Defaults.Exposed › SPF
SPF:採用率、強度與可偽造性差距
數據截至 2026-06-29 · 方法論 v7 · 僅彙總數據
138.9 百萬個網域發布了 SPF 記錄——但發布並不等於保護。 在我們的 100 分制 SPF 強度評分中,網際網路整體得分為 29,平均成熟度為 6 個階段中的第 2.39 階段。大多數記錄爬升到「或許」這一檔便止步不前。
只有在嚴格結尾(-all)時,或當強制執行的 DMARC 策略對軟失敗採取行動時,SPF 才會拒絕一次偽造。55.8% 的記錄以 ~all(軟失敗)結尾;僅有 39.3% 以 -all 結尾。這一差距——已發布但未強制執行——是電子郵件安全領域中規模最大的群體。
SPF 採用成熟度模型(SPFAMM)
六個階段,每次前進一步,在第 3 → 4 階段之間橫亙著一道需要深入排查的壁壘。正如 DAMM 衡量 DMARC 的進程,SPFAMM 衡量 SPF 的進程:從沒有允許列表,穿過徒有其表的中間地帶,直到形成一條 DMARC 可以據以行動的嚴格記錄。
- Stage 1 — 無:沒有 SPF 記錄——占所有已評分網域的 46%(121.1M)。
- Stage 2 — 損壞/寬鬆:存在多條記錄、
+all、中性結尾或沒有終止符(7.8M)。 - Stage 3 — 軟失敗:以
~all結尾,卻沒有任何機制強制執行——最常見的停留之處(70.4M)。 - Stage 4 — 嚴格:以
-all結尾,解析無誤,且在 10-lookup limit 之內(42.5M)。 - Stage 5 — 對齊:嚴格或軟失敗,且背後有一條強制執行的 DMARC 策略(19.3M)。
- Stage 6 — 全面保護:既對齊又強制執行的少數網域(10.1M)。
這道壁壘位於第 3 → 4 階段:其他每一步都只是一行 DNS 編輯,而這一步意味著在不突破 10-lookup limit 的前提下,列舉出每一個以你的名義發信的系統。這正是網際網路止步於軟失敗的原因。
解讀數據
- SPF 採用成熟度模型(SPFAMM)
SPF 的 6 個階段,以及位於第 3→4 階段、讓網際網路大多數網域止步的那道排查壁壘。 - ~all 對比 -all:139M 條記錄如何選擇
軟失敗是最常見的結尾:55.8% 以 ~all 結尾(「可能是假的——但仍然投遞」),而 39.3% 以嚴格的 -all 結尾。 - SPF PermError 報告
797,263 個網域因越過 10-lookup limit 而悄然破壞了自己的 SPF——比表面統計所顯示的多出 100 倍。 - 兩條 SPF 記錄 = 沒有記錄
1,013,416 個網域發布了兩條或更多 SPF 記錄——規則會使它們全部失效。 - ptr 陷阱
自 2014 年起便不再推薦使用的一種機制,仍出現在 950,631 條記錄中。 - +all 地圖
36,015 個網域發布了 +all——等於公開邀請任何人以它們的名義發信。 - 哪家郵件服務商提供最強的 SPF 預設配置?
一份涵蓋 15 家服務商的榜單,比較嚴格 SPF 與強制執行率——你的服務商決定了你的預設配置。 - 電子郵件可偽造性指數
按 TLD 和國家/地區統計,有多少網域可被任何人偽造。
檢查你自己的網域
查看修復指南:如何修復 SPF → · 僅彙總數據。數據在歐盟境內存儲與處理。