Defaults.Exposed › รายงาน
โมเดลความครบถ้วนการนำ SPF มาใช้ (SPFAMM): 6 ขั้นตอนของ SPF (2026)
เผยแพร่ 2026-07-03
ตัวเลข ณ วันที่ 2026-06-29 · วิธีการ v7 โมเดลอ้างอิงที่สนับสนุนโดยสำมะโนที่เกิดซ้ำของโดเมน 261 ล้านรายการที่ถูกให้เกรด แต่ละฉบับวัดประชากรเดิมซ้ำเพื่อให้สามารถติดตามตัวเลขเมื่อเวลาผ่านไป ตัวเลขทั้งหมดรวม — เราไม่เคยเผยแพร่บันทึกของธุรกิจรายบุคคล
อินเทอร์เน็ตอยู่ที่ขั้นตอนใด?
ขั้นตอน 2.4 จาก 6 วัดจากโดเมน 261 ล้านรายการ โดเมนโดยเฉลี่ยยังไม่ถึงรั้ว SPF ที่ใช้งานได้ — และอินเทอร์เน็ตโดยรวมได้คะแนน 29 จาก 100 บนความแข็งแกร่งของ SPF การเผยแพร่ SPF เป็นการกระทำด้านความปลอดภัยอีเมลที่พบบ่อยที่สุด (53.21% ของโดเมนทำ) แต่บันทึกส่วนใหญ่หยุดที่การตั้งค่าที่ขอให้ผู้รับส่งการปลอมแปลงไปอยู่ดี
ปัญหาไม่ใช่การนำมาใช้ — มันคือการที่คำแนะนำด้านความครบถ้วนส่วนใหญ่หยุดที่ “เราเผยแพร่ SPF” ราวกับว่าบันทึกเองเป็นความสำเร็จ SPF record สามารถอนุญาตอินเทอร์เน็ตทั้งหมด แสดงความเห็นไม่ได้ ยกเลิกตัวเองอย่างเงียบๆ หรืออยู่ที่ softfail ตลอดไปเพราะการทำให้เข้มงวดขึ้นหมายถึงงานที่ไม่มีใครกำหนดเวลา โมเดลที่มีประโยชน์ระบุแต่ละสถานะเหล่านั้น นี่ทำ: SPF Adoption Maturity Model — SPFAMM หกขั้นตอน หนึ่งการเคลื่อนไหวแต่ละอย่าง และชื่อที่คุณสามารถอ้างถึงได้ เป็น SPF companion กับ หกขั้นตอนของความครบถ้วน DMARC
หกขั้นตอนของความครบถ้วน SPF คืออะไร?
โดเมนทุกรายการจากโดเมน 261 ล้านรายการที่ถูกให้เกรดอยู่ที่ขั้นตอนหนึ่งใน 1–5 และห้าประชากรนั้นรวมกันเป็นผลรวมของสำมะโนอย่างแม่นยำ ขั้นตอน 6 คือชุดที่เสริมความแข็งแกร่งนับภายในขั้นตอน 5 นั่นคือสิ่งที่ทำให้ SPFAMM เป็นการวัดมากกว่าโปสเตอร์
| ขั้นตอน | ชื่อ | โดเมน | สัดส่วน |
|---|---|---|---|
| 1 | ไม่ได้รับการป้องกัน | 121,145,609 | 46.4% |
| 2 | อนุญาตมากเกินไปหรือเสียหาย | 7,798,366 | 3.0% |
| 3 | รั้วนุ่ม | 70,368,600 | 27.0% |
| 4 | เข้มงวด | 42,514,532 | 16.3% |
| 5 | สอดคล้อง | 19,259,125 | 7.4% |
| 6 | เสริมความแข็งแกร่ง | 10,092,481 | 3.87% |
(ขั้นตอน 6 คือชุดที่เสริมความแข็งแกร่งของโดเมนที่สอดคล้องในขั้นตอน 5 ดังนั้นขั้นตอน 1–5 แบ่งสำมะโนและขั้นตอน 6 อยู่ภายในขั้นตอน 5)
ขั้นตอน 1 — ไม่ได้รับการป้องกัน ไม่มีบันทึก v=spf1 ผู้รับไม่ตรวจสอบอะไร การปลอมแปลงโดเมนบนขา SPF นั้นง่าย การเคลื่อนไหว: เผยแพร่บันทึก v=spf1 ที่แสดงรายการผู้ส่งจริงของคุณ ลงท้ายด้วยตัวกำหนดการล้มเหลว
ขั้นตอน 2 — อนุญาตมากเกินไปหรือเสียหาย มีบันทึกแต่ไม่ได้ป้องกันอะไร ขั้นตอนนี้รวบรวมการลงท้ายที่ไม่มีฟัน — ?all neutral (3.0% ของผู้เผยแพร่) และ doormat +all — พร้อมกับบันทึกที่เสียหาย: บันทึก v=spf1 หลายรายการ ซึ่งมาตรฐานยกเลิกทั้งหมด และบันทึกที่แตกเป็นเสี่ยงที่ไม่มีการลงท้ายที่ใช้ได้ มีข้อยกเว้น: ประมาณ 2.1 ล้านบันทึกลงท้ายด้วย redirect= ซึ่งเป็น การมอบหมายที่ถูกต้อง — นโยบายจริงอยู่ที่เป้าหมาย และเรานับพวกเขาที่นี่เพียงเพราะบันทึกของพวกเขาเองไม่มีคำตัดสิน การเคลื่อนไหว: หนึ่งบันทึก การลงท้ายจริงหนึ่งอย่าง — ~all หรือ -all
ขั้นตอน 3 — รั้วนุ่ม บันทึกลงท้ายด้วย ~all (softfail) โดยไม่มีอะไรบังคับใช้เบื้องหลัง — 70.4 ล้านโดเมน ประชากรที่ใหญ่ที่สุดในขั้นตอน SPF ที่เผยแพร่ใดๆ Softfail คือรั้วจริงที่มีประตูล็อคไม่แน่น: บอกผู้รับว่า “เมลจากที่อื่นอาจถูกปลอมแปลง” และขอให้พวกเขาส่งมันอยู่ดี การเคลื่อนไหว: ปีนกำแพง — นับรายการผู้ส่งทุกคนที่ถูกต้อง จากนั้นใช้เส้นทางใดก็ได้ขึ้น (ด้านล่าง)
ขั้นตอน 4 — เข้มงวด บันทึกลงท้ายด้วย -all: 42.5 ล้านโดเมนที่เผยแพร่ “ปฏิเสธทุกคนอื่น” อย่างชัดแจ้ง โดยยังไม่มีการบังคับใช้ DMARC เบื้องหลัง มีคำเตือนที่ซื่อสัตย์หนึ่งที่การวัดของเราเองได้กำหนดปริมาณขึ้นแล้ว: บันทึก -all ที่ เกินขีดจำกัด 10 lookups นั้นเป็นโมฆะไม่ว่าจะดูเข้มงวดแค่ไหน — อย่างน้อย 112,215 ของบันทึก -all ของอินเทอร์เน็ตอยู่ในสถานะนั้น การเคลื่อนไหว: วางนโยบาย DMARC ที่บังคับใช้เบื้องหลังบันทึก เพื่อให้ดำเนินการกับความล้มเหลวทุกที่
ขั้นตอน 5 — สอดคล้อง SPF — นุ่มหรือเข้มงวด — อยู่เบื้องหลัง DMARC p=quarantine หรือ p=reject นี่คือขั้นตอนที่การปลอมแปลงโดเมนที่แน่ชัดของคุณหยุดที่ผู้ให้บริการกล่องจดหมายหลักทุกราย: 19.3 ล้านโดเมน ซึ่ง 7.1 ล้านคู่ ~all กับการบังคับใช้ (รูปแบบที่แนะนำโดยแนวทางผู้ส่งของ Google) และ 12.1 ล้านคู่ -all กับมัน การเคลื่อนไหว: เพิ่ม DKIM และคอยดู — บันทึกเน่าเปื่อย
ขั้นตอน 6 — เสริมความแข็งแกร่ง SPF บวก DKIM บวก DMARC ที่บังคับใช้ — ชุดที่ได้รับการป้องกันอย่างสมบูรณ์ 10,092,481 โดเมน 3.87% ของอินเทอร์เน็ต — บวกกับวินัยในการติดตามการเลื่อนไหล: สาย include: เปลี่ยน ผู้ให้บริการย้าย IP มีคนเชื่อมต่อเครื่องมือใหม่ที่ส่งในนามคุณ การเคลื่อนไหว: อยู่ที่นี่ มันคือการปฏิบัติ ไม่ใช่ตราสัญลักษณ์
เลนไม่มีเมล โดเมนที่ไม่ส่งเมลสามารถกระโดดขึ้นสู่ด้านบนในการแก้ไขครั้งเดียว: SPF
-allบวก DMARCp=rejectไม่มีอะไรที่ถูกต้องที่ต้องป้องกันหมายถึงไม่มีกำแพงต้องปีน — และมันปิดหนึ่งในเวกเตอร์การแอบอ้างที่พบบ่อยที่สุด
ทำไมขั้นตอน 3 จึงเป็นที่ที่อินเทอร์เน็ตหยุดนิ่ง?
เพราะการเคลื่อนไหวอื่นๆ เกือบทั้งหมดเป็นการแก้ไข DNS เล็กๆ และการเคลื่อนไหวออกจากขั้นตอน 3 คือ งาน: การระบุทุกระบบที่ส่งในนามคุณอย่างถูกต้อง — ผู้ให้บริการกล่องจดหมาย แพลตฟอร์มจดหมายข่าว CRM เครื่องมือออกใบแจ้งหนี้ สิ่งที่ฝ่ายการตลาดสมัครเมื่อฤดูใบไม้ผลิที่แล้ว — และใส่พวกเขาลงในบันทึกเดียวโดยไม่ เป่างบประมาณ 10 lookups นั่นคือกำแพง ~all คือขั้นสุดท้ายที่เข้าถึงได้โดยไม่ต้องทำมัน ซึ่งเป็นเหตุผลที่ 70.4 ล้านโดเมนพักอยู่ที่นั่น
จากด้านบนของกำแพงมี สองเส้นทางขึ้น และทั้งสองมาถึงขั้นตอน 5:
- เข้มงวดเป็น
-all(ผ่านขั้นตอน 4) — ปฏิเสธอย่างชัดเจนในบันทึกเอง ดู~allเทียบกับ-allสำหรับเมื่อไหรนี่เป็นการโทรที่ถูกต้อง - เก็บ
~allและบังคับใช้ด้วย DMARCp=reject— เส้นทางที่แนวทางของ Google และการปฏิบัติส่วนใหญ่แนะนำในขณะนี้ เพราะป้องกันอย่างเท่าเทียมที่ผู้รับที่ประเมิน DMARC โดยไม่ต้องเด้งเมลที่ส่งต่อ
สำมะโนแสดงให้เห็นว่าเส้นทางใดแทบจะไม่เสร็จสิ้น: ของบันทึก softfail 77.5 ล้านรายการ มีเพียง 7.1 ล้านรายการ — ประมาณ 1 ใน 11 — ที่มีการบังคับใช้เบื้องหลัง
คะแนนความแข็งแกร่ง SPF คำนวณอย่างไร?
เรียบง่าย และเราคงน้ำหนักไว้คงที่เพื่อให้คะแนนเปรียบได้เดือนต่อเดือน: คะแนนเต็มสำหรับโดเมนที่มีบางอย่างบังคับใช้ (ขั้นตอน 5–6) ครึ่งคะแนนสำหรับรั้วจริงที่ไม่มีใครดำเนินการ (ขั้นตอน 3–4) ไม่มีสำหรับบันทึกที่ไม่มี อนุญาตมากเกินไป หรือเสียหาย ในระดับนั้นอินเทอร์เน็ตได้คะแนน 29/100 ณ วันที่ 2026-06-29 เกือบครึ่งประชากรมีส่วนสนับสนุนเป็นศูนย์เพราะไม่ได้เผยแพร่อะไรเลย
ฉันจะค้นหาขั้นตอนของโดเมนของฉันได้อย่างไร?
ขั้นตอน 1–4 อ่านได้โดยตรงจากบันทึก DNS ของคุณ ขั้นตอน 5 เพิ่มนโยบาย DMARC ขั้นตอน 6 เพิ่ม DKIM สิ่งหนึ่งที่มองดูไม่บอกคุณคือบันทึกที่เข้มงวดนั้น เกินขีดจำกัด lookup อย่างลับๆ หรือไม่ — ต้องแก้สายซึ่งตัวตรวจสอบของเราทำให้คุณ
คำถามที่พบบ่อย
SPFAMM คืออะไร? SPF Adoption Maturity Model — โมเดลหกขั้นตอนในหน้านี้: ไม่ได้รับการป้องกัน อนุญาตมากเกินไป/เสียหาย รั้วนุ่ม เข้มงวด สอดคล้อง เสริมความแข็งแกร่ง ขั้นตอนของทุกโดเมนคำนวณได้จาก DNS: ขั้นตอน 1–5 แบ่งสำมะโน 261 ล้านโดเมนอย่างแม่นยำ และขั้นตอน 6 คือชุดที่เสริมความแข็งแกร่งภายในขั้นตอน 5
โดเมนส่วนใหญ่อยู่ที่ขั้นตอนใด? ขั้นตอน 1 — 46.4% ของโดเมนไม่เผยแพร่ SPF เลย ในบรรดาโดเมนที่เผยแพร่ ขั้นตอน 3 (softfail โดยไม่มีการบังคับใช้) คือที่พักที่พบบ่อยที่สุด ด้วย 70.4 ล้านโดเมน ค่าเฉลี่ยถ่วงน้ำหนักประชากรคือขั้นตอน 2.4
~all softfail เพียงพอหรือไม่?
เฉพาะเมื่อมีนโยบาย DMARC ที่บังคับใช้เบื้องหลัง — การจับคู่นั้นคือขั้นตอน 5 และรูปแบบที่แนวทางผู้ส่งของ Google แนะนำ โดยลำพังมันคือขั้นตอน 3: รั้วจริง ประตูล็อคไม่แน่น การเปรียบเทียบเต็มอยู่ใน ~all เทียบกับ -all
ฉันต้องถึง -all เพื่อความปลอดภัยหรือไม่?
ไม่ ขั้นตอน 4 คือหนึ่งในสองเส้นทาง ไม่ใช่ข้อกำหนด — การเก็บ ~all และบังคับใช้ด้วย DMARC p=reject ให้การป้องกันเดียวกันที่ผู้รับที่ประเมิน DMARC สิ่งที่จำเป็นคือกำแพง: รู้จักผู้ส่งทุกคนก่อนที่อะไรจะบังคับใช้
โดเมนกี่แห่งที่ผ่านหกขั้นตอนทั้งหมด? 10,092,481 — 3.87% ของอินเทอร์เน็ต — มี SPF DKIM และนโยบาย DMARC ที่บังคับใช้ร่วมกัน การเปลี่ยนผ่านทุกขั้นตอนฟรี รายละเอียดอยู่ใน กลุ่มน้อยที่ได้รับการป้องกัน
ตรวจสอบว่าโดเมนของคุณยืนอยู่ที่ไหน
โดเมนของคุณอยู่ที่หนึ่งในหกขั้นตอนเหล่านี้อย่างแน่นอน และการเคลื่อนไหวถัดไปรู้ได้ใน 30 วินาที — ฟรี และทุกการแก้ไขตามบันไดเป็นการเปลี่ยนแปลง DNS ไม่ใช่การซื้อ
ตรวจสอบโดเมนของคุณ → · แก้ไข SPF → · ~all เทียบกับ -all → · รายงาน SPF PermError → · 6 ขั้นตอนของความครบถ้วน DMARC → · ข้อมูลรวมเท่านั้น ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป