Defaults.Exposed › 报告
仅有 SPF 还不够:119 百万个从不强制执行的域名
发布于 2026-07-03 · 更新 2026-07-03
数据截至 2026-06-29 · 方法论 v7。 普查数据将每个域名的各项检查跨 261 百万个已评级域名进行关联。“强制执行”指 DMARC 策略为
quarantine或reject;“完整保护”指同时配置了 SPF 和 DKIM,并且 DMARC 处于强制执行状态——这构成完整的邮件身份验证三要素。所有数据均为汇总统计——我们绝不公布任何单个企业的评级。
清点:有多少域名仅依赖 SPF
仅靠 SPF 不足以阻止邮件冒充——而普查现在能够清点出有多少域名仍在依赖它:119,212,005 个(119 百万个)发布了 SPF,却从不强制执行 DMARC。 这占了所有费心配置 SPF 的域名的 85.8%。其姊妹文章 没有 DMARC 的 SPF 解释了其机制——为什么 SPF 无法保护人们真正看到的“发件人”地址;而本文测量的是群体规模——这一缺口让多少域名暴露在风险之下,以及这份暴露呈现出怎样的形态。
简而言之:配置 SPF 是互联网上最常见的邮件安全举措,而对于绝大多数这么做的域名来说,它也是最后一步。
三类群体
139 百万个域名——其中 138,911,937 个——发布了 SPF 记录。按其背后的支撑情况划分:
| 群体 | 域名数 | 占 SPF 发布者的比例 |
|---|---|---|
| 已发布 SPF,完全没有 DMARC 记录 | 84,638,430 | 60.9% |
| 已发布 SPF,存在 DMARC 但从不强制执行(超集,包含上一行) | 119,212,005 | 85.8% |
| SPF + DKIM,并由强制执行的 DMARC 支撑 | 10,092,481 | — |
各行之和并不等于 SPF 总数:其余部分是这样的 SPF 发布者——其 DMARC 确实在强制执行,但 DKIM 尚未完全到位——虽已强制执行,却仍未达到最后一行所统计的完整三要素。
中间一行是重点:约有 119 百万个域名做了声明合法发件方的工作,却从未告诉世界各地的收件箱去据此行动。而最后一行才是关键结论:在全部 261 百万个已评级域名中,仅有 3.87%——约 10 百万个——获得了完整的邮件保护。从技术上讲,完整保护并非高门槛;它不过是一段旅程的终点,而这段旅程有 119 百万个域名开了头却又停了下来。
为什么这个数字如此失衡
SPF 是每份配置指南的起点,是大多数邮件服务商引导流程的终点,也是大多数合规检查清单真正会核对的项目。它会产生一个可见的产物——一条 TXT 记录——以及在任何检测工具里的一个绿色对勾。强制执行的 DMARC 带来的体验恰恰相反:它要求一个渐进过程(发布、观察、识别发件方,然后强制执行),而它的回报是无形的——伪造的邮件悄然不再送达。
于是整个互联网都为那个对勾而优化。普查揭示了这种情况在规模层面的样貌:85 百万个域名(84,638,430)有 SPF,却完全没有 DMARC 记录——甚至连一个 p=none 占位符都没有。这些所有者并不懒惰;他们遵循了别人给出的指示,而那些指示过早地停止了。
这里所说的“已覆盖”究竟意味着什么
这是后果,而非恐吓:一个有 SPF 却没有强制执行 DMARC 的域名,仍然可以在人们唯一会看的那个地方——可见的“发件人”一行——被冒充。SPF 让接收服务器能验证哪些机器可以代表信封域名发送邮件,但如果没有 DMARC,就没有任何要求让可见的发件人与 SPF 所检查的内容相符,也没有任何指示去拒收验证失败的邮件。伪造的发票、假冒的密码重置、被篡改的供应商付款转向——所有这些都仍然能以你的名义送达你的客户和供应商,尽管 SPF 记录已经存在。
在 DMARC 成熟度的六个阶段 中,这 119 百万个域名卡在第 1–3 阶段——地基已经建好,或部分建好,但门却从未安装。从那里走到受保护状态的距离是众所周知的,而且大多只是流程性的;这次普查所补充的,是让我们认识到几乎没有人走完这段路。
如果你的域名是这 119 百万个之一
- 保留 SPF——它是前提条件,不是错误。(修复 SPF →。)
- 添加 DKIM,让你的邮件不仅有来源,还有签名。(修复 DKIM →。)
- 发布带报告的 DMARC,然后强制执行——先用带
rua=的p=none,识别出每一个合法发件方,再转到quarantine和reject。这一步才是把“已配置”转化为“受保护”的关键。(修复 DMARC →。)
常见问题
SPF 足以保护域名免遭仿冒吗? 不能。SPF 针对信封域名验证发送服务器;它既不检查可见的“发件人”地址,也不告诉接收方去拒收验证失败的邮件。只有强制执行的 DMARC 策略能同时做到这两点——而 119,212,005 个域名发布了 SPF 却没有配置它。
有多少域名有 SPF 但完全没有 DMARC? 84,638,430 个——在所有 SPF 发布者中,60.9% 完全没有任何形式的 DMARC 记录,连监控模式都没有。
有多少域名获得了完整保护?
10,092,481 个——在 261 百万个已评级域名中,3.87% 同时具备 SPF 和 DKIM,并配有 quarantine 或 reject 的 DMARC 策略。
至少拥有 SPF 有帮助吗? 有——它是 DMARC 据以评估的基础,并且能提升你合法邮件的送达率。它只是无法凭一己之力保护任何东西;它是三步中的第一步,而普查显示互联网上的大多数域名都把它当成了整段楼梯。
查看你的域名属于哪一类群体
“我们配置了 SPF”描述的是 139 百万个域名;“我们受到保护”描述的是 10 百万个。弄清楚你属于哪一类只需一分钟,私密且免费——看看你通过了 34 项检查中的哪些,以及如何修复没通过的那些。
检测你的域名 → · DMARC 成熟度的六个阶段 → · DMARC 支柱页 → · 仅汇总数据。数据在欧盟境内存储与处理。