Defaults.Exposed

Defaults.Exposed › Звіти

Модель зрілості впровадження SPF (SPFAMM): 6 стадій SPF (2026)

Опубліковано 2026-07-03

Показники станом на 2026-06-29 · методологія v7. Довідкова модель, підкріплена регулярним переписом 261 мільйонів оцінених доменів; кожне видання повторно вимірює ту саму сукупність, тож числа можна відстежувати в часі. Усі показники агреговані — ми ніколи не публікуємо запис окремого бізнесу.

На якій стадії перебуває інтернет?

Стадія 2.4 із 6. За вимірами на 261 мільйонах доменів пересічний домен досі не звів робочу огорожу SPF — а інтернет у цілому набирає 29 зі 100 за силою SPF. Публікація SPF — найпоширеніша дія у сфері безпеки електронної пошти (53.21% доменів роблять це), проте більшість цих записів зупиняються на налаштуванні, яке все одно просить отримувачів доставляти підробки.

Проблема не у впровадженні — а в тому, що більшість порад щодо зрілості зупиняються на «ми опублікували SPF», ніби сам запис і є досягненням. Запис SPF може авторизувати весь інтернет, не висловлювати жодної думки, тихо анулювати себе або назавжди залишатися на softfail, бо його посилення означає роботу, яку ніхто не запланував. Корисна модель називає кожен із цих станів. Ця — називає: Модель зрілості впровадження SPF — SPFAMM, шість стадій, по одному кроку на кожній, і назва, на яку можна послатися. Це SPF-супутник шести стадій зрілості DMARC.

Якими є шість стадій зрілості SPF?

Кожен із 261 мільйонів оцінених доменів перебуває рівно на одній зі стадій 1–5, і ці п’ять сукупностей точно складаються в загальний обсяг перепису; стадія 6 — це посилена підмножина, врахована в межах стадії 5. Саме це робить SPFAMM виміром, а не плакатом.

СтадіяНазваДомениЧастка
1Незахищені121,145,60946.4%
2Дозвільні або зламані7,798,3663.0%
3М’яко огороджені70,368,60027.0%
4Суворі42,514,53216.3%
5Узгоджені19,259,1257.4%
6Загартовані10,092,4813.87%

(Стадія 6 — це загартована підмножина узгоджених доменів стадії 5, тож стадії 1–5 розбивають перепис на частини, а стадія 6 міститься всередині стадії 5.)

Стадія 1 — Незахищені. Немає запису v=spf1. Жоден отримувач нічого не перевіряє; підробити домен на ділянці SPF легко. Крок: опублікуйте запис v=spf1, що перелічує ваших справжніх відправників і завершується кваліфікатором fail.

Стадія 2 — Дозвільні або зламані. Запис існує, але нічого не захищає. Ця стадія збирає беззубі закінчення — нейтральне ?all (3.0% публікаторів) і килимок-запрошення +all — разом зі зламаними записами: кілька записів v=spf1, які стандарт анулює повністю, і фрагментарні записи без придатного закінчення. Один виняток: близько 2.1 мільйонів записів завершуються на redirect=, що є дійсним делегуванням — їхня справжня політика живе у цілі, і ми зараховуємо їх сюди лише тому, що власний запис не несе жодного вироку. Крок: один запис, одне справжнє закінчення — ~all або -all.

Стадія 3 — М’яко огороджені. Запис завершується на ~all (softfail), і за ним нічого не забезпечує дотримання — 70.4 мільйонів доменів, найбільша сукупність серед усіх стадій із опублікованим SPF. Softfail — це справжня огорожа з незамкненими ворітьми: вона каже отримувачам «пошта з інших місць, імовірно, підробна» і просить доставити її все одно. Крок: здолайте стіну — врахуйте кожного відправника, а потім оберіть будь-який із маршрутів угору (нижче).

Стадія 4 — Суворі. Запис завершується на -all: 42.5 мільйонів доменів публікують відверте «відхиляйте всіх інших», але за ним поки що немає забезпечення дотримання DMARC. Одне чесне застереження, яке тепер кількісно оцінює наш власний вимір: запис -all, що перевищує ліміт у 10 звернень, недійсний, хоч би яким суворим він виглядав — щонайменше 112,215 записів -all в інтернеті перебувають у такому стані. Крок: поставте за записом політику DMARC, що забезпечує дотримання, аби на збої реагували всюди.

Стадія 5 — Узгоджені. SPF — м’який чи суворий — стоїть за DMARC p=quarantine або p=reject. Це стадія, на якій спуфінг вашого точного домену справді зупиняється в кожного великого поштового провайдера: 19.3 мільйонів доменів, із яких 7.1 мільйонів поєднують ~all із забезпеченням дотримання (шаблон, який рекомендують настанови Google для відправників), а 12.1 мільйонів поєднують із ним -all. Крок: додайте DKIM і продовжуйте стежити — записи псуються.

Стадія 6 — Загартовані. SPF плюс DKIM плюс DMARC, що забезпечує дотримання — повністю захищена група, 10,092,481 доменів, 3.87% інтернету — плюс дисципліна моніторингу дрейфу: ланцюжки include: змінюються, провайдери переносять IP-адреси, хтось під’єднує новий інструмент, що надсилає пошту від вашого імені. Крок: залишайтеся тут. Це практика, а не значок.

Смуга без пошти. Домен, який не надсилає пошти, може одним редагуванням стрибнути на самий верх: SPF -all плюс DMARC p=reject. Якщо немає нічого легітимного для захисту, немає й стіни, яку треба долати — і це закриває один із найпоширеніших векторів видавання себе за інших.

Чому саме на стадії 3 інтернет застрягає?

Тому що майже кожен інший крок — це невелике редагування DNS, а вихід зі стадії 3 — це робота: перелічити кожну систему, що легітимно надсилає пошту від вашого імені — поштовий провайдер, платформу розсилок, CRM, інструмент виставлення рахунків, ту штуку, на яку маркетинг підписався минулої весни — і вмістити їх в один запис, не перевитративши бюджет у 10 звернень. Ось ця стіна. ~all — остання щабель, доступна без цього, і саме тому 70.4 мільйонів доменів спочивають на ньому.

З вершини стіни є два маршрути вгору, і обидва приводять до стадії 5:

Перепис показує, як рідко якийсь із цих маршрутів доводять до кінця: із 77.5 мільйонів записів softfail лише 7.1 мільйонів — приблизно 1 із 11 — мають за собою забезпечення дотримання.

Як обчислюється Оцінка сили SPF?

Просто, і ми тримаємо ваги незмінними, аби оцінку можна було порівнювати від місяця до місяця: повний залік для доменів, де щось забезпечує дотримання (стадії 5–6), половина заліку за справжню огорожу, за якою ніхто не діє (стадії 3–4), нічого за відсутні, дозвільні чи зламані записи. За цією шкалою інтернет набирає 29/100 станом на 2026-06-29. Майже половина сукупності дає нуль, бо взагалі нічого не публікує.

Як мені визначити стадію мого домену?

Стадії 1–4 читаються прямо з вашого запису DNS; стадія 5 додає вашу політику DMARC; стадія 6 додає DKIM. Єдине, чого погляд не підкаже, — чи суворий запис потайки перевищує ліміт звернень — це вимагає розв’язання ланцюжка, що наш перевіряч робить за вас.

Часті запитання

Що таке SPFAMM? Модель зрілості впровадження SPF — шестистадійна модель на цій сторінці: Незахищені, Дозвільні/зламані, М’яко огороджені, Суворі, Узгоджені, Загартовані. Стадію кожного домену можна обчислити з його DNS: стадії 1–5 точно розбивають перепис із 261 мільйонів доменів, а стадія 6 — це загартована підмножина в межах стадії 5.

На якій стадії перебуває більшість доменів? Стадія 1 — 46.4% доменів взагалі не публікують SPF. Серед доменів, які публікують, стадія 3 (softfail без забезпечення дотримання) — найпоширеніше місце спочинку, з 70.4 мільйонами доменів. Середнє значення, зважене за сукупністю, — стадія 2.4.

Чи достатньо softfail ~all? Лише з політикою DMARC, що забезпечує дотримання, за ним — це поєднання і є стадією 5 та шаблоном, який рекомендують настанови Google для відправників. Сам по собі це стадія 3: справжня огорожа, незамкнені ворота. Повне порівняння — у ~all проти -all.

Чи мушу я дійти до -all, щоб бути в безпеці? Ні. Стадія 4 — один із двох маршрутів, а не вимога — залишивши ~all і забезпечивши дотримання через DMARC p=reject, ви прийдете до того самого захисту в отримувачів, що обчислюють DMARC. Що справді потрібно — це стіна: знати кожного відправника, перш ніж щось почне забезпечувати дотримання.

Скільки доменів проходять усі шість стадій? 10,092,481 — 3.87% інтернету — тримають SPF, DKIM і політику DMARC, що забезпечує дотримання, разом. Кожен перехід між стадіями безкоштовний; подробиці — в обраних захищених.

Перевірте, де стоїть ваш домен

Ваш домен перебуває рівно на одній із цих шести стадій, і наступний крок можна дізнатися за 30 секунд — безкоштовно, і кожне виправлення на цій драбині — це зміна DNS, а не покупка.

Перевірте свій домен → · Виправити SPF → · ~all проти -all · Звіт про SPF PermError → · 6 стадій зрілості DMARC → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.