Defaults.Exposed › SPF
SPF:采用率、强度与可伪造性差距
数据截至 2026-06-29 · 方法论 v7 · 仅汇总数据
138.9 百万个域名发布了 SPF 记录——但发布并不等于保护。 在我们的 100 分制 SPF 强度评分中,互联网整体得分为 29,平均成熟度为 6 个阶段中的第 2.39 阶段。大多数记录爬升到「或许」这一档便止步不前。
只有在严格结尾(-all)时,或当强制执行的 DMARC 策略对软失败采取行动时,SPF 才会拒绝一次伪造。55.8% 的记录以 ~all(软失败)结尾;仅有 39.3% 以 -all 结尾。这一差距——已发布但未强制执行——是电子邮件安全领域中规模最大的群体。
SPF 采用成熟度模型(SPFAMM)
六个阶段,每次前进一步,在第 3 → 4 阶段之间横亘着一道需要深入排查的壁垒。正如 DAMM 衡量 DMARC 的进程,SPFAMM 衡量 SPF 的进程:从没有允许列表,穿过徒有其表的中间地带,直到形成一条 DMARC 可以据以行动的严格记录。
- Stage 1 — 无:没有 SPF 记录——占所有已评分域名的 46%(121.1M)。
- Stage 2 — 损坏/宽松:存在多条记录、
+all、中性结尾或没有终止符(7.8M)。 - Stage 3 — 软失败:以
~all结尾,却没有任何机制强制执行——最常见的停留之处(70.4M)。 - Stage 4 — 严格:以
-all结尾,解析无误,且在 10-lookup limit 之内(42.5M)。 - Stage 5 — 对齐:严格或软失败,且背后有一条强制执行的 DMARC 策略(19.3M)。
- Stage 6 — 全面保护:既对齐又强制执行的少数域名(10.1M)。
这道壁垒位于第 3 → 4 阶段:其他每一步都只是一行 DNS 编辑,而这一步意味着在不突破 10-lookup limit 的前提下,枚举出每一个以你的名义发信的系统。这正是互联网止步于软失败的原因。
解读数据
- SPF 采用成熟度模型(SPFAMM)
SPF 的 6 个阶段,以及位于第 3→4 阶段、让互联网大多数域名止步的那道排查壁垒。 - ~all 对比 -all:139M 条记录如何选择
软失败是最常见的结尾:55.8% 以 ~all 结尾(「可能是假的——但仍然投递」),而 39.3% 以严格的 -all 结尾。 - SPF PermError 报告
797,263 个域名因越过 10-lookup limit 而悄然破坏了自己的 SPF——比表面统计所显示的多出 100 倍。 - 两条 SPF 记录 = 没有记录
1,013,416 个域名发布了两条或更多 SPF 记录——规则会使它们全部失效。 - ptr 陷阱
自 2014 年起便不再推荐使用的一种机制,仍出现在 950,631 条记录中。 - +all 地图
36,015 个域名发布了 +all——等于公开邀请任何人以它们的名义发信。 - 哪家邮件服务商提供最强的 SPF 默认配置?
一份涵盖 15 家服务商的榜单,比较严格 SPF 与强制执行率——你的服务商决定了你的默认配置。 - 电子邮件可伪造性指数
按 TLD 和国家/地区统计,有多少域名可被任何人伪造。
检查你自己的域名
查看修复指南:如何修复 SPF → · 仅汇总数据。数据在欧盟境内存储与处理。