Defaults.Exposed

Defaults.Exposed › Báo cáo

Công bố SPF là chưa đủ: Cảm giác an toàn giả tạo về bảo mật email (2026)

Đã xuất bản 2026-06-29

Số liệu tính đến 2026-06-29 · phương pháp v7. Dữ liệu khảo sát tổng hợp kết hợp các kiểm tra theo từng tên miền trên 261 triệu tên miền được chấm điểm. “Thực thi” = một chính sách DMARC là quarantine hoặc reject. Xem cách chúng tôi chấm điểm.

Nơi nguy hiểm nhất trong bảo mật email là cảm thấy được bảo vệ. 32.4% tên miền công bố SPF nhưng hoàn toàn không có DMARC — và 45.7% có SPF mà không được hỗ trợ bằng việc thực thi. Những chủ sở hữu này đã làm điều gì đó, thấy “SPF: đã cấu hình” rồi dừng lại. Nhưng riêng SPF không ngăn được ai đó giả mạo địa chỉ “From” hiển thị của bạn — chỉ DMARC được thực thi mới làm được. Tính đến 2026-06-29, chỉ 3.87% tên miền được bảo vệ email đầy đủ.

Khoảng cách giữa “đã cấu hình” và “được bảo vệ”

SPF kiểm tra những máy chủ nào có thể gửi thay cho bạn. Nó không chi phối địa chỉ “From” mà một người thực sự nhìn thấy, và nó không cho người nhận biết phải làm gì khi thất bại. Đó là việc của DMARC. Vì vậy SPF mà không có chính sách DMARC thực thi là một ổ khóa không có cánh cửa phía sau:

Trạng tháiTỷ lệ tên miềnThực sự được bảo vệ?
SPF đã công bố, hoàn toàn không có bản ghi DMARC32.4%Không
SPF đã công bố, DMARC không thực thi45.7%Không
Được bảo vệ email đầy đủ (SPF + DMARC được thực thi)3.87%

Hãy đọc lại hàng giữa: 45.7% tổng số tên miền có SPF nhưng không thực thi — gần như đa số internet nằm trong vùng an toàn giả tạo. Đối với mục đích của kẻ tấn công, chúng có thể bị giả mạo — và 89.4% tên miền nói chung là như vậy.

Phiên bản tệ nhất: thư vào, không có người gác cửa

Tình hình gay gắt hơn đối với những tên miền thực sự nhận email. 42.7% tên miền chấp nhận thư (chúng có bản ghi MX) nhưng hoàn toàn không có xác thực email hoạt động — không thực thi SPF, không DMARC. Đây là những tên miền sống, đang được sử dụng, mà chủ sở hữu gửi và nhận mỗi ngày, hoàn toàn có thể bị mạo danh. Chính hoạt động đó khiến chúng trở thành mục tiêu hấp dẫn cho gian lận hóa đơn và lừa đảo nhà cung cấp.

Vì sao “chúng tôi có SPF” trở thành cái bẫy

SPF lâu đời hơn, đơn giản hơn và là thứ đầu tiên mà hầu hết các hướng dẫn thiết lập đề cập — nên đó là ô được tích. DMARC ra đời sau, nghe có vẻ tiên tiến hơn và đòi hỏi một tiến trình có chủ đích để đạt đến thực thi. Kết quả là một lượng lớn người dùng đã áp dụng bước một và không bao giờ thực hiện bước hai, rồi tiếp tục tin rằng công việc đã xong. Cuộc khảo sát lần đầu tiên làm hiển hiện quy mô của sự hiểu lầm đó: 32.4% có SPF và hoàn toàn không có DMARC.

Làm thế nào để thực sự được bảo vệ

  1. Giữ SPF của bạn, nhưng đừng chỉ dựa vào nó. (Sửa SPF.)
  2. Thêm DKIM để thư của bạn được ký. (Sửa DKIM.)
  3. Công bố DMARC và chuyển nó sang thực thi (p=nonequarantinereject). Đây là bước biến “đã cấu hình” thành “được bảo vệ”. (Sửa DMARC.)

Câu hỏi thường gặp

SPF có đủ để ngăn giả mạo email không? Không. SPF không bảo vệ địa chỉ “From” hiển thị và không yêu cầu người nhận từ chối các thư giả mạo — chỉ một chính sách DMARC thực thi mới làm được. 45.7% tên miền có SPF mà không có việc thực thi đó.

Tôi có một bản ghi SPF — tôi đã được bảo vệ chưa? Chưa, nếu chỉ riêng nó. Bạn chỉ được bảo vệ khi SPF (và lý tưởng là DKIM) được hỗ trợ bởi DMARC đặt ở quarantine hoặc reject. Chỉ 3.87% tên miền đạt được điều đó.

Tỷ lệ tên miền nào vẫn có thể bị mạo danh? 89.4% — vì chúng thiếu DMARC thực thi, bất kể có công bố SPF hay không.

Vì sao có thư (MX) mà không có xác thực lại đặc biệt rủi ro? 42.7% tên miền tích cực gửi và nhận email nhưng không có xác thực hoạt động — những tên miền sống, đáng tin cậy mà bất kỳ ai cũng có thể giả mạo, đó chính xác là thứ mà kẻ lừa đảo tìm kiếm.

Kiểm tra xem bạn có thực sự được bảo vệ không

“Chúng tôi có SPF” không giống với được bảo vệ. Hãy kiểm tra tên miền của bạn miễn phí và riêng tư — xem email của bạn có còn bị giả mạo được không.

Kiểm tra tên miền của bạn → · Sửa DMARC → · Điểm phơi nhiễm tên miền → · p=none không phải là sự bảo vệ → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.