Defaults.Exposed

Defaults.Exposed › รายงาน

SPF ยังไม่เพียงพอ: 119 ล้านโดเมนที่ไม่เคยบังคับใช้

เผยแพร่ 2026-07-03 · อัปเดต 2026-07-03

ตัวเลข ณ 2026-06-29 · วิธีการ v7 ข้อมูลสำมะโนที่รวมการตรวจสอบต่อโดเมนจาก 261 ล้านโดเมนที่ได้รับการให้คะแนน “การบังคับใช้” = นโยบาย DMARC ที่เป็น quarantine หรือ reject; “ได้รับการป้องกันอย่างครบถ้วน” = ทั้ง SPF และ DKIM อยู่ในสถานะพร้อมใช้งาน บวกกับ DMARC ที่บังคับใช้ — ครบทั้งสามองค์ประกอบการยืนยันตัวตนอีเมล ตัวเลขทั้งหมดเป็นภาพรวม — เราไม่เคยเผยแพร่คะแนนของธุรกิจแต่ละราย

การนับ: จำนวนโดเมนที่พึ่งพา SPF เพียงอย่างเดียว

SPF เพียงอย่างเดียวไม่เพียงพอที่จะหยุดการแอบอ้างอีเมล — และสำมะโนสามารถนับได้แล้วว่ามีโดเมนจำนวนเท่าใดที่ยังคงพึ่งพาสิ่งนี้: 119,212,005 (119 ล้าน) เผยแพร่ SPF แต่ไม่เคยบังคับใช้ DMARC นั่นคือ 85.8% ของทุกโดเมนที่ตั้งใจตั้งค่า SPF บทความคู่กัน SPF ที่ไม่มี DMARC อธิบาย กลไก — ว่าทำไม SPF ไม่สามารถป้องกันที่อยู่ “จาก” ที่มนุษย์เห็นได้จริง; บทความนี้วัด จำนวนประชากร — โดเมนจำนวนเท่าใดที่ช่องว่างนี้ทิ้งไว้โดยไม่ได้รับการป้องกัน และรูปแบบการเปิดเผยเป็นอย่างไร

สรุปสั้น ๆ: การตั้งค่า SPF เป็นการกระทำด้านความปลอดภัยอีเมลที่พบบ่อยที่สุดบนอินเทอร์เน็ต และสำหรับโดเมนส่วนใหญ่ที่ทำ นั่นก็เป็นขั้นตอนสุดท้ายด้วย

สามกลุ่มประชากร

139 ล้านโดเมน — จำนวน 138,911,937 — เผยแพร่บันทึก SPF แบ่งตามสิ่งที่อยู่เบื้องหลัง:

กลุ่มประชากรโดเมนส่วนแบ่งของผู้เผยแพร่ SPF
เผยแพร่ SPF ไม่มีบันทึก DMARC เลย84,638,43060.9%
เผยแพร่ SPF มี DMARC แต่ ไม่เคยบังคับใช้ (รวมแถวด้านบน)119,212,00585.8%
SPF + DKIM ที่รองรับด้วย DMARC ที่บังคับใช้10,092,481

แถวไม่รวมกันได้ถึงจำนวน SPF ทั้งหมด: ส่วนที่เหลือคือผู้เผยแพร่ SPF ที่ DMARC บังคับใช้แล้วแต่ DKIM ยังไม่ครบ — บังคับใช้แล้ว แต่ขาดจากครบสามองค์ประกอบที่แถวล่างนับ

แถวกลางคือหัวข้อหลัก: ประมาณ 119 ล้านโดเมนที่ทำงานประกาศผู้ส่งที่ถูกต้องและไม่เคยบอกกล่องข้อความของโลกให้ดำเนินการกับมัน และแถวล่างคือบทสรุป: จาก 261 ล้านโดเมนที่ได้รับการให้คะแนน มีเพียง 3.87% — ประมาณ 10 ล้าน — ที่ได้รับการป้องกันอีเมลอย่างครบถ้วน การป้องกันอย่างครบถ้วนไม่ใช่มาตรฐานสูงในทางเทคนิค มันเป็นเพียงจุดสิ้นสุดของเส้นทางที่ 119 ล้านโดเมนเริ่มต้นและหยุดกลางทาง

ทำไมตัวเลขถึงไม่สมดุลเช่นนี้

SPF คือจุดเริ่มต้นของคู่มือการตั้งค่าทุกฉบับ จุดสิ้นสุดของการเริ่มต้นใช้งานของผู้ให้บริการเมลส่วนใหญ่ และสิ่งที่รายการตรวจสอบการปฏิบัติตามกฎระเบียบส่วนใหญ่ทดสอบจริง ๆ มันสร้างสิ่งที่มองเห็นได้ — บันทึก TXT — และเครื่องหมายถูกสีเขียวในเครื่องมือใดก็ตามที่ตรวจสอบ DMARC ที่บังคับใช้สร้างประสบการณ์ตรงกันข้าม: มันต้องการความก้าวหน้า (เผยแพร่, สังเกต, ระบุผู้ส่ง, จากนั้นบังคับใช้) และรางวัลของมันมองไม่เห็น — เมลปลอมที่หยุดส่งถึงอย่างเงียบ ๆ

ดังนั้นอินเทอร์เน็ตจึงปรับให้เหมาะกับเครื่องหมายถูก สำมะโนแสดงให้เห็นว่าหน้าตาเป็นอย่างไรในระดับใหญ่: 85 ล้านโดเมน (84,638,430) มี SPF และไม่มีบันทึก DMARC ประเภทใดเลย — ไม่แม้แต่ตัวยึดตำแหน่ง p=none เจ้าของเหล่านี้ไม่ได้ขี้เกียจ พวกเขาปฏิบัติตามคำแนะนำที่ได้รับ และคำแนะนำหยุดเร็วเกินไป

”ครอบคลุม” หมายความว่าอะไรที่นี่

ผลลัพธ์ ไม่ใช่ความกลัว: โดเมนที่มี SPF และไม่มี DMARC ที่บังคับใช้ยังสามารถถูกแอบอ้างในจุดที่มนุษย์มอง — บรรทัด “จาก” ที่มองเห็น SPF ให้เซิร์ฟเวอร์รับตรวจสอบได้ว่าเครื่องใดอาจส่งในนามโดเมน envelope แต่หากไม่มี DMARC ก็ไม่มีข้อกำหนดว่าผู้ส่งที่มองเห็นต้องตรงกับสิ่งที่ SPF ตรวจสอบ และไม่มีคำสั่งให้ปฏิเสธเมลที่ล้มเหลว ใบแจ้งหนี้ปลอม การรีเซ็ตรหัสผ่านปลอม การเปลี่ยนเส้นทางการชำระเงินของซัพพลายเออร์ — ทั้งหมดยังคงสามารถส่งถึง ลูกค้าและซัพพลายเออร์ของคุณในชื่อของคุณ ได้ ไม่ว่าจะมีบันทึก SPF หรือไม่

ใน หกขั้นตอนของความสมบูรณ์แบบ DMARC โดเมน 119 ล้านนี้ติดอยู่ในขั้นตอนที่ 1–3 — ฐานถูกสร้าง หรือสร้างบางส่วน และประตูไม่เคยถูกติดตั้ง ระยะทางจากจุดนั้นสู่การป้องกันเป็นที่รู้จักและส่วนใหญ่เป็นขั้นตอน สิ่งที่สำมะโนนี้เพิ่มเติมคือความรู้ว่าเกือบไม่มีใครเดินจนจบ

หากโดเมนของคุณเป็นหนึ่งใน 119 ล้าน

  1. เก็บ SPF ไว้ — มันเป็นข้อกำหนดเบื้องต้น ไม่ใช่ความผิดพลาด (แก้ไข SPF →.)
  2. เพิ่ม DKIM เพื่อให้เมลของคุณมีลายเซ็นด้วย ไม่ใช่แค่มีแหล่งที่มา (แก้ไข DKIM →.)
  3. เผยแพร่ DMARC พร้อมรายงาน จากนั้นบังคับใช้p=none พร้อม rua= ก่อน ระบุผู้ส่งที่ถูกต้องทุกราย จากนั้นย้ายไป quarantine และ reject นี่คือขั้นตอนที่แปลง “กำหนดค่าแล้ว” เป็น “ได้รับการป้องกัน” (แก้ไข DMARC →.)

คำถามที่พบบ่อย

SPF เพียงพอที่จะปกป้องโดเมนจากการปลอมแปลงหรือไม่? ไม่ SPF ตรวจสอบเซิร์ฟเวอร์ส่งกับโดเมน envelope ไม่ได้ตรวจสอบที่อยู่ “จาก” ที่มองเห็น หรือบอกผู้รับให้ปฏิเสธความล้มเหลว เฉพาะนโยบาย DMARC ที่บังคับใช้เท่านั้นที่ทำทั้งสองอย่าง — และ 119,212,005 โดเมนเผยแพร่ SPF โดยไม่มีสิ่งนั้น

มีโดเมนจำนวนเท่าใดที่มี SPF แต่ไม่มี DMARC เลย? 84,638,430 — 60.9% ของผู้เผยแพร่ SPF ทั้งหมดไม่มีบันทึก DMARC ใด ๆ แม้แต่โหมดการตรวจสอบ

มีโดเมนจำนวนเท่าใดที่ได้รับการป้องกันอย่างครบถ้วน? 10,092,481 — 3.87% ของ 261 ล้านโดเมนที่ได้รับการให้คะแนนรวม SPF และ DKIM กับนโยบาย DMARC ที่เป็น quarantine หรือ reject

การมี SPF อย่างน้อยช่วยได้หรือไม่? ใช่ — มันเป็นรากฐานที่ DMARC ประเมิน และปรับปรุงการส่งเมลที่ถูกต้องของคุณ มันแค่ไม่ ป้องกัน อะไรด้วยตัวเอง มันคือขั้นตอนที่หนึ่งจากสาม และสำมะโนแสดงให้เห็นว่าอินเทอร์เน็ตส่วนใหญ่ถือว่ามันคือบันไดทั้งหมด

ตรวจสอบว่าโดเมนของคุณอยู่ในกลุ่มใด

“เราตั้งค่า SPF แล้ว” อธิบาย 139 ล้านโดเมน; “เราได้รับการป้องกัน” อธิบาย 10 ล้าน การค้นหาว่าคุณอยู่ฝั่งไหนใช้เวลาหนึ่งนาที ส่วนตัวและฟรี — ดูว่าคุณผ่านการตรวจสอบ 34 รายการใดบ้างและวิธีแก้ไขที่ไม่ผ่าน

ตรวจสอบโดเมนของคุณ → · 6 ขั้นตอนของความสมบูรณ์แบบ DMARC → · เสาหลัก DMARC → · เฉพาะข้อมูลรวม ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป