Defaults.Exposed

Defaults.Exposed › Доклади

Публикуването на SPF не е достатъчно: Фалшивото усещане за сигурност на имейлите (2026)

Публикувано 2026-06-29

Данни към 2026-06-29 · методология v7. Обобщени данни от преброяването, обединяващи проверките за всеки домейн в 261 милиона оценени домейна. „Прилагащ” = DMARC политика quarantine или reject. Вижте как оценяваме.

Част от стълба за DMARC — приемане на DMARC, зрялост и класации, измерени в цялото преброяване.

Най-опасното място в сигурността на имейлите е да се чувствате защитени. 32.4% от домейните публикуват SPF, но изобщо нямат DMARC — а 45.7% имат SPF, неподкрепен от прилагане. Тези собственици са направили нещо, видели са „SPF: конфигуриран” и са спрели. Но SPF сам по себе си не спира фалшифицирането на видимия адрес „От” — само прилаганият DMARC го прави. Към 2026-06-29, само 3.87% от домейните са напълно защитени по имейл.

Пропастта между „конфигуриран” и „защитен”

SPF проверява кои сървъри могат да изпращат за вас. Той не управлява адреса „От”, виждан от човека, и не казва на получателите какво да правят при провал. Това е задачата на DMARC. Така SPF без прилагаща DMARC политика е катинар без врата зад него:

СъстояниеДял от домейнитеДействително защитени?
SPF публикуван, без DMARC запис изобщо32.4%Не
SPF публикуван, DMARC не прилага45.7%Не
Напълно защитен по имейл (SPF + DKIM + прилаган DMARC)3.87%Да

Прочетете отново средния ред: 45.7% от всички домейни имат SPF без прилагане — почти мнозинство от интернет в зоната на фалшивата сигурност. За целите на атакуващия, те са фалшифицируеми — и 89.4% от домейните изобщо са такива.

Най-лошата версия: поща вътре, без охрана на вратата

Нещата стават по-остри при домейни, действително получаващи имейли. 42.7% от домейните приемат поща (имат MX записи), но изобщо нямат работещо удостоверяване на имейли — без SPF прилагане, без DMARC. Това са живи, използвани домейни, чиито собственици изпращат и получават всеки ден, напълно представими. Активността е точно това, което ги прави привлекателни цели за измами с фактури и измами с доставчици.

Защо „имаме SPF” стана капан

SPF е по-стар, по-прост и първото нещо, споменато в повечето ръководства за настройка — затова е кутията, която се отмята. DMARC дойде по-късно, звучи по-напреднало и изисква обмислена прогресия към прилагане. Резултатът е огромна популация, приела стъпка едно и никога не направила стъпка две, продължавайки да вярва, че работата е свършена. Преброяването прави мащаба на това погрешно схващане видим за първи път: 32.4% с SPF и без DMARC изобщо.

Как всъщност да се защитите

  1. Запазете SPF, но не разчитайте само на него. (Поправете SPF.)
  2. Добавете DKIM, за да е подписана пощата ви. (Поправете DKIM.)
  3. Публикувайте DMARC и го преместете към прилагане (p=nonequarantinereject). Това е стъпката, преобразуваща „конфигуриран” в „защитен.” (Поправете DMARC.)

Често задавани въпроси

Достатъчен ли е SPF, за да спре фалшифицирането на имейли? Не. SPF не защитава видимия адрес „От” и не казва на получателите да отхвърлят фалшификати — само прилагаща DMARC политика прави това. 45.7% от домейните имат SPF без това прилагане.

Имам SPF запис — защитен ли съм? Не само с него. Защитени сте, когато SPF и DKIM са на място и са подкрепени от DMARC, зadadен на quarantine или reject. Само 3.87% от домейните достигат и трите.

Какъв дял от домейните все още могат да бъдат представени? 89.4% — защото им липсва прилагащ DMARC, независимо дали публикуват SPF.

Защо наличието на поща (MX) без удостоверяване е особено рисковано? 42.7% от домейните активно изпращат и получават имейли, но нямат работещо удостоверяване — живи, доверени домейни, чието задаване може всеки да фалшифицира, което е точно това, което измамниците търсят.

Проверете дали действително сте защитени

„Имаме SPF” не е същото като защитен. Проверете домейна си безплатно и частно — вижте дали имейлът ви все още може да бъде фалшифициран.

Проверете вашия домейн → · Поправете DMARC → · Оценката за излагане на домейни → · p=none не е защита → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.