Defaults.Exposed › Звіти
SPF недостатньо: 119 мільйонів доменів, які так і не запроваджують примусове застосування
Опубліковано 2026-07-03 · оновлено 2026-07-03
Дані станом на 2026-06-29 · методологія v7. Дані перепису, що поєднують перевірки для кожного домену по 261 мільйонах оцінених доменів. «Примусове застосування» = політика DMARC
quarantineабоreject; «повний захист» = наявні і SPF, і DKIM, плюс DMARC із примусовим застосуванням — повна тріада автентифікації електронної пошти. Усі цифри є агрегованими — ми ніколи не публікуємо оцінку окремого бізнесу.
Підрахунок: скільки доменів покладаються лише на SPF
Лише SPF недостатньо, щоб зупинити видавання себе за когось у пошті — і перепис тепер може підрахувати, скільки доменів усе одно на нього покладаються: 119,212,005 (119 мільйонів) публікують SPF, але ніколи не застосовують DMARC примусово. Це 85.8% усіх доменів, що взагалі спромоглися налаштувати SPF. Супровідна стаття, SPF без DMARC, пояснює механізм — чому SPF не може захистити адресу «From», яку насправді бачить людина; ця стаття вимірює популяцію — скільки доменів залишає незахищеними ця прогалина і якою є форма цієї уразливості.
Коротко: налаштування SPF — це найпоширеніша дія з безпеки електронної пошти в інтернеті, і для переважної більшості доменів, які це зробили, вона ж і остання.
Три популяції
139 мільйонів доменів — 138,911,937 з них — публікують запис SPF. Розподіл за тим, що за ним стоїть:
| Популяція | Домени | Частка серед публікувачів SPF |
|---|---|---|
| SPF опубліковано, жодного запису DMARC узагалі | 84,638,430 | 60.9% |
| SPF опубліковано, DMARC наявний, але ніколи не застосовується примусово (надмножина, включає рядок вище) | 119,212,005 | 85.8% |
| SPF + DKIM, підкріплені DMARC із примусовим застосуванням | 10,092,481 | — |
Рядки не дають у сумі загальну кількість SPF: решта — це публікувачі SPF, чий DMARC застосовується примусово, але чий DKIM налаштований не повністю — примусове застосування є, проте до повної тріади, яку рахує нижній рядок, бракує.
Середній рядок — це головна новина: приблизно 119 мільйонів доменів виконали роботу з декларування своїх легітимних відправників, а потім так і не сказали поштовим скринькам світу діяти на її основі. А нижній рядок — це кінцівка: по всіх 261 мільйонах оцінених доменів лише 3.87% — близько 10 мільйонів — мають повний захист електронної пошти. Повний захист технічно не є високою планкою; це просто завершення шляху, який 119 мільйонів доменів почали й покинули.
Чому підрахунок такий несиметричний
SPF — це те, з чого починається кожен посібник із налаштування, чим закінчується адаптація в більшості поштових провайдерів і що насправді перевіряє більшість чек-листів відповідності. Він створює видимий артефакт — TXT-запис — і зелену галочку в будь-якому інструменті, що його перевірив. DMARC із примусовим застосуванням дає протилежний досвід: він вимагає поступу (опублікувати, спостерігати, ідентифікувати відправників, тоді застосувати примусово), а його винагорода невидима — підроблена пошта тихо перестає доходити.
Тож інтернет оптимізувався під галочку. Перепис показує, як це виглядає в масштабі: 85 мільйонів доменів (84,638,430) мають SPF і жодного запису DMARC — навіть заглушки p=none. Ці власники не ліниві; вони виконали інструкції, які їм дали, а інструкції закінчилися зарано.
Що насправді означає «покрито» тут
Наслідок, а не страх: домен із SPF і без DMARC із примусовим застосуванням усе одно можна підробити в тому єдиному місці, куди дивляться люди — у видимому рядку «From». SPF дозволяє серверам-отримувачам перевірити, які машини можуть надсилати пошту від імені домену конверта, але без DMARC немає вимоги, щоб видимий відправник збігався з чимось, що перевірив SPF, і немає інструкції відхиляти пошту, яка не пройшла перевірку. Підроблений рахунок, фальшиве скидання пароля, перенаправлення платежу постачальнику — усе це залишається доставним вашим клієнтам і постачальникам від вашого імені, попри наявність запису SPF.
У шести стадіях зрілості DMARC ці 119 мільйонів доменів застрягли на стадіях 1–3 — підлогу збудовано, або частково збудовано, а двері так і не встановили. Відстань звідти до захищеного стану добре зрозуміла й здебільшого процедурна; що додає цей перепис — це знання, що майже ніхто цю відстань не проходить.
Якщо ваш домен — один із 119 мільйонів
- Збережіть SPF — це передумова, а не помилка. (Виправити SPF →.)
- Додайте DKIM, щоб ваша пошта була не лише з відомого джерела, а й підписана. (Виправити DKIM →.)
- Опублікуйте DMARC зі звітністю, а потім застосуйте примусово — спершу
p=noneізrua=, ідентифікуйте кожного легітимного відправника, потім переходьте доquarantineіreject. Це той крок, що перетворює «налаштовано» на «захищено». (Виправити DMARC →.)
Часті запитання
Чи достатньо SPF, щоб захистити домен від спуфінгу? Ні. SPF перевіряє сервери-відправники щодо домену конверта; він ані перевіряє видиму адресу «From», ані каже отримувачам відхиляти невдалі перевірки. Лише політика DMARC із примусовим застосуванням робить і те, і те — а 119,212,005 доменів публікують SPF без неї.
Скільки доменів мають SPF, але зовсім не мають DMARC? 84,638,430 — 60.9% усіх публікувачів SPF не мають жодного запису DMARC, навіть у режимі моніторингу.
Скільки доменів мають повний захист?
10,092,481 — 3.87% із 261 мільйонів оцінених доменів поєднують SPF і DKIM із політикою DMARC quarantine або reject.
Чи хоча б допомагає наявність SPF? Так — це фундамент, щодо якого DMARC проводить оцінку, і він покращує доставність вашої легітимної пошти. Просто сам собою він нічого не захищає; це перший крок із трьох, а перепис показує, що більшість інтернету сприйняла його як усі сходи одразу.
Перевірте, до якої популяції належить ваш домен
«Ми налаштували SPF» описує 139 мільйонів доменів; «ми захищені» описує 10 мільйонів. З’ясувати, до якої з них належите ви, займає хвилину, приватно й безкоштовно — подивіться, які з 34 перевірок ви проходите і як виправити ті, які ні.
Перевірте свій домен → · Шість стадій зрілості DMARC → · Стовп DMARC → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.