Defaults.Exposed

Defaults.Exposed › SPF

SPF:采用率、强度与可伪造性差距

数据截至 2026-06-29 · 方法论 v7 · 仅汇总数据

138.9 百万个域名发布了 SPF 记录——但发布并不等于保护。 在我们的 100 分制 SPF 强度评分中,互联网整体得分为 29,平均成熟度为 6 个阶段中的第 2.39 阶段。大多数记录爬升到「或许」这一档便止步不前。

只有在严格结尾(-all)时,或当强制执行的 DMARC 策略对软失败采取行动时,SPF 才会拒绝一次伪造。55.8% 的记录以 ~all(软失败)结尾;仅有 39.3% 以 -all 结尾。这一差距——已发布但未强制执行——是电子邮件安全领域中规模最大的群体。

SPF 采用成熟度模型(SPFAMM)

六个阶段,每次前进一步,在第 3 → 4 阶段之间横亘着一道需要深入排查的壁垒。正如 DAMM 衡量 DMARC 的进程,SPFAMM 衡量 SPF 的进程:从没有允许列表,穿过徒有其表的中间地带,直到形成一条 DMARC 可以据以行动的严格记录。

  1. Stage 1 — 无:没有 SPF 记录——占所有已评分域名的 46%(121.1M)。
  2. Stage 2 — 损坏/宽松:存在多条记录、+all、中性结尾或没有终止符(7.8M)。
  3. Stage 3 — 软失败:~all 结尾,却没有任何机制强制执行——最常见的停留之处(70.4M)。
  4. Stage 4 — 严格:-all 结尾,解析无误,且在 10-lookup limit 之内(42.5M)。
  5. Stage 5 — 对齐:严格或软失败,且背后有一条强制执行的 DMARC 策略(19.3M)。
  6. Stage 6 — 全面保护:既对齐又强制执行的少数域名(10.1M)。

这道壁垒位于第 3 → 4 阶段:其他每一步都只是一行 DNS 编辑,而这一步意味着在不突破 10-lookup limit 的前提下,枚举出每一个以你的名义发信的系统。这正是互联网止步于软失败的原因。

解读数据

检查你自己的域名

检查你的域名——免费,30 秒 →

查看修复指南:如何修复 SPF → · 仅汇总数据。数据在欧盟境内存储与处理。