
มีโดเมนจำนวนเท่าใดที่มี SPF แต่ไม่มี DMARC เลย? 84,638,430 — 60.9% ของผู้เผยแพร่ SPF ทั้งหมดไม่มีบันทึก DMARC ใด ๆ แม้แต่โหมดการตรวจสอบ
มีโดเมนจำนวนเท่าใดที่ได้รับการป้องกันอย่างครบถ้วน?
10,092,481 — 3.87% ของ 261 ล้านโดเมนที่ได้รับการให้คะแนนรวม SPF และ DKIM กับนโยบาย DMARC ที่เป็น quarantine หรือ reject
การมี SPF อย่างน้อยช่วยได้หรือไม่? ใช่ — มันเป็นรากฐานที่ DMARC ประเมิน และปรับปรุงการส่งเมลที่ถูกต้องของคุณ มันแค่ไม่ ป้องกัน อะไรด้วยตัวเอง มันคือขั้นตอนที่หนึ่งจากสาม และสำมะโนแสดงให้เห็นว่าอินเทอร์เน็ตส่วนใหญ่ถือว่ามันคือบันไดทั้งหมด
ตรวจสอบว่าโดเมนของคุณอยู่ในกลุ่มใด
“เราตั้งค่า SPF แล้ว” อธิบาย 139 ล้านโดเมน; “เราได้รับการป้องกัน” อธิบาย 10 ล้าน การค้นหาว่าคุณอยู่ฝั่งไหนใช้เวลาหนึ่งนาที ส่วนตัวและฟรี — ดูว่าคุณผ่านการตรวจสอบ 34 รายการใดบ้างและวิธีแก้ไขที่ไม่ผ่าน
ตรวจสอบโดเมนของคุณ → · 6 ขั้นตอนของความสมบูรณ์แบบ DMARC → · เสาหลัก DMARC → · เฉพาะข้อมูลรวม ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป