Defaults.Exposed

Defaults.Exposed › Звіти

SPF недостатньо: 119 мільйонів доменів, які так і не запроваджують примусове застосування

Опубліковано 2026-07-03 · оновлено 2026-07-03

Дані станом на 2026-06-29 · методологія v7. Дані перепису, що поєднують перевірки для кожного домену по 261 мільйонах оцінених доменів. «Примусове застосування» = політика DMARC quarantine або reject; «повний захист» = наявні і SPF, і DKIM, плюс DMARC із примусовим застосуванням — повна тріада автентифікації електронної пошти. Усі цифри є агрегованими — ми ніколи не публікуємо оцінку окремого бізнесу.

Підрахунок: скільки доменів покладаються лише на SPF

Лише SPF недостатньо, щоб зупинити видавання себе за когось у пошті — і перепис тепер може підрахувати, скільки доменів усе одно на нього покладаються: 119,212,005 (119 мільйонів) публікують SPF, але ніколи не застосовують DMARC примусово. Це 85.8% усіх доменів, що взагалі спромоглися налаштувати SPF. Супровідна стаття, SPF без DMARC, пояснює механізм — чому SPF не може захистити адресу «From», яку насправді бачить людина; ця стаття вимірює популяцію — скільки доменів залишає незахищеними ця прогалина і якою є форма цієї уразливості.

Коротко: налаштування SPF — це найпоширеніша дія з безпеки електронної пошти в інтернеті, і для переважної більшості доменів, які це зробили, вона ж і остання.

Три популяції

139 мільйонів доменів — 138,911,937 з них — публікують запис SPF. Розподіл за тим, що за ним стоїть:

ПопуляціяДомениЧастка серед публікувачів SPF
SPF опубліковано, жодного запису DMARC узагалі84,638,43060.9%
SPF опубліковано, DMARC наявний, але ніколи не застосовується примусово (надмножина, включає рядок вище)119,212,00585.8%
SPF + DKIM, підкріплені DMARC із примусовим застосуванням10,092,481

Рядки не дають у сумі загальну кількість SPF: решта — це публікувачі SPF, чий DMARC застосовується примусово, але чий DKIM налаштований не повністю — примусове застосування є, проте до повної тріади, яку рахує нижній рядок, бракує.

Середній рядок — це головна новина: приблизно 119 мільйонів доменів виконали роботу з декларування своїх легітимних відправників, а потім так і не сказали поштовим скринькам світу діяти на її основі. А нижній рядок — це кінцівка: по всіх 261 мільйонах оцінених доменів лише 3.87% — близько 10 мільйонів — мають повний захист електронної пошти. Повний захист технічно не є високою планкою; це просто завершення шляху, який 119 мільйонів доменів почали й покинули.

Чому підрахунок такий несиметричний

SPF — це те, з чого починається кожен посібник із налаштування, чим закінчується адаптація в більшості поштових провайдерів і що насправді перевіряє більшість чек-листів відповідності. Він створює видимий артефакт — TXT-запис — і зелену галочку в будь-якому інструменті, що його перевірив. DMARC із примусовим застосуванням дає протилежний досвід: він вимагає поступу (опублікувати, спостерігати, ідентифікувати відправників, тоді застосувати примусово), а його винагорода невидима — підроблена пошта тихо перестає доходити.

Тож інтернет оптимізувався під галочку. Перепис показує, як це виглядає в масштабі: 85 мільйонів доменів (84,638,430) мають SPF і жодного запису DMARC — навіть заглушки p=none. Ці власники не ліниві; вони виконали інструкції, які їм дали, а інструкції закінчилися зарано.

Що насправді означає «покрито» тут

Наслідок, а не страх: домен із SPF і без DMARC із примусовим застосуванням усе одно можна підробити в тому єдиному місці, куди дивляться люди — у видимому рядку «From». SPF дозволяє серверам-отримувачам перевірити, які машини можуть надсилати пошту від імені домену конверта, але без DMARC немає вимоги, щоб видимий відправник збігався з чимось, що перевірив SPF, і немає інструкції відхиляти пошту, яка не пройшла перевірку. Підроблений рахунок, фальшиве скидання пароля, перенаправлення платежу постачальнику — усе це залишається доставним вашим клієнтам і постачальникам від вашого імені, попри наявність запису SPF.

У шести стадіях зрілості DMARC ці 119 мільйонів доменів застрягли на стадіях 1–3 — підлогу збудовано, або частково збудовано, а двері так і не встановили. Відстань звідти до захищеного стану добре зрозуміла й здебільшого процедурна; що додає цей перепис — це знання, що майже ніхто цю відстань не проходить.

Якщо ваш домен — один із 119 мільйонів

  1. Збережіть SPF — це передумова, а не помилка. (Виправити SPF →.)
  2. Додайте DKIM, щоб ваша пошта була не лише з відомого джерела, а й підписана. (Виправити DKIM →.)
  3. Опублікуйте DMARC зі звітністю, а потім застосуйте примусово — спершу p=none із rua=, ідентифікуйте кожного легітимного відправника, потім переходьте до quarantine і reject. Це той крок, що перетворює «налаштовано» на «захищено». (Виправити DMARC →.)

Часті запитання

Чи достатньо SPF, щоб захистити домен від спуфінгу? Ні. SPF перевіряє сервери-відправники щодо домену конверта; він ані перевіряє видиму адресу «From», ані каже отримувачам відхиляти невдалі перевірки. Лише політика DMARC із примусовим застосуванням робить і те, і те — а 119,212,005 доменів публікують SPF без неї.

Скільки доменів мають SPF, але зовсім не мають DMARC? 84,638,430 — 60.9% усіх публікувачів SPF не мають жодного запису DMARC, навіть у режимі моніторингу.

Скільки доменів мають повний захист? 10,092,481 — 3.87% із 261 мільйонів оцінених доменів поєднують SPF і DKIM із політикою DMARC quarantine або reject.

Чи хоча б допомагає наявність SPF? Так — це фундамент, щодо якого DMARC проводить оцінку, і він покращує доставність вашої легітимної пошти. Просто сам собою він нічого не захищає; це перший крок із трьох, а перепис показує, що більшість інтернету сприйняла його як усі сходи одразу.

Перевірте, до якої популяції належить ваш домен

«Ми налаштували SPF» описує 139 мільйонів доменів; «ми захищені» описує 10 мільйонів. З’ясувати, до якої з них належите ви, займає хвилину, приватно й безкоштовно — подивіться, які з 34 перевірок ви проходите і як виправити ті, які ні.

Перевірте свій домен → · Шість стадій зрілості DMARC → · Стовп DMARC → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.