Defaults.Exposed

Defaults.Exposed › Báo cáo

SPF Là Chưa Đủ: 119 Triệu Tên Miền Không Bao Giờ Thực Thi

Đã xuất bản 2026-07-03 · cập nhật 2026-07-03

Số liệu tính đến 2026-06-29 · phương pháp v7. Dữ liệu điều tra tổng thể kết hợp các kiểm tra trên từng tên miền qua 261 triệu tên miền đã được chấm điểm. “Thực thi” = một chính sách DMARC là quarantine hoặc reject; “bảo vệ đầy đủ” = có cả SPF lẫn DKIM, cộng với DMARC thực thi — bộ ba xác thực email hoàn chỉnh. Tất cả số liệu đều là tổng hợp — chúng tôi không bao giờ công bố điểm số của một doanh nghiệp cụ thể.

Con số: có bao nhiêu tên miền chỉ dựa vào SPF

Chỉ riêng SPF là không đủ để ngăn chặn việc mạo danh email — và cuộc điều tra tổng thể giờ đây có thể đếm được có bao nhiêu tên miền vẫn đang dựa vào nó: 119,212,005 (119 triệu) công bố SPF nhưng không bao giờ thực thi DMARC. Đó là 85.8% trong số tất cả các tên miền đã bỏ công thiết lập SPF. Bài viết đồng hành của nó, SPF không có DMARC, giải thích cơ chế — tại sao SPF không thể bảo vệ địa chỉ “From” mà một người thực sự nhìn thấy; bài viết này đo lường quần thể — có bao nhiêu tên miền bị lỗ hổng đó để phơi bày, và hình thái của mức phơi bày ấy là gì.

Nói ngắn gọn: thiết lập SPF là hành động bảo mật email phổ biến nhất trên internet, và đối với đại đa số các tên miền đã làm điều đó, nó cũng là hành động cuối cùng.

Ba quần thể

139 triệu tên miền — 138,911,937 trong số đó — công bố một bản ghi SPF. Chia theo những gì đứng sau nó:

Quần thểTên miềnTỷ lệ trong số đơn vị công bố SPF
Đã công bố SPF, hoàn toàn không có bản ghi DMARC84,638,43060.9%
Đã công bố SPF, có DMARC nhưng không bao giờ được thực thi (tập cha, bao gồm cả dòng phía trên)119,212,00585.8%
SPF + DKIM, được hậu thuẫn bởi DMARC thực thi10,092,481

Các dòng không cộng lại bằng tổng số SPF: phần còn lại là những đơn vị công bố SPF có DMARC thực thi nhưng DKIM chưa được thiết lập đầy đủ — đã thực thi, nhưng vẫn thiếu bộ ba hoàn chỉnh mà dòng dưới cùng đếm.

Dòng ở giữa là điểm nhấn: khoảng 119 triệu tên miền đã làm công việc khai báo những đơn vị gửi hợp pháp của mình rồi sau đó không bao giờ bảo các hộp thư trên khắp thế giới phải hành động theo điều đó. Và dòng dưới cùng là mấu chốt: trên tất cả 261 triệu tên miền đã được chấm điểm, chỉ 3.87% — khoảng 10 triệu — được bảo vệ email đầy đủ. Bảo vệ đầy đủ về mặt kỹ thuật không phải là một tiêu chuẩn cao; nó đơn giản là chặng cuối của một hành trình mà 119 triệu tên miền đã bắt đầu rồi dừng lại.

Tại sao con số lại lệch đến vậy

SPF là nơi mọi hướng dẫn thiết lập bắt đầu, là nơi quy trình khởi tạo của hầu hết các nhà cung cấp email kết thúc, và là điều mà hầu hết các danh mục kiểm tra tuân thủ thực sự đánh giá. Nó tạo ra một sản phẩm hữu hình — một bản ghi TXT — và một dấu tích xanh trong bất kỳ công cụ nào đã kiểm tra nó. DMARC được thực thi lại tạo ra trải nghiệm ngược lại: nó đòi hỏi một sự tiến triển (công bố, quan sát, xác định các đơn vị gửi, rồi thực thi), và phần thưởng của nó là vô hình — thư giả mạo lặng lẽ ngừng lọt vào.

Vậy nên internet đã tối ưu hóa cho dấu tích. Cuộc điều tra tổng thể cho thấy điều đó trông ra sao ở quy mô lớn: 85 triệu tên miền (84,638,430) có SPF và không có bất kỳ bản ghi DMARC nào — thậm chí không có một chỗ giữ chỗ p=none. Những chủ sở hữu này không lười biếng; họ đã làm theo hướng dẫn được đưa ra, và hướng dẫn đã dừng lại quá sớm.

”Được bảo vệ” thực sự có nghĩa là gì ở đây

Là hệ quả, không phải nỗi sợ: một tên miền có SPF nhưng không có DMARC thực thi vẫn có thể bị mạo danh ngay tại nơi duy nhất mà con người nhìn vào — dòng “From” hiển thị. SPF cho phép các máy chủ nhận thư xác minh những máy nào được phép gửi thay mặt cho tên miền envelope, nhưng nếu không có DMARC thì không có yêu cầu nào bắt buộc người gửi hiển thị phải khớp với bất cứ điều gì SPF đã kiểm tra, và không có chỉ dẫn nào để từ chối thư không đạt. Hóa đơn giả mạo, yêu cầu đặt lại mật khẩu giả, chuyển hướng thanh toán cho nhà cung cấp — tất cả vẫn có thể được chuyển đến khách hàng và nhà cung cấp của bạn dưới tên bạn, bất kể có bản ghi SPF hay không.

Trong sáu giai đoạn trưởng thành của DMARC, 119 triệu tên miền này bị mắc kẹt ở Giai đoạn 1–3 — nền móng đã được xây, hoặc xây một phần, nhưng cánh cửa thì chưa bao giờ được lắp. Khoảng cách từ đó đến trạng thái được bảo vệ đã được hiểu rõ và phần lớn mang tính thủ tục; điều mà cuộc điều tra tổng thể này bổ sung là hiểu biết rằng gần như không ai đi hết chặng đường đó.

Nếu tên miền của bạn là một trong 119 triệu tên miền

  1. Giữ lại SPF — đó là điều kiện tiên quyết, không phải sai lầm. (Sửa SPF →.)
  2. Thêm DKIM để thư của bạn được ký chứ không chỉ được xác định nguồn gốc. (Sửa DKIM →.)
  3. Công bố DMARC kèm báo cáo, rồi thực thip=none với rua= trước, xác định mọi đơn vị gửi hợp pháp, sau đó chuyển sang quarantinereject. Đây là bước biến “đã cấu hình” thành “được bảo vệ”. (Sửa DMARC →.)

Câu hỏi thường gặp

SPF có đủ để bảo vệ một tên miền khỏi việc giả mạo không? Không. SPF xác thực các máy chủ gửi thư so với tên miền envelope; nó không kiểm tra địa chỉ “From” hiển thị và cũng không bảo bên nhận từ chối các trường hợp không đạt. Chỉ một chính sách DMARC thực thi mới làm được cả hai — và 119,212,005 tên miền công bố SPF mà không có nó.

Có bao nhiêu tên miền có SPF nhưng hoàn toàn không có DMARC? 84,638,430 — 60.9% trong số tất cả các đơn vị công bố SPF không có bất kỳ bản ghi DMARC nào, thậm chí cả chế độ giám sát.

Có bao nhiêu tên miền được bảo vệ đầy đủ? 10,092,481 — 3.87% trong số 261 triệu tên miền đã được chấm điểm kết hợp SPF và DKIM với một chính sách DMARC là quarantine hoặc reject.

Ít nhất thì có SPF có giúp ích không? Có — đó là nền tảng mà DMARC dựa vào để đánh giá, và nó cải thiện khả năng gửi thành công thư hợp pháp của bạn. Chỉ là bản thân nó không bảo vệ bất cứ điều gì; đó là bước một trong ba bước, và cuộc điều tra tổng thể cho thấy phần lớn internet coi nó như cả cầu thang.

Kiểm tra xem tên miền của bạn thuộc quần thể nào

“Chúng tôi đã thiết lập SPF” mô tả 139 triệu tên miền; “chúng tôi được bảo vệ” mô tả 10 triệu. Tìm ra bạn thuộc nhóm nào chỉ mất một phút, riêng tư và miễn phí — xem bạn vượt qua được những kiểm tra nào trong số 34 kiểm tra và cách khắc phục những kiểm tra bạn không đạt.

Kiểm tra tên miền của bạn → · Sáu giai đoạn trưởng thành của DMARC → · Trụ cột DMARC → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.