Defaults.Exposed

Defaults.Exposed › รายงาน

การเผยแพร่ SPF ไม่เพียงพอ: ความรู้สึกปลอดภัยที่ผิดพลาดในความปลอดภัยอีเมล (2026)

เผยแพร่ 2026-06-29

ตัวเลข ณ 2026-06-29 · ระเบียบวิธี v7 ข้อมูลสำมะโนรวมรวมการตรวจสอบต่อโดเมนข้ามโดเมน 261 ล้านโดเมนที่ให้เกรด “บังคับใช้” = นโยบาย DMARC ของ quarantine หรือ reject ดู วิธีที่เราให้เกรด

ส่วนหนึ่งของ เสา DMARC — การนำ DMARC ไปใช้ ความครบกำหนดและตารางลีก วัดทั่วทั้งสำมะโน

สถานที่อันตรายที่สุดในความปลอดภัยอีเมลคือการ รู้สึก ว่ามีการป้องกัน 32.4% ของโดเมนเผยแพร่ SPF แต่ไม่มี DMARC เลย — และ 45.7% มี SPF ที่ไม่รองรับด้วยการบังคับใช้ เจ้าของเหล่านี้ทำบางอย่าง เห็น “SPF: กำหนดค่าแล้ว” และหยุด แต่ SPF เพียงอย่างเดียวไม่หยุดคนที่ปลอมแปลงที่อยู่ “From” ที่มองเห็นของคุณ — เฉพาะ DMARC ที่บังคับใช้เท่านั้น ณ 2026-06-29 มีเพียง 3.87% ของโดเมนที่ป้องกันอีเมลได้อย่างเต็มที่

ช่องว่างระหว่าง “กำหนดค่าแล้ว” และ “ป้องกันแล้ว”

SPF ตรวจสอบว่าเซิร์ฟเวอร์ใดสามารถส่งแทนคุณ มัน ไม่ ควบคุมที่อยู่ “From” ที่บุคคลเห็นจริงๆ และไม่บอกผู้รับว่าต้องทำอะไรเมื่อล้มเหลว นั่นคืองานของ DMARC ดังนั้น SPF โดยไม่มีนโยบาย DMARC ที่บังคับใช้คือล็อคที่ไม่มีประตูอยู่เบื้องหลัง:

สถานะสัดส่วนของโดเมนป้องกันจริงหรือไม่?
เผยแพร่ SPF, ไม่มี DMARC record เลย32.4%ไม่
เผยแพร่ SPF, DMARC ไม่บังคับใช้45.7%ไม่
ป้องกันอีเมลได้อย่างเต็มที่ (SPF + DKIM + DMARC ที่บังคับใช้)3.87%ใช่

อ่านแถวกลางอีกครั้ง: 45.7% ของโดเมนทั้งหมดมี SPF แต่ไม่มีการบังคับใช้ — เกือบส่วนใหญ่ของอินเทอร์เน็ตอยู่ในโซนความปลอดภัยที่ผิดพลาด สำหรับผู้โจมตี พวกเขา ถูกปลอมแปลงได้ — และ 89.4% ของโดเมนโดยรวมเป็นเช่นนั้น

เวอร์ชันที่เลวร้ายที่สุด: เมลเข้า ไม่มีการ์ดที่ประตู

มันชัดขึ้นสำหรับโดเมนที่รับอีเมลจริงๆ 42.7% ของโดเมนรับเมล (มี MX records) แต่ไม่มีการตรวจสอบตัวตนอีเมลที่ทำงานได้เลย — ไม่มีการบังคับใช้ SPF ไม่มี DMARC โดเมนเหล่านี้เป็นโดเมนสด ที่ใช้งานซึ่งเจ้าของส่งและรับทุกวัน สามารถถูกปลอมแปลงได้อย่างสมบูรณ์ กิจกรรมนั้นคือสิ่งที่ทำให้น่าดึงดูดสำหรับการฉ้อโกงใบแจ้งหนี้และการหลอกลวงซัพพลายเออร์

ทำไม “เรามี SPF” จึงกลายเป็นกับดัก

SPF เก่ากว่า ง่ายกว่า และเป็นสิ่งแรกที่คู่มือการตั้งค่าส่วนใหญ่กล่าวถึง — ดังนั้นมันคือช่องที่ถูกทำเครื่องหมาย DMARC มาทีหลัง ฟังดูก้าวหน้ากว่า และต้องการความก้าวหน้าที่จงใจไปสู่การบังคับใช้ ผลลัพธ์คือประชากรขนาดใหญ่ที่นำขั้นตอนแรกไปใช้และไม่เคยทำขั้นตอนสอง จากนั้นดำเนินต่อไปโดยเชื่อว่างานเสร็จแล้ว สำมะโนทำให้ขนาดของความเข้าใจผิดนั้นมองเห็นได้เป็นครั้งแรก: 32.4% ที่มี SPF และไม่มี DMARC เลย

วิธีป้องกันจริงๆ

  1. เก็บ SPF ของคุณไว้ แต่อย่าพึ่งมันเพียงอย่างเดียว (แก้ไข SPF)
  2. เพิ่ม DKIM เพื่อให้เมลของคุณได้รับการลงนาม (แก้ไข DKIM)
  3. เผยแพร่ DMARC และย้ายไปสู่การบังคับใช้ (p=nonequarantinereject) นี่คือขั้นตอนที่แปลง “กำหนดค่าแล้ว” เป็น “ป้องกันแล้ว” (แก้ไข DMARC)

คำถามที่พบบ่อย

SPF เพียงพอที่จะหยุดการปลอมแปลงอีเมลหรือไม่? ไม่ SPF ไม่ปกป้องที่อยู่ “From” ที่มองเห็นหรือบอกผู้รับให้ปฏิเสธการปลอมแปลง — เฉพาะนโยบาย DMARC ที่บังคับใช้เท่านั้น 45.7% ของโดเมนมี SPF โดยไม่มีการบังคับใช้นั้น

ฉันมี SPF record — ฉันถูกปกป้องหรือไม่? ด้วยตัวเอง ไม่ คุณถูกปกป้องเมื่อ SPF และ DKIM มีอยู่ทั้งคู่และรองรับด้วย DMARC ที่ตั้งค่าเป็น quarantine หรือ reject มีเพียง 3.87% ของโดเมนที่ถึงทั้งสามอย่าง

โดเมนกี่สัดส่วนที่ยังถูกปลอมแปลงได้? 89.4% — เพราะพวกเขาขาด DMARC ที่บังคับใช้ โดยไม่คำนึงถึงว่าเผยแพร่ SPF หรือไม่

ทำไมการมีเมล (MX) โดยไม่มี auth จึงเสี่ยงเป็นพิเศษ? 42.7% ของโดเมนส่งและรับอีเมลอย่างแข็งขันแต่ไม่มีการตรวจสอบตัวตนที่ทำงานได้ — โดเมนสดที่เชื่อถือได้ที่ใครก็สามารถปลอมแปลง ซึ่งเป็นสิ่งที่ผู้ฉ้อโกงมองหาพอดี

ตรวจสอบว่าคุณถูกปกป้องจริงๆ หรือไม่

“เรามี SPF” ไม่เหมือนกับการป้องกัน ตรวจสอบโดเมนของคุณฟรีและเป็นส่วนตัว — ดูว่าอีเมลของคุณยังสามารถถูกปลอมแปลงได้หรือไม่

ตรวจสอบโดเมนของคุณ → · แก้ไข DMARC → · คะแนนการเปิดเผยโดเมน → · p=none ไม่ใช่การป้องกัน → · เฉพาะข้อมูลรวม ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป