Defaults.Exposed › 报告
SPF 采用成熟度模型(SPFAMM):SPF 的六个阶段(2026)
发布于 2026-07-03
数据截至 2026-06-29 · 方法论 v7。 本参考模型由一项对 261 百万个已评级域名的周期性普查支撑;每一版都会对同一批域名重新测量,因此这些数字可以随时间追踪。所有数字均为聚合数据——我们从不公布任何单个企业的记录。
整个互联网处于哪个阶段?
六个阶段中的第 2.4 阶段。在 261 百万个域名中测量,普通域名尚未建成一道有效的 SPF 围栏——而整个互联网在 SPF 强度上的得分为 100 分中的 29 分。 发布 SPF 是最常见的电子邮件安全行为(53.21% 的域名都这么做),然而其中大多数记录都止步于一种仍然要求收件方照样投递伪造邮件的设置。
问题不在于采用率——而在于大多数成熟度指导止步于”我们发布了 SPF”,仿佛记录本身就是成就。一条 SPF 记录可以授权整个互联网、不表达任何意见、悄悄使自己失效,或者永远停留在 softfail,因为收紧它意味着没人排期去做的工作。一个有用的模型会为其中每一种状态命名。这个模型做到了:SPF 采用成熟度模型——SPFAMM,六个阶段,每个阶段一步,还有一个你可以引用的名字。它是 DMARC 成熟度六个阶段 的 SPF 姊妹篇。
SPF 成熟度的六个阶段是什么?
261 百万个已评级域名中的每一个都恰好处于第 1 到第 5 阶段之一,而这五个群体的总和精确等于普查总数;第 6 阶段是计入第 5 阶段之内的加固子集。正是这一点使 SPFAMM 成为一项测量,而不是一张海报。
| 阶段 | 名称 | 域名数 | 占比 |
|---|---|---|---|
| 1 | 无保护 | 121,145,609 | 46.4% |
| 2 | 宽松或损坏 | 7,798,366 | 3.0% |
| 3 | 软围栏 | 70,368,600 | 27.0% |
| 4 | 严格 | 42,514,532 | 16.3% |
| 5 | 对齐 | 19,259,125 | 7.4% |
| 6 | 加固 | 10,092,481 | 3.87% |
(第 6 阶段是第 5 阶段对齐域名中的加固子集,因此第 1 到第 5 阶段划分了整个普查,而第 6 阶段位于第 5 阶段之内。)
第 1 阶段——无保护。 没有 v=spf1 记录。收件方不检查任何东西;在 SPF 这一环上伪造该域名很容易。向上一步: 发布一条 v=spf1 记录,列出你真实的发件方,并以 fail 限定符结尾。
第 2 阶段——宽松或损坏。 记录存在,但什么也不保护。这个阶段收纳了那些没有牙齿的结尾——?all 中立(3.0% 的发布者)以及 +all 欢迎垫——连同那些损坏的记录:多条 v=spf1 记录(标准会将其完全作废),以及没有可用结尾的残缺记录。有一个例外:大约 2.1 百万条记录以 redirect= 结尾,这是有效的委派——它们真正的策略位于目标处,我们仅仅因为其自身记录不带任何裁决而将它们归入此处。向上一步: 一条记录,一个真实结尾——~all 或 -all。
第 3 阶段——软围栏。 记录以 ~all(softfail)结尾,背后没有任何东西执行——70.4 百万个域名,是所有已发布 SPF 阶段中人数最多的群体。Softfail 是一道真正的围栏,却带着一扇没上锁的门:它告诉收件方”来自别处的邮件很可能是伪造的”,却又请他们照样投递。向上一步: 翻越这堵墙——把每一个发件方都算清楚,然后选择向上的任一条路线(见下文)。
第 4 阶段——严格。 记录以 -all 结尾:42.5 百万个域名发布了一个直接的”拒绝其他所有人”,但背后还没有 DMARC 执行。我们自己的测量现在量化出一个诚实的告诫:一条 超出 10 次查找上限 的 -all 记录,无论看起来多严格都是无效的——互联网上的 -all 记录中至少有 112,215 条处于这种状态。向上一步: 在记录背后放一条强制执行的 DMARC 策略,让失败在各处都得到处置。
第 5 阶段——对齐。 SPF——无论软还是严格——位于 DMARC p=quarantine 或 p=reject 的背后。这是仿冒你确切域名的行为真正在每一家主流邮箱提供商处停下的阶段:19.3 百万个域名,其中 7.1 百万个将 ~all 与强制执行配对(这是 Google 发件方指南推荐的模式),12.1 百万个将 -all 与之配对。向上一步: 加上 DKIM 并持续关注——记录会腐坏。
第 6 阶段——加固。 SPF 加 DKIM 加强制执行的 DMARC——完全受保护的集合,10,092,481 个域名,占互联网的 3.87%——再加上监控漂移的自律:include: 链会变化、提供商会迁移 IP、有人接入了一个以你名义发信的新工具。向上一步: 留在这里。这是一种日常实践,不是一枚徽章。
无邮件通道。 一个不发邮件的域名,只需一次编辑就能跃升至顶端:SPF
-all加 DMARCp=reject。没有合法邮件需要保护,就意味着没有墙需要翻越——而它关闭了最常见的冒充途径之一。
为什么互联网会卡在第 3 阶段?
因为几乎所有其他步骤都是一次小小的 DNS 编辑,而走出第 3 阶段却是活儿:枚举每一个合法地以你名义发信的系统——邮箱提供商、通讯平台、CRM、开票工具、市场部去年春天注册的那个东西——并把它们塞进一条记录里,还不能 撑爆 10 次查找的预算。这就是那堵墙。~all 是不必做这件事就能够到的最后一级台阶,这就是为什么 70.4 百万个域名停在那里。
从墙顶出发有两条向上的路线,两条都通向第 5 阶段:
- 收紧到
-all(经由第 4 阶段)——在记录本身里给出一个坚定的”不”。关于何时这是正确的选择,见~all对比-all。 - 保留
~all并用 DMARCp=reject强制执行——这是 Google 的指南和当今大多数可达性实践如今推荐的路线,因为它在评估 DMARC 的收件方处提供同等保护,又不会退回转发的邮件。
普查显示这两条路线极少被走完:在 77.5 百万条 softfail 记录中,只有 7.1 百万条——大约每 11 条中有 1 条——背后有强制执行。
SPF 强度得分是如何计算的?
很简单,而且我们保持权重恒定,使得分可以逐月比较:背后有东西强制执行的域名(第 5 至第 6 阶段)得满分,有一道无人处置的真实围栏(第 3 至第 4 阶段)得半分,缺失、宽松或损坏的记录得零分。 在这个尺度上,截至 2026-06-29,互联网得分为 29/100。将近一半的域名贡献为零,因为它们根本什么都没发布。
我怎样找出我的域名所处的阶段?
第 1 至第 4 阶段可以直接从你的 DNS 记录读出;第 5 阶段还要看你的 DMARC 策略;第 6 阶段再加上 DKIM。唯一一眼看不出来的是:一条严格的记录是否暗地里 超出了查找上限——这需要解析整条链,而我们的检测器会为你完成。
常见问题
什么是 SPFAMM? SPF 采用成熟度模型——本页上的六阶段模型:无保护、宽松/损坏、软围栏、严格、对齐、加固。每个域名所处的阶段都可以从其 DNS 计算得出:第 1 至第 5 阶段精确地划分了这 261 百万个域名的普查,而第 6 阶段是第 5 阶段之内的加固子集。
大多数域名处于哪个阶段? 第 1 阶段——46.4% 的域名根本没有发布 SPF。在确实发布了的域名中,第 3 阶段(无强制执行的 softfail)是最常见的停留处,有 70.4 百万个域名。按域名数加权的平均值是第 2.4 阶段。
~all softfail 够用吗?
只有在背后配一条强制执行的 DMARC 策略时才够——那种配对是第 5 阶段,也是 Google 发件方指南推荐的模式。单独来看它是第 3 阶段:真实的围栏,没上锁的门。完整的对比见 ~all 对比 -all。
我必须做到 -all 才算安全吗?
不必。第 4 阶段是两条路线之一,不是一项要求——保留 ~all 并用 DMARC p=reject 强制执行,在评估 DMARC 的收件方处能达到同样的保护。真正必需的是那堵墙:在任何东西开始强制执行之前,先弄清每一个发件方。
有多少域名走完了全部六个阶段? 10,092,481 个——占互联网的 3.87%——同时具备 SPF、DKIM 和一条强制执行的 DMARC 策略。每一次阶段跃迁都是免费的;细节见 受保护的少数。
检查你的域名处于什么位置
你的域名恰好处于这六个阶段之一,而下一步在 30 秒内就能知晓——免费,而且这道阶梯上的每一处修复都是一次 DNS 更改,不是一笔购买。
检查你的域名 → · 修复 SPF → · ~all 对比 -all → · SPF PermError 报告 → · DMARC 成熟度的六个阶段 → · 仅聚合数据。数据在欧盟境内存储和处理。