Defaults.Exposed

Defaults.Exposed › รายงาน

โมเดลความครบถ้วนการนำ SPF มาใช้ (SPFAMM): 6 ขั้นตอนของ SPF (2026)

เผยแพร่ 2026-07-03

ตัวเลข ณ วันที่ 2026-06-29 · วิธีการ v7 โมเดลอ้างอิงที่สนับสนุนโดยสำมะโนที่เกิดซ้ำของโดเมน 261 ล้านรายการที่ถูกให้เกรด แต่ละฉบับวัดประชากรเดิมซ้ำเพื่อให้สามารถติดตามตัวเลขเมื่อเวลาผ่านไป ตัวเลขทั้งหมดรวม — เราไม่เคยเผยแพร่บันทึกของธุรกิจรายบุคคล

อินเทอร์เน็ตอยู่ที่ขั้นตอนใด?

ขั้นตอน 2.4 จาก 6 วัดจากโดเมน 261 ล้านรายการ โดเมนโดยเฉลี่ยยังไม่ถึงรั้ว SPF ที่ใช้งานได้ — และอินเทอร์เน็ตโดยรวมได้คะแนน 29 จาก 100 บนความแข็งแกร่งของ SPF การเผยแพร่ SPF เป็นการกระทำด้านความปลอดภัยอีเมลที่พบบ่อยที่สุด (53.21% ของโดเมนทำ) แต่บันทึกส่วนใหญ่หยุดที่การตั้งค่าที่ขอให้ผู้รับส่งการปลอมแปลงไปอยู่ดี

ปัญหาไม่ใช่การนำมาใช้ — มันคือการที่คำแนะนำด้านความครบถ้วนส่วนใหญ่หยุดที่ “เราเผยแพร่ SPF” ราวกับว่าบันทึกเองเป็นความสำเร็จ SPF record สามารถอนุญาตอินเทอร์เน็ตทั้งหมด แสดงความเห็นไม่ได้ ยกเลิกตัวเองอย่างเงียบๆ หรืออยู่ที่ softfail ตลอดไปเพราะการทำให้เข้มงวดขึ้นหมายถึงงานที่ไม่มีใครกำหนดเวลา โมเดลที่มีประโยชน์ระบุแต่ละสถานะเหล่านั้น นี่ทำ: SPF Adoption Maturity Model — SPFAMM หกขั้นตอน หนึ่งการเคลื่อนไหวแต่ละอย่าง และชื่อที่คุณสามารถอ้างถึงได้ เป็น SPF companion กับ หกขั้นตอนของความครบถ้วน DMARC

หกขั้นตอนของความครบถ้วน SPF คืออะไร?

โดเมนทุกรายการจากโดเมน 261 ล้านรายการที่ถูกให้เกรดอยู่ที่ขั้นตอนหนึ่งใน 1–5 และห้าประชากรนั้นรวมกันเป็นผลรวมของสำมะโนอย่างแม่นยำ ขั้นตอน 6 คือชุดที่เสริมความแข็งแกร่งนับภายในขั้นตอน 5 นั่นคือสิ่งที่ทำให้ SPFAMM เป็นการวัดมากกว่าโปสเตอร์

ขั้นตอนชื่อโดเมนสัดส่วน
1ไม่ได้รับการป้องกัน121,145,60946.4%
2อนุญาตมากเกินไปหรือเสียหาย7,798,3663.0%
3รั้วนุ่ม70,368,60027.0%
4เข้มงวด42,514,53216.3%
5สอดคล้อง19,259,1257.4%
6เสริมความแข็งแกร่ง10,092,4813.87%

(ขั้นตอน 6 คือชุดที่เสริมความแข็งแกร่งของโดเมนที่สอดคล้องในขั้นตอน 5 ดังนั้นขั้นตอน 1–5 แบ่งสำมะโนและขั้นตอน 6 อยู่ภายในขั้นตอน 5)

ขั้นตอน 1 — ไม่ได้รับการป้องกัน ไม่มีบันทึก v=spf1 ผู้รับไม่ตรวจสอบอะไร การปลอมแปลงโดเมนบนขา SPF นั้นง่าย การเคลื่อนไหว: เผยแพร่บันทึก v=spf1 ที่แสดงรายการผู้ส่งจริงของคุณ ลงท้ายด้วยตัวกำหนดการล้มเหลว

ขั้นตอน 2 — อนุญาตมากเกินไปหรือเสียหาย มีบันทึกแต่ไม่ได้ป้องกันอะไร ขั้นตอนนี้รวบรวมการลงท้ายที่ไม่มีฟัน — ?all neutral (3.0% ของผู้เผยแพร่) และ doormat +all — พร้อมกับบันทึกที่เสียหาย: บันทึก v=spf1 หลายรายการ ซึ่งมาตรฐานยกเลิกทั้งหมด และบันทึกที่แตกเป็นเสี่ยงที่ไม่มีการลงท้ายที่ใช้ได้ มีข้อยกเว้น: ประมาณ 2.1 ล้านบันทึกลงท้ายด้วย redirect= ซึ่งเป็น การมอบหมายที่ถูกต้อง — นโยบายจริงอยู่ที่เป้าหมาย และเรานับพวกเขาที่นี่เพียงเพราะบันทึกของพวกเขาเองไม่มีคำตัดสิน การเคลื่อนไหว: หนึ่งบันทึก การลงท้ายจริงหนึ่งอย่าง — ~all หรือ -all

ขั้นตอน 3 — รั้วนุ่ม บันทึกลงท้ายด้วย ~all (softfail) โดยไม่มีอะไรบังคับใช้เบื้องหลัง — 70.4 ล้านโดเมน ประชากรที่ใหญ่ที่สุดในขั้นตอน SPF ที่เผยแพร่ใดๆ Softfail คือรั้วจริงที่มีประตูล็อคไม่แน่น: บอกผู้รับว่า “เมลจากที่อื่นอาจถูกปลอมแปลง” และขอให้พวกเขาส่งมันอยู่ดี การเคลื่อนไหว: ปีนกำแพง — นับรายการผู้ส่งทุกคนที่ถูกต้อง จากนั้นใช้เส้นทางใดก็ได้ขึ้น (ด้านล่าง)

ขั้นตอน 4 — เข้มงวด บันทึกลงท้ายด้วย -all: 42.5 ล้านโดเมนที่เผยแพร่ “ปฏิเสธทุกคนอื่น” อย่างชัดแจ้ง โดยยังไม่มีการบังคับใช้ DMARC เบื้องหลัง มีคำเตือนที่ซื่อสัตย์หนึ่งที่การวัดของเราเองได้กำหนดปริมาณขึ้นแล้ว: บันทึก -all ที่ เกินขีดจำกัด 10 lookups นั้นเป็นโมฆะไม่ว่าจะดูเข้มงวดแค่ไหน — อย่างน้อย 112,215 ของบันทึก -all ของอินเทอร์เน็ตอยู่ในสถานะนั้น การเคลื่อนไหว: วางนโยบาย DMARC ที่บังคับใช้เบื้องหลังบันทึก เพื่อให้ดำเนินการกับความล้มเหลวทุกที่

ขั้นตอน 5 — สอดคล้อง SPF — นุ่มหรือเข้มงวด — อยู่เบื้องหลัง DMARC p=quarantine หรือ p=reject นี่คือขั้นตอนที่การปลอมแปลงโดเมนที่แน่ชัดของคุณหยุดที่ผู้ให้บริการกล่องจดหมายหลักทุกราย: 19.3 ล้านโดเมน ซึ่ง 7.1 ล้านคู่ ~all กับการบังคับใช้ (รูปแบบที่แนะนำโดยแนวทางผู้ส่งของ Google) และ 12.1 ล้านคู่ -all กับมัน การเคลื่อนไหว: เพิ่ม DKIM และคอยดู — บันทึกเน่าเปื่อย

ขั้นตอน 6 — เสริมความแข็งแกร่ง SPF บวก DKIM บวก DMARC ที่บังคับใช้ — ชุดที่ได้รับการป้องกันอย่างสมบูรณ์ 10,092,481 โดเมน 3.87% ของอินเทอร์เน็ต — บวกกับวินัยในการติดตามการเลื่อนไหล: สาย include: เปลี่ยน ผู้ให้บริการย้าย IP มีคนเชื่อมต่อเครื่องมือใหม่ที่ส่งในนามคุณ การเคลื่อนไหว: อยู่ที่นี่ มันคือการปฏิบัติ ไม่ใช่ตราสัญลักษณ์

เลนไม่มีเมล โดเมนที่ไม่ส่งเมลสามารถกระโดดขึ้นสู่ด้านบนในการแก้ไขครั้งเดียว: SPF -all บวก DMARC p=reject ไม่มีอะไรที่ถูกต้องที่ต้องป้องกันหมายถึงไม่มีกำแพงต้องปีน — และมันปิดหนึ่งในเวกเตอร์การแอบอ้างที่พบบ่อยที่สุด

ทำไมขั้นตอน 3 จึงเป็นที่ที่อินเทอร์เน็ตหยุดนิ่ง?

เพราะการเคลื่อนไหวอื่นๆ เกือบทั้งหมดเป็นการแก้ไข DNS เล็กๆ และการเคลื่อนไหวออกจากขั้นตอน 3 คือ งาน: การระบุทุกระบบที่ส่งในนามคุณอย่างถูกต้อง — ผู้ให้บริการกล่องจดหมาย แพลตฟอร์มจดหมายข่าว CRM เครื่องมือออกใบแจ้งหนี้ สิ่งที่ฝ่ายการตลาดสมัครเมื่อฤดูใบไม้ผลิที่แล้ว — และใส่พวกเขาลงในบันทึกเดียวโดยไม่ เป่างบประมาณ 10 lookups นั่นคือกำแพง ~all คือขั้นสุดท้ายที่เข้าถึงได้โดยไม่ต้องทำมัน ซึ่งเป็นเหตุผลที่ 70.4 ล้านโดเมนพักอยู่ที่นั่น

จากด้านบนของกำแพงมี สองเส้นทางขึ้น และทั้งสองมาถึงขั้นตอน 5:

สำมะโนแสดงให้เห็นว่าเส้นทางใดแทบจะไม่เสร็จสิ้น: ของบันทึก softfail 77.5 ล้านรายการ มีเพียง 7.1 ล้านรายการ — ประมาณ 1 ใน 11 — ที่มีการบังคับใช้เบื้องหลัง

คะแนนความแข็งแกร่ง SPF คำนวณอย่างไร?

เรียบง่าย และเราคงน้ำหนักไว้คงที่เพื่อให้คะแนนเปรียบได้เดือนต่อเดือน: คะแนนเต็มสำหรับโดเมนที่มีบางอย่างบังคับใช้ (ขั้นตอน 5–6) ครึ่งคะแนนสำหรับรั้วจริงที่ไม่มีใครดำเนินการ (ขั้นตอน 3–4) ไม่มีสำหรับบันทึกที่ไม่มี อนุญาตมากเกินไป หรือเสียหาย ในระดับนั้นอินเทอร์เน็ตได้คะแนน 29/100 ณ วันที่ 2026-06-29 เกือบครึ่งประชากรมีส่วนสนับสนุนเป็นศูนย์เพราะไม่ได้เผยแพร่อะไรเลย

ฉันจะค้นหาขั้นตอนของโดเมนของฉันได้อย่างไร?

ขั้นตอน 1–4 อ่านได้โดยตรงจากบันทึก DNS ของคุณ ขั้นตอน 5 เพิ่มนโยบาย DMARC ขั้นตอน 6 เพิ่ม DKIM สิ่งหนึ่งที่มองดูไม่บอกคุณคือบันทึกที่เข้มงวดนั้น เกินขีดจำกัด lookup อย่างลับๆ หรือไม่ — ต้องแก้สายซึ่งตัวตรวจสอบของเราทำให้คุณ

คำถามที่พบบ่อย

SPFAMM คืออะไร? SPF Adoption Maturity Model — โมเดลหกขั้นตอนในหน้านี้: ไม่ได้รับการป้องกัน อนุญาตมากเกินไป/เสียหาย รั้วนุ่ม เข้มงวด สอดคล้อง เสริมความแข็งแกร่ง ขั้นตอนของทุกโดเมนคำนวณได้จาก DNS: ขั้นตอน 1–5 แบ่งสำมะโน 261 ล้านโดเมนอย่างแม่นยำ และขั้นตอน 6 คือชุดที่เสริมความแข็งแกร่งภายในขั้นตอน 5

โดเมนส่วนใหญ่อยู่ที่ขั้นตอนใด? ขั้นตอน 1 — 46.4% ของโดเมนไม่เผยแพร่ SPF เลย ในบรรดาโดเมนที่เผยแพร่ ขั้นตอน 3 (softfail โดยไม่มีการบังคับใช้) คือที่พักที่พบบ่อยที่สุด ด้วย 70.4 ล้านโดเมน ค่าเฉลี่ยถ่วงน้ำหนักประชากรคือขั้นตอน 2.4

~all softfail เพียงพอหรือไม่? เฉพาะเมื่อมีนโยบาย DMARC ที่บังคับใช้เบื้องหลัง — การจับคู่นั้นคือขั้นตอน 5 และรูปแบบที่แนวทางผู้ส่งของ Google แนะนำ โดยลำพังมันคือขั้นตอน 3: รั้วจริง ประตูล็อคไม่แน่น การเปรียบเทียบเต็มอยู่ใน ~all เทียบกับ -all

ฉันต้องถึง -all เพื่อความปลอดภัยหรือไม่? ไม่ ขั้นตอน 4 คือหนึ่งในสองเส้นทาง ไม่ใช่ข้อกำหนด — การเก็บ ~all และบังคับใช้ด้วย DMARC p=reject ให้การป้องกันเดียวกันที่ผู้รับที่ประเมิน DMARC สิ่งที่จำเป็นคือกำแพง: รู้จักผู้ส่งทุกคนก่อนที่อะไรจะบังคับใช้

โดเมนกี่แห่งที่ผ่านหกขั้นตอนทั้งหมด? 10,092,481 — 3.87% ของอินเทอร์เน็ต — มี SPF DKIM และนโยบาย DMARC ที่บังคับใช้ร่วมกัน การเปลี่ยนผ่านทุกขั้นตอนฟรี รายละเอียดอยู่ใน กลุ่มน้อยที่ได้รับการป้องกัน

ตรวจสอบว่าโดเมนของคุณยืนอยู่ที่ไหน

โดเมนของคุณอยู่ที่หนึ่งในหกขั้นตอนเหล่านี้อย่างแน่นอน และการเคลื่อนไหวถัดไปรู้ได้ใน 30 วินาที — ฟรี และทุกการแก้ไขตามบันไดเป็นการเปลี่ยนแปลง DNS ไม่ใช่การซื้อ

ตรวจสอบโดเมนของคุณ → · แก้ไข SPF → · ~all เทียบกับ -all · รายงาน SPF PermError → · 6 ขั้นตอนของความครบถ้วน DMARC → · ข้อมูลรวมเท่านั้น ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป