Defaults.Exposed

Defaults.Exposed › Báo cáo

Mô hình Trưởng thành Áp dụng SPF (SPFAMM): 6 Giai đoạn của SPF (2026)

Đã xuất bản 2026-07-03

Số liệu tính đến 2026-06-29 · phương pháp luận v7. Một mô hình tham chiếu được hậu thuẫn bởi một cuộc điều tra định kỳ trên 261 triệu tên miền đã được chấm điểm; mỗi phiên bản đo lại cùng một quần thể để có thể theo dõi các con số theo thời gian. Tất cả số liệu đều là tổng hợp — chúng tôi không bao giờ công bố bản ghi của một doanh nghiệp cá nhân.

Internet đang ở giai đoạn nào?

Giai đoạn 2.4 trên 6. Đo trên 261 triệu tên miền, tên miền trung bình vẫn chưa đạt tới một hàng rào SPF hoạt động — và toàn bộ internet đạt 29 trên 100 về độ mạnh SPF. Công bố SPF là hành động bảo mật email phổ biến nhất từng có (53.21% tên miền làm điều đó), thế nhưng hầu hết những bản ghi đó dừng lại ở một thiết lập vẫn yêu cầu bên nhận cứ chuyển phát cả thư giả mạo.

Vấn đề không phải là việc áp dụng — mà là hầu hết các hướng dẫn về sự trưởng thành đều dừng lại ở chỗ “chúng tôi đã công bố SPF”, như thể bản thân bản ghi đã là thành tựu. Một bản ghi SPF có thể cấp phép cho toàn bộ internet, không bày tỏ quan điểm nào, âm thầm tự vô hiệu hóa, hoặc mãi ở mức softfail vì việc siết chặt nó đòi hỏi công việc mà chẳng ai lên lịch. Một mô hình hữu ích sẽ đặt tên cho từng trạng thái đó. Mô hình này làm được: Mô hình Trưởng thành Áp dụng SPF — SPFAMM, sáu giai đoạn, mỗi giai đoạn một bước tiến, và một cái tên bạn có thể trích dẫn. Đây là bản đồng hành SPF của sáu giai đoạn trưởng thành DMARC.

Sáu giai đoạn trưởng thành SPF là gì?

Mỗi một trong 261 triệu tên miền đã chấm điểm đều nằm ở đúng một trong các giai đoạn 1–5, và năm quần thể đó cộng lại chính xác bằng tổng điều tra; giai đoạn 6 là tập con đã được củng cố được đếm trong giai đoạn 5. Đó là điều khiến SPFAMM là một phép đo lường chứ không phải một tấm áp phích.

Giai đoạnTênTên miềnTỷ lệ
1Không bảo vệ121,145,60946.4%
2Dễ dãi hoặc hỏng7,798,3663.0%
3Hàng rào mềm70,368,60027.0%
4Nghiêm ngặt42,514,53216.3%
5Đồng bộ19,259,1257.4%
6Củng cố10,092,4813.87%

(Giai đoạn 6 là tập con đã củng cố của các tên miền đồng bộ ở Giai đoạn 5, nên các giai đoạn 1–5 phân hoạch cuộc điều tra và giai đoạn 6 nằm bên trong giai đoạn 5.)

Giai đoạn 1 — Không bảo vệ. Không có bản ghi v=spf1. Không bên nhận nào kiểm tra gì cả; giả mạo tên miền ở nhánh SPF rất dễ. Bước tiến: công bố một bản ghi v=spf1 liệt kê các bên gửi thực của bạn, kết thúc bằng một định tính fail.

Giai đoạn 2 — Dễ dãi hoặc hỏng. Có một bản ghi tồn tại nhưng không bảo vệ gì cả. Giai đoạn này gom góp những phần kết thúc không có răng — ?all trung lập (3.0% số bên công bố) và tấm thảm chào đón +all — cùng với các bản ghi hỏng: nhiều bản ghi v=spf1, mà tiêu chuẩn vô hiệu hóa hoàn toàn, và các bản ghi rời rạc không có phần kết thúc dùng được. Một trường hợp loại trừ: khoảng 2.1 triệu bản ghi kết thúc bằng redirect=, đây là ủy quyền hợp lệ — chính sách thực của chúng nằm ở mục tiêu, và chúng tôi đếm chúng ở đây chỉ vì bản ghi của chính chúng không mang phán quyết nào. Bước tiến: một bản ghi, một phần kết thúc thực — ~all hoặc -all.

Giai đoạn 3 — Hàng rào mềm. Bản ghi kết thúc bằng ~all (softfail) mà không có gì thực thi phía sau — 70.4 triệu tên miền, quần thể lớn nhất trong bất kỳ giai đoạn nào đã công bố SPF. Softfail là một hàng rào thực sự với cổng không khóa: nó bảo bên nhận “thư từ nơi khác có lẽ là giả mạo”, rồi lại yêu cầu họ cứ chuyển phát. Bước tiến: leo qua bức tường — tính đến từng bên gửi, rồi chọn một trong hai lối đi lên (bên dưới).

Giai đoạn 4 — Nghiêm ngặt. Bản ghi kết thúc bằng -all: 42.5 triệu tên miền công bố “từ chối tất cả những ai khác” thẳng thừng, nhưng chưa có thực thi DMARC phía sau. Một điểm lưu ý thành thật mà chính phép đo của chúng tôi giờ định lượng được: một bản ghi -allvượt giới hạn 10 lượt tra cứu là vô hiệu bất kể nó trông nghiêm ngặt đến đâu — ít nhất 112,215 bản ghi -all của internet đang ở trạng thái đó. Bước tiến: đặt một chính sách DMARC có thực thi phía sau bản ghi, để các lượt thất bại bị xử lý ở mọi nơi.

Giai đoạn 5 — Đồng bộ. SPF — mềm hoặc nghiêm ngặt — nằm sau DMARC p=quarantine hoặc p=reject. Đây là giai đoạn mà việc giả mạo chính xác tên miền của bạn thực sự bị chặn tại mọi nhà cung cấp hộp thư lớn: 19.3 triệu tên miền, trong đó 7.1 triệu ghép ~all với thực thi (mẫu hình mà hướng dẫn cho người gửi của Google khuyến nghị) và 12.1 triệu ghép -all với nó. Bước tiến: thêm DKIM và tiếp tục theo dõi — các bản ghi mục nát.

Giai đoạn 6 — Củng cố. SPF cộng DKIM cộng DMARC có thực thi — tập được bảo vệ đầy đủ, 10,092,481 tên miền, 3.87% internet — cộng với kỷ luật giám sát sự trôi dạt: các chuỗi include: thay đổi, nhà cung cấp đổi IP, ai đó kết nối một công cụ mới gửi thư dưới danh nghĩa bạn. Bước tiến: ở lại đây. Đây là một thực hành, không phải một tấm huy hiệu.

Làn không gửi thư. Một tên miền không gửi thư nào có thể nhảy thẳng lên đỉnh chỉ bằng một lần chỉnh sửa: SPF -all cộng DMARC p=reject. Không có gì hợp pháp để bảo vệ nghĩa là không có bức tường nào phải leo — và nó đóng lại một trong những vector mạo danh phổ biến nhất từng có.

Vì sao Giai đoạn 3 là nơi internet mắc kẹt?

Bởi vì gần như mọi bước tiến khác đều là một chỉnh sửa DNS nhỏ, còn bước ra khỏi Giai đoạn 3 là công việc: liệt kê từng hệ thống hợp pháp gửi thư dưới danh nghĩa bạn — nhà cung cấp hộp thư, nền tảng bản tin, CRM, công cụ xuất hóa đơn, cái thứ mà bộ phận tiếp thị đăng ký hồi mùa xuân năm ngoái — và nhét chúng vào một bản ghi mà không làm nổ ngân sách 10 lượt tra cứu. Đó là bức tường. ~all là bậc thang cuối cùng có thể với tới mà không phải làm điều đó, chính vì vậy 70.4 triệu tên miền dừng chân ở đó.

Từ đỉnh tường có hai lối đi lên, và cả hai đều đến Giai đoạn 5:

Cuộc điều tra cho thấy cả hai lối đi hiếm khi được hoàn thành đến mức nào: trong số 77.5 triệu bản ghi softfail, chỉ 7.1 triệu — khoảng 1 trên 11 — có thực thi phía sau.

Điểm Độ mạnh SPF được tính như thế nào?

Đơn giản, và chúng tôi giữ nguyên các trọng số để điểm số có thể so sánh giữa tháng này với tháng khác: tín dụng đầy đủ cho các tên miền có thứ gì đó thực thi (giai đoạn 5–6), nửa tín dụng cho một hàng rào thực mà không ai xử lý (giai đoạn 3–4), không gì cả cho các bản ghi vắng mặt, dễ dãi hoặc hỏng. Trên thang đó, internet đạt 29/100 tính đến 2026-06-29. Gần một nửa quần thể đóng góp số không vì nó chẳng công bố gì cả.

Làm sao để tìm giai đoạn của tên miền tôi?

Các giai đoạn 1–4 có thể đọc trực tiếp từ bản ghi DNS của bạn; giai đoạn 5 bổ sung chính sách DMARC của bạn; giai đoạn 6 bổ sung DKIM. Điều duy nhất mà một cái liếc mắt không thể cho bạn biết là liệu một bản ghi nghiêm ngặt có bí mật vượt giới hạn tra cứu hay không — điều đó đòi hỏi phải giải chuỗi, mà công cụ kiểm tra của chúng tôi làm hộ bạn.

Câu hỏi thường gặp

SPFAMM là gì? Mô hình Trưởng thành Áp dụng SPF — mô hình sáu giai đoạn trên trang này: Không bảo vệ, Dễ dãi/hỏng, Hàng rào mềm, Nghiêm ngặt, Đồng bộ, Củng cố. Giai đoạn của mỗi tên miền có thể tính được từ DNS của nó: các giai đoạn 1–5 phân hoạch chính xác cuộc điều tra 261 triệu tên miền, và giai đoạn 6 là tập con đã củng cố bên trong giai đoạn 5.

Hầu hết tên miền đang ở giai đoạn nào? Giai đoạn 1 — 46.4% tên miền không công bố SPF nào cả. Trong số các tên miền có công bố, Giai đoạn 3 (softfail không thực thi) là chỗ dừng chân phổ biến nhất, với 70.4 triệu tên miền. Mức trung bình có trọng số theo quần thể là giai đoạn 2.4.

~all softfail có đủ tốt không? Chỉ khi có một chính sách DMARC thực thi phía sau — sự ghép cặp đó là Giai đoạn 5 và là mẫu hình mà hướng dẫn cho người gửi của Google khuyến nghị. Đứng một mình thì nó là Giai đoạn 3: hàng rào thực, cổng không khóa. So sánh đầy đủ nằm trong ~all so với -all.

Tôi có bắt buộc phải đạt tới -all để an toàn không? Không. Giai đoạn 4 là một trong hai lối đi, không phải một yêu cầu — giữ ~all và thực thi bằng DMARC p=reject sẽ đến cùng mức bảo vệ tại các bên nhận có đánh giá DMARC. Điều bắt buộc là bức tường: biết rõ từng bên gửi trước khi bất cứ thứ gì thực thi.

Có bao nhiêu tên miền hoàn thành cả sáu giai đoạn? 10,092,481 — 3.87% internet — nắm giữ SPF, DKIM và một chính sách DMARC có thực thi cùng nhau. Mọi chuyển tiếp giai đoạn đều miễn phí; chi tiết nằm trong số ít được bảo vệ.

Kiểm tra xem tên miền của bạn đang đứng ở đâu

Tên miền của bạn đang ở đúng một trong sáu giai đoạn này, và bước tiến tiếp theo có thể biết được trong 30 giây — miễn phí, và mọi bản sửa dọc theo chiếc thang này là một thay đổi DNS, không phải một khoản mua.

Kiểm tra tên miền của bạn → · Sửa SPF → · ~all so với -all · Báo cáo SPF PermError → · 6 giai đoạn trưởng thành DMARC → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.