Defaults.Exposed › 報告
SPF 採用成熟度模型(SPFAMM):SPF 的六個階段(2026)
發布於 2026-07-03
數據截至 2026-06-29 · 方法論 v7。 本參考模型由一項對 261 百萬個已評級域名的週期性普查支撐;每一版都會對同一批域名重新測量,因此這些數字可以隨時間追蹤。所有數字均為聚合數據——我們從不公佈任何單個企業的記錄。
整個互聯網處於哪個階段?
六個階段中的第 2.4 階段。在 261 百萬個域名中測量,普通域名尚未建成一道有效的 SPF 圍欄——而整個互聯網在 SPF 強度上的得分為 100 分中的 29 分。 發佈 SPF 是最常見的電子郵件安全行為(53.21% 的域名都這麼做),然而其中大多數記錄都止步於一種仍然要求收件方照樣投遞偽造郵件的設置。
問題不在於採用率——而在於大多數成熟度指導止步於「我們發佈了 SPF」,仿佛記錄本身就是成就。一條 SPF 記錄可以授權整個互聯網、不表達任何意見、悄悄使自己失效,或者永遠停留在 softfail,因為收緊它意味著沒人排期去做的工作。一個有用的模型會為其中每一種狀態命名。這個模型做到了:SPF 採用成熟度模型——SPFAMM,六個階段,每個階段一步,還有一個你可以引用的名字。它是 DMARC 成熟度六個階段 的 SPF 姊妹篇。
SPF 成熟度的六個階段是什麼?
261 百萬個已評級域名中的每一個都恰好處於第 1 到第 5 階段之一,而這五個群體的總和精確等於普查總數;第 6 階段是計入第 5 階段之內的加固子集。正是這一點使 SPFAMM 成為一項測量,而不是一張海報。
| 階段 | 名稱 | 域名數 | 佔比 |
|---|---|---|---|
| 1 | 無保護 | 121,145,609 | 46.4% |
| 2 | 寬鬆或損壞 | 7,798,366 | 3.0% |
| 3 | 軟圍欄 | 70,368,600 | 27.0% |
| 4 | 嚴格 | 42,514,532 | 16.3% |
| 5 | 對齊 | 19,259,125 | 7.4% |
| 6 | 加固 | 10,092,481 | 3.87% |
(第 6 階段是第 5 階段對齊域名中的加固子集,因此第 1 到第 5 階段劃分了整個普查,而第 6 階段位於第 5 階段之內。)
第 1 階段——無保護。 沒有 v=spf1 記錄。收件方不檢查任何東西;在 SPF 這一環上偽造該域名很容易。向上一步: 發佈一條 v=spf1 記錄,列出你真實的發件方,並以 fail 限定符結尾。
第 2 階段——寬鬆或損壞。 記錄存在,但什麼也不保護。這個階段收納了那些沒有牙齒的結尾——?all 中立(3.0% 的發佈者)以及 +all 歡迎墊——連同那些損壞的記錄:多條 v=spf1 記錄(標準會將其完全作廢),以及沒有可用結尾的殘缺記錄。有一個例外:大約 2.1 百萬條記錄以 redirect= 結尾,這是有效的委派——它們真正的策略位於目標處,我們僅僅因為其自身記錄不帶任何裁決而將它們歸入此處。向上一步: 一條記錄,一個真實結尾——~all 或 -all。
第 3 階段——軟圍欄。 記錄以 ~all(softfail)結尾,背後沒有任何東西執行——70.4 百萬個域名,是所有已發佈 SPF 階段中人數最多的群體。Softfail 是一道真正的圍欄,卻帶著一扇沒上鎖的門:它告訴收件方「來自別處的郵件很可能是偽造的」,卻又請他們照樣投遞。向上一步: 翻越這堵牆——把每一個發件方都算清楚,然後選擇向上的任一條路線(見下文)。
第 4 階段——嚴格。 記錄以 -all 結尾:42.5 百萬個域名發佈了一個直接的「拒絕其他所有人」,但背後還沒有 DMARC 執行。我們自己的測量現在量化出一個誠實的告誡:一條 超出 10 次查詢上限 的 -all 記錄,無論看起來多嚴格都是無效的——互聯網上的 -all 記錄中至少有 112,215 條處於這種狀態。向上一步: 在記錄背後放一條強制執行的 DMARC 策略,讓失敗在各處都得到處置。
第 5 階段——對齊。 SPF——無論軟還是嚴格——位於 DMARC p=quarantine 或 p=reject 的背後。這是仿冒你確切域名的行為真正在每一家主流郵箱提供商處停下的階段:19.3 百萬個域名,其中 7.1 百萬個將 ~all 與強制執行配對(這是 Google 發件方指南推薦的模式),12.1 百萬個將 -all 與之配對。向上一步: 加上 DKIM 並持續關注——記錄會腐壞。
第 6 階段——加固。 SPF 加 DKIM 加強制執行的 DMARC——完全受保護的集合,10,092,481 個域名,佔互聯網的 3.87%——再加上監控漂移的自律:include: 鏈會變化、提供商會遷移 IP、有人接入了一個以你名義發信的新工具。向上一步: 留在這裡。這是一種日常實踐,不是一枚徽章。
無郵件通道。 一個不發郵件的域名,只需一次編輯就能躍升至頂端:SPF
-all加 DMARCp=reject。沒有合法郵件需要保護,就意味著沒有牆需要翻越——而它關閉了最常見的冒充途徑之一。
為什麼互聯網會卡在第 3 階段?
因為幾乎所有其他步驟都是一次小小的 DNS 編輯,而走出第 3 階段卻是活兒:枚舉每一個合法地以你名義發信的系統——郵箱提供商、通訊平台、CRM、開票工具、市場部去年春天註冊的那個東西——並把它們塞進一條記錄裡,還不能 撐爆 10 次查詢的預算。這就是那堵牆。~all 是不必做這件事就能夠到的最後一級台階,這就是為什麼 70.4 百萬個域名停在那裡。
從牆頂出發有兩條向上的路線,兩條都通向第 5 階段:
- 收緊到
-all(經由第 4 階段)——在記錄本身裡給出一個堅定的「不」。關於何時這是正確的選擇,見~all對比-all。 - 保留
~all並用 DMARCp=reject強制執行——這是 Google 的指南和當今大多數可達性實踐如今推薦的路線,因為它在評估 DMARC 的收件方處提供同等保護,又不會退回轉發的郵件。
普查顯示這兩條路線極少被走完:在 77.5 百萬條 softfail 記錄中,只有 7.1 百萬條——大約每 11 條中有 1 條——背後有強制執行。
SPF 強度得分是如何計算的?
很簡單,而且我們保持權重恆定,使得分可以逐月比較:背後有東西強制執行的域名(第 5 至第 6 階段)得滿分,有一道無人處置的真實圍欄(第 3 至第 4 階段)得半分,缺失、寬鬆或損壞的記錄得零分。 在這個尺度上,截至 2026-06-29,互聯網得分為 29/100。將近一半的域名貢獻為零,因為它們根本什麼都沒發佈。
我怎樣找出我的域名所處的階段?
第 1 至第 4 階段可以直接從你的 DNS 記錄讀出;第 5 階段還要看你的 DMARC 策略;第 6 階段再加上 DKIM。唯一一眼看不出來的是:一條嚴格的記錄是否暗地裡 超出了查詢上限——這需要解析整條鏈,而我們的檢測器會為你完成。
常見問題
什麼是 SPFAMM? SPF 採用成熟度模型——本頁上的六階段模型:無保護、寬鬆/損壞、軟圍欄、嚴格、對齊、加固。每個域名所處的階段都可以從其 DNS 計算得出:第 1 至第 5 階段精確地劃分了這 261 百萬個域名的普查,而第 6 階段是第 5 階段之內的加固子集。
大多數域名處於哪個階段? 第 1 階段——46.4% 的域名根本沒有發佈 SPF。在確實發佈了的域名中,第 3 階段(無強制執行的 softfail)是最常見的停留處,有 70.4 百萬個域名。按域名數加權的平均值是第 2.4 階段。
~all softfail 夠用嗎?
只有在背後配一條強制執行的 DMARC 策略時才夠——那種配對是第 5 階段,也是 Google 發件方指南推薦的模式。單獨來看它是第 3 階段:真實的圍欄,沒上鎖的門。完整的對比見 ~all 對比 -all。
我必須做到 -all 才算安全嗎?
不必。第 4 階段是兩條路線之一,不是一項要求——保留 ~all 並用 DMARC p=reject 強制執行,在評估 DMARC 的收件方處能達到同樣的保護。真正必需的是那堵牆:在任何東西開始強制執行之前,先弄清每一個發件方。
有多少域名走完了全部六個階段? 10,092,481 個——佔互聯網的 3.87%——同時具備 SPF、DKIM 和一條強制執行的 DMARC 策略。每一次階段躍遷都是免費的;細節見 受保護的少數。
檢查你的域名處於什麼位置
你的域名恰好處於這六個階段之一,而下一步在 30 秒內就能知曉——免費,而且這道階梯上的每一處修復都是一次 DNS 更改,不是一筆購買。
檢查你的域名 → · 修復 SPF → · ~all 對比 -all → · SPF PermError 報告 → · DMARC 成熟度的六個階段 → · 僅聚合數據。數據在歐盟境內存儲和處理。