Defaults.Exposed

Defaults.Exposed › 報告

僅有 SPF 還不夠:119 百萬個從不強制執行的域名

發布於 2026-07-03 · 更新 2026-07-03

數據截至 2026-06-29 · 方法論 v7。 普查數據將每個域名的各項檢查跨 261 百萬個已評級域名進行關聯。“強制執行”指 DMARC 策略為 quarantinereject;“完整保護”指同時配置了 SPF 和 DKIM,並且 DMARC 處於強制執行狀態——這構成完整的郵件身份驗證三要素。所有數據均為彙總統計——我們絕不公佈任何單個企業的評級。

清點:有多少域名僅依賴 SPF

僅靠 SPF 不足以阻止郵件冒充——而普查現在能夠清點出有多少域名仍在依賴它:119,212,005 個(119 百萬個)發佈了 SPF,卻從不強制執行 DMARC。 這佔了所有費心配置 SPF 的域名的 85.8%。其姊妹文章 沒有 DMARC 的 SPF 解釋了其機制——為什麼 SPF 無法保護人們真正看到的“發件人”地址;而本文測量的是群體規模——這一缺口讓多少域名暴露在風險之下,以及這份暴露呈現出怎樣的形態。

簡而言之:配置 SPF 是互聯網上最常見的郵件安全舉措,而對於絕大多數這麼做的域名來說,它也是最後一步。

三類群體

139 百萬個域名——其中 138,911,937 個——發佈了 SPF 記錄。按其背後的支撐情況劃分:

群體域名數佔 SPF 發佈者的比例
已發佈 SPF,完全沒有 DMARC 記錄84,638,43060.9%
已發佈 SPF,存在 DMARC 但從不強制執行(超集,包含上一行)119,212,00585.8%
SPF + DKIM,並由強制執行的 DMARC 支撐10,092,481

各行之和並不等於 SPF 總數:其餘部分是這樣的 SPF 發佈者——其 DMARC 確實在強制執行,但 DKIM 尚未完全到位——雖已強制執行,卻仍未達到最後一行所統計的完整三要素。

中間一行是重點:約有 119 百萬個域名做了聲明合法發件方的工作,卻從未告訴世界各地的收件箱去據此行動。而最後一行才是關鍵結論:在全部 261 百萬個已評級域名中,僅有 3.87%——約 10 百萬個——獲得了完整的郵件保護。從技術上講,完整保護並非高門檻;它不過是一段旅程的終點,而這段旅程有 119 百萬個域名開了頭卻又停了下來。

為什麼這個數字如此失衡

SPF 是每份配置指南的起點,是大多數郵件服務商引導流程的終點,也是大多數合規檢查清單真正會核對的項目。它會產生一個可見的產物——一條 TXT 記錄——以及在任何檢測工具裡的一個綠色對勾。強制執行的 DMARC 帶來的體驗恰恰相反:它要求一個漸進過程(發佈、觀察、識別發件方,然後強制執行),而它的回報是無形的——偽造的郵件悄然不再送達。

於是整個互聯網都為那個對勾而優化。普查揭示了這種情況在規模層面的樣貌:85 百萬個域名(84,638,430)有 SPF,卻完全沒有 DMARC 記錄——甚至連一個 p=none 佔位符都沒有。這些所有者並不懶惰;他們遵循了別人給出的指示,而那些指示過早地停止了。

這裡所說的“已覆蓋”究竟意味著什麼

這是後果,而非恐嚇:一個有 SPF 卻沒有強制執行 DMARC 的域名,仍然可以在人們唯一會看的那個地方——可見的“發件人”一行——被冒充。SPF 讓接收服務器能驗證哪些機器可以代表信封域名發送郵件,但如果沒有 DMARC,就沒有任何要求讓可見的發件人與 SPF 所檢查的內容相符,也沒有任何指示去拒收驗證失敗的郵件。偽造的發票、假冒的密碼重置、被篡改的供應商付款轉向——所有這些都仍然能以你的名義送達你的客戶和供應商,儘管 SPF 記錄已經存在。

DMARC 成熟度的六個階段 中,這 119 百萬個域名卡在第 1–3 階段——地基已經建好,或部分建好,但門卻從未安裝。從那裡走到受保護狀態的距離是眾所周知的,而且大多隻是流程性的;這次普查所補充的,是讓我們認識到幾乎沒有人走完這段路。

如果你的域名是這 119 百萬個之一

  1. 保留 SPF——它是前提條件,不是錯誤。(修復 SPF →。)
  2. 添加 DKIM,讓你的郵件不僅有來源,還有簽名。(修復 DKIM →。)
  3. 發佈帶報告的 DMARC,然後強制執行——先用帶 rua=p=none,識別出每一個合法發件方,再轉到 quarantinereject。這一步才是把“已配置”轉化為“受保護”的關鍵。(修復 DMARC →。)

常見問題

SPF 足以保護域名免遭仿冒嗎? 不能。SPF 針對信封域名驗證發送服務器;它既不檢查可見的“發件人”地址,也不告訴接收方去拒收驗證失敗的郵件。只有強制執行的 DMARC 策略能同時做到這兩點——而 119,212,005 個域名發佈了 SPF 卻沒有配置它。

有多少域名有 SPF 但完全沒有 DMARC? 84,638,430 個——在所有 SPF 發佈者中,60.9% 完全沒有任何形式的 DMARC 記錄,連監控模式都沒有。

有多少域名獲得了完整保護? 10,092,481 個——在 261 百萬個已評級域名中,3.87% 同時具備 SPF 和 DKIM,並配有 quarantinereject 的 DMARC 策略。

至少擁有 SPF 有幫助嗎? 有——它是 DMARC 據以評估的基礎,並且能提升你合法郵件的送達率。它只是無法憑一己之力保護任何東西;它是三步中的第一步,而普查顯示互聯網上的大多數域名都把它當成了整段樓梯。

查看你的域名屬於哪一類群體

“我們配置了 SPF”描述的是 139 百萬個域名;“我們受到保護”描述的是 10 百萬個。弄清楚你屬於哪一類只需一分鐘,私密且免費——看看你通過了 34 項檢查中的哪些,以及如何修復沒通過的那些。

檢測你的域名 → · DMARC 成熟度的六個階段 → · DMARC 支柱頁 → · 僅彙總數據。數據在歐盟境內存儲與處理。