Defaults.Exposed › Báo cáo
SPF là gì — và làm thế nào để sửa bản ghi SPF của tôi? (2026)
Đã xuất bản 2026-07-01
Số liệu tính đến 2026-06-29 · phương pháp luận v7. Dữ liệu tổng điều tra tổng hợp trên 261 triệu tên miền được chấm điểm. SPF (Sender Policy Framework) là một bản ghi DNS liệt kê những máy chủ nào được phép gửi thư thay cho tên miền của bạn. Xem cách chúng tôi chấm điểm.
SPF là một dòng duy nhất trong DNS của bạn, nói rằng “những máy chủ này được phép gửi email dưới danh nghĩa của tôi — hãy coi mọi thứ khác là đáng ngờ.” Trên 261 triệu tên miền, 53.21% có công bố một bản ghi SPF. Điều đó nghe có vẻ lành mạnh, nhưng chỉ riêng một bản ghi thì không bảo vệ được bạn: bộ định tính cuối cùng mới quyết định liệu những người gửi không có trong danh sách bị từ chối hay được cho qua, và một tỷ lệ lớn các bản ghi được đặt lỏng lẻo đến mức không thay đổi được gì. Sau đây là những gì SPF thực sự làm, những lỗi chúng tôi thấy nhiều nhất, và cách sửa bản ghi của bạn.
Bản ghi SPF là gì?
Khi một máy chủ thư nhận được một thông điệp tự nhận là đến từ tên miền của bạn, nó tra cứu bản ghi SPF của bạn và kiểm tra xem máy chủ gửi có nằm trong danh sách được chấp thuận của bạn hay không. Bản ghi kết thúc bằng một chỉ dẫn cho mọi thứ không có trong danh sách:
-all(hardfail) — từ chối những người gửi không có trong danh sách. Đây là thiết lập thể hiện sự nghiêm túc.~all(softfail) — chấp nhận nhưng đánh dấu là đáng ngờ. Hầu hết thư vẫn được chuyển đi.?all(neutral) — không làm gì; tương đương với không có ý kiến gì.+all— chấp nhận bất cứ thứ gì từ bất kỳ ai. Điều này thực sự nguy hiểm và không bao giờ nên được công bố.
Trong số 139 triệu tên miền có công bố SPF, chỉ 39.3% sử dụng -all nghiêm ngặt, trong khi 55.8% sử dụng ~all lỏng lẻo hơn. Và 36,014 tên miền công bố +all — một lời mời gọi mở cửa nói với cả thế giới rằng bất kỳ ai cũng có thể gửi thư dưới danh nghĩa của họ.
Những lỗi âm thầm phá hỏng SPF
- Quá nhiều lần tra cứu DNS. SPF bị giới hạn ở 10 lần tra cứu (RFC 7208); vượt quá con số đó thì toàn bộ bản ghi thất bại với “permerror” và bị bỏ qua. 7,958 tên miền (0.01% trong số các tên miền có SPF) vượt quá giới hạn này — thường là do nối chuỗi quá nhiều câu lệnh
include:cho các bên gửi thứ ba. - Công bố
+all. Hiếm gặp nhưng thảm họa — nó vô hiệu hóa hoàn toàn SPF và tán thành cho những kẻ giả mạo. - Cho rằng SPF ngăn được việc mạo danh. Bản thân nó thì không. SPF kiểm tra đường gửi kỹ thuật, chứ không phải địa chỉ “From” mà một người nhìn thấy. 32.4% tổng số tên miền có công bố SPF nhưng không có DMARC — nên người gửi hiển thị vẫn có thể bị giả mạo. SPF là hệ thống ống nước; thực thi DMARC mới là ổ khóa. Xem SPF mà không có DMARC.
Làm thế nào để tôi sửa bản ghi SPF của mình?
- Công bố một bản ghi SPF duy nhất — một bản ghi TXT duy nhất bắt đầu bằng
v=spf1. Không bao giờ công bố hai bản ghi; đó là một thất bại tự động. - Liệt kê mọi bên gửi hợp lệ — nhà cung cấp hộp thư, nền tảng tiếp thị, CRM, bộ phận hỗ trợ của bạn — bằng các giá trị
include:mà họ có ghi trong tài liệu. - Kết thúc bằng
-allkhi bạn tự tin rằng danh sách đã đầy đủ. Bắt đầu với~allnếu bạn cần một biên độ an toàn, rồi siết chặt lại. Xem sửa SPF. - Giữ dưới 10 lần tra cứu — làm phẳng hoặc hợp nhất các include nếu bạn đang gần đến giới hạn.
- Sau đó thêm DMARC — SPF và DKIM cung cấp dữ liệu cho DMARC, cơ chế kiểm soát thực sự ngăn ai đó gửi email dưới danh nghĩa tên miền của bạn.
Câu hỏi thường gặp
Một bản ghi SPF trông như thế nào?
Một bản ghi DNS TXT duy nhất, chẳng hạn như v=spf1 include:_spf.google.com -all. Các mục include: là những người gửi được chấp thuận của bạn; phần -all ở cuối từ chối tất cả những người còn lại.
~all hay -all tốt hơn?
-all (hardfail) mạnh hơn — nó bảo bên nhận từ chối những người gửi không có trong danh sách. ~all (softfail) thường vẫn chuyển thư đi. Tính đến 2026-06-29, 39.3% bản ghi SPF sử dụng -all và 55.8% sử dụng ~all.
SPF có ngăn được người khác giả mạo tên miền của tôi không? Bản thân nó thì không. SPF không chi phối địa chỉ “From” hiển thị. Bạn cần thiết lập DMARC ở chế độ thực thi. 32.4% tên miền có SPF nhưng không có DMARC và vẫn có thể bị giả mạo.
Tại sao bản ghi SPF của tôi “thất bại” dù nó trông có vẻ đúng?
Thường gặp nhất là nó vượt quá giới hạn 10 lần tra cứu và trả về permerror. 0.01% tên miền có SPF gặp phải điều này. Hãy giảm số lần tra cứu include:.
Việc sửa SPF có tốn kém không? Không — đó là một thay đổi DNS miễn phí. Công sức nằm ở việc làm cho danh sách người gửi đầy đủ và chính xác, chứ không phải tiền bạc.
Kiểm tra SPF của tên miền của bạn miễn phí
Xem bản ghi SPF của bạn, bộ định tính cuối cùng của nó, và liệu nó đã đầy đủ hay chưa — một cách riêng tư, và chỉ dành cho chủ sở hữu.
Kiểm tra tên miền của bạn → · Sửa SPF → · Sửa DMARC → · Cách chúng tôi chấm điểm → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.