Defaults.Exposed › Raporlar
SPF Yeterli Değil: Hiçbir Zaman Uygulamaya Geçmeyen 119 Milyon Alan Adı
Yayımlanma 2026-07-03 · güncellendi 2026-07-03
2026-06-29 itibarıyla rakamlar · metodoloji v7. 261 milyon notlandırılmış alan adı genelinde alan adı başına kontrolleri birleştiren sayım verisi. “Uygulamaya geçen” =
quarantineveyarejectDMARC politikası; “tam korumalı” = hem SPF hem DKIM mevcut, ayrıca uygulamaya geçen DMARC — eksiksiz e-posta kimlik doğrulama üçlüsü. Tüm rakamlar toplamdır — bireysel bir işletmenin notunu asla yayımlamıyoruz.
Sayım: kaç alan adı yalnızca SPF’ye güveniyor
SPF tek başına e-posta sahtekârlığını durdurmak için yeterli değil — ve sayım artık yine de ona güvenen alan adlarının sayısını verebiliyor: 119,212,005 (119 milyon) SPF yayımlıyor ama hiçbir zaman DMARC uygulamaya geçmiyor. Bu, SPF kurma zahmetine giren her alan adının %85.8‘idir. Bunun eşlik eden makalesi DMARC olmadan SPF, mekanizmayı açıklar — SPF’nin bir kişinin gerçekte gördüğü “Kimden” adresini neden savunamadığını; bu makale ise popülasyonu ölçer — bu boşluğun kaç alan adını açıkta bıraktığını ve maruziyetin şeklinin ne olduğunu.
Kısa versiyonu: SPF kurmak internetteki en yaygın e-posta güvenliği eylemidir ve bunu yapan alan adlarının ezici çoğunluğu için aynı zamanda son eylemdir.
Üç popülasyon
139 milyon alan adı — bunlardan 138,911,937 tanesi — bir SPF kaydı yayımlıyor. Arkasında ne durduğuna göre ayrılmış hâli:
| Popülasyon | Alan adları | SPF yayımlayanlar içindeki payı |
|---|---|---|
| SPF yayımlanmış, hiç DMARC kaydı yok | 84,638,430 | %60.9 |
| SPF yayımlanmış, DMARC mevcut ama hiçbir zaman uygulamaya geçmemiş (üst kümedir, yukarıdaki satırı da içerir) | 119,212,005 | %85.8 |
| SPF + DKIM, uygulamaya geçen DMARC ile desteklenmiş | 10,092,481 | — |
Satırlar SPF toplamına eşit değil: geri kalanı, DMARC’ı uygulamaya geçen ancak DKIM’i tam yerinde olmayan SPF yayımcılarıdır — uygulamaya geçmiş, ama alttaki satırın saydığı eksiksiz üçlünün gerisinde.
Ortadaki satır manşettir: kabaca 119 milyon alan adı, meşru göndericilerini beyan etme işini yaptı ve ardından dünyanın gelen kutularına buna göre hareket etmelerini hiçbir zaman söylemedi. Ve alttaki satır asıl vurucu noktadır: 261 milyon notlandırılmış alan adının tamamı içinde yalnızca %3.87‘i — yaklaşık 10 milyonu — e-posta açısından tam korumalı. Tam koruma teknik olarak yüksek bir eşik değildir; sadece 119 milyon alan adının başlayıp bıraktığı bir yolculuğun bitişidir.
Sayım neden bu kadar dengesiz
SPF her kurulum kılavuzunun başladığı, çoğu posta sağlayıcısının katılım sürecinin bittiği ve çoğu uyumluluk kontrol listesinin gerçekte test ettiği yerdir. Görünür bir eser üretir — bir TXT kaydı — ve onu kontrol eden hangi araçsa orada yeşil bir onay işareti. Uygulamaya geçmiş DMARC ise tam tersi bir deneyim üretir: bir ilerleme talep eder (yayımla, gözlemle, göndericileri belirle, sonra uygulamaya geç) ve ödülü görünmezdir — sahte postanın sessizce inmemeye başlaması.
Böylece internet onay işareti için optimize edildi. Sayım bunun geniş ölçekte nasıl göründüğünü gösteriyor: 85 milyon alan adı (84,638,430) SPF’ye sahip ama hiçbir türde DMARC kaydı yok — bir p=none yer tutucusu bile yok. Bu sahipler tembel değil; kendilerine verilen talimatları izlediler ve talimatlar erken durdu.
Burada “kapsanmış” gerçekte ne demek
Korku değil, sonuç: SPF’si olan ama uygulamaya geçen DMARC’ı olmayan bir alan adı, insanların baktığı tek yerde — görünür “Kimden” satırında — hâlâ taklit edilebilir. SPF, alıcı sunucuların hangi makinelerin zarf alan adı adına gönderim yapabileceğini doğrulamasını sağlar, ancak DMARC olmadan görünür göndericinin SPF’nin kontrol ettiği herhangi bir şeyle eşleşmesi zorunlu değildir ve başarısız olan postayı reddetme talimatı yoktur. Sahte fatura, sahte parola sıfırlama, tedarikçi ödeme yönlendirmesi — hepsi SPF kaydına rağmen sizin adınıza müşterilerinize ve tedarikçilerinize teslim edilebilir kalır.
DMARC olgunluğunun altı aşamasında, bu 119 milyon alan adı 1–3. Aşamalarda takılı kalmıştır — zemin kurulmuş ya da kısmen kurulmuş, ve kapı hiçbir zaman takılmamış. Oradan korumaya olan mesafe iyi anlaşılmıştır ve çoğunlukla prosedüreldir; bu sayımın eklediği şey, neredeyse hiç kimsenin o mesafeyi yürümediği bilgisidir.
Alan adınız 119 milyondan biriyse
- SPF’yi koruyun — bu bir ön koşuldur, bir hata değil. (SPF’yi düzeltin →.)
- DKIM ekleyin ki postanız yalnızca kaynaklandırılmakla kalmayıp imzalansın da. (DKIM’i düzeltin →.)
- Raporlama ile DMARC yayımlayın, sonra uygulamaya geçin — önce
rua=ilep=none, her meşru göndericiyi belirleyin, sonraquarantinevereject’e geçin. Bu, “yapılandırılmış”ı “korumalı”ya dönüştüren adımdır. (DMARC’ı düzeltin →.)
Sıkça sorulan sorular
SPF bir alan adını sahtekârlığa karşı korumak için yeterli mi? Hayır. SPF, gönderen sunucuları zarf alan adına karşı doğrular; ne görünür “Kimden” adresini kontrol eder ne de alıcılara başarısızlıkları reddetmelerini söyler. Bunların ikisini de yalnızca uygulamaya geçen bir DMARC politikası yapar — ve 119,212,005 alan adı böyle bir politika olmadan SPF yayımlıyor.
Kaç alan adının SPF’si var ama hiç DMARC’ı yok? 84,638,430 — tüm SPF yayımcılarının %60.9‘inin hiçbir türde DMARC kaydı yok, izleme modu bile yok.
Kaç alan adı tam korumalı?
10,092,481 — 261 milyon notlandırılmış alan adının %3.87‘i SPF ve DKIM’i quarantine veya reject DMARC politikasıyla birleştiriyor.
SPF’ye sahip olmak en azından yardımcı olur mu? Evet — DMARC’ın karşısında değerlendirdiği temeldir ve meşru postanızın teslim edilebilirliğini artırır. Sadece tek başına hiçbir şeyi korumaz; üç adımdan birincisidir ve sayım internetin çoğunun onu tüm merdivenmiş gibi ele aldığını gösteriyor.
Alan adınızın hangi popülasyonda olduğunu kontrol edin
“SPF kurduk” 139 milyon alan adını tanımlar; “korumalıyız” 10 milyonu tanımlar. Hangisi olduğunuzu öğrenmek bir dakika sürer, özel ve ücretsiz — 34 kontrolden hangilerini geçtiğinizi ve geçemediklerinizi nasıl düzeltebileceğinizi görün.
Alan adınızı kontrol edin → · DMARC olgunluğunun 6 aşaması → · DMARC ana sayfası → · Yalnızca toplu veri. Veriler AB’de depolanır ve işlenir.