Defaults.Exposed › Доклади
Публикуването на SPF не е достатъчно: Фалшивото усещане за сигурност на имейлите (2026)
Публикувано 2026-06-29
Данни към 2026-06-29 · методология v7. Обобщени данни от преброяването, обединяващи проверките за всеки домейн в 261 милиона оценени домейна. „Прилагащ” = DMARC политика
quarantineилиreject. Вижте как оценяваме.
Част от стълба за DMARC — приемане на DMARC, зрялост и класации, измерени в цялото преброяване.
Най-опасното място в сигурността на имейлите е да се чувствате защитени. 32.4% от домейните публикуват SPF, но изобщо нямат DMARC — а 45.7% имат SPF, неподкрепен от прилагане. Тези собственици са направили нещо, видели са „SPF: конфигуриран” и са спрели. Но SPF сам по себе си не спира фалшифицирането на видимия адрес „От” — само прилаганият DMARC го прави. Към 2026-06-29, само 3.87% от домейните са напълно защитени по имейл.
Пропастта между „конфигуриран” и „защитен”
SPF проверява кои сървъри могат да изпращат за вас. Той не управлява адреса „От”, виждан от човека, и не казва на получателите какво да правят при провал. Това е задачата на DMARC. Така SPF без прилагаща DMARC политика е катинар без врата зад него:
| Състояние | Дял от домейните | Действително защитени? |
|---|---|---|
| SPF публикуван, без DMARC запис изобщо | 32.4% | Не |
| SPF публикуван, DMARC не прилага | 45.7% | Не |
| Напълно защитен по имейл (SPF + DKIM + прилаган DMARC) | 3.87% | Да |
Прочетете отново средния ред: 45.7% от всички домейни имат SPF без прилагане — почти мнозинство от интернет в зоната на фалшивата сигурност. За целите на атакуващия, те са фалшифицируеми — и 89.4% от домейните изобщо са такива.
Най-лошата версия: поща вътре, без охрана на вратата
Нещата стават по-остри при домейни, действително получаващи имейли. 42.7% от домейните приемат поща (имат MX записи), но изобщо нямат работещо удостоверяване на имейли — без SPF прилагане, без DMARC. Това са живи, използвани домейни, чиито собственици изпращат и получават всеки ден, напълно представими. Активността е точно това, което ги прави привлекателни цели за измами с фактури и измами с доставчици.
Защо „имаме SPF” стана капан
SPF е по-стар, по-прост и първото нещо, споменато в повечето ръководства за настройка — затова е кутията, която се отмята. DMARC дойде по-късно, звучи по-напреднало и изисква обмислена прогресия към прилагане. Резултатът е огромна популация, приела стъпка едно и никога не направила стъпка две, продължавайки да вярва, че работата е свършена. Преброяването прави мащаба на това погрешно схващане видим за първи път: 32.4% с SPF и без DMARC изобщо.
Как всъщност да се защитите
- Запазете SPF, но не разчитайте само на него. (Поправете SPF.)
- Добавете DKIM, за да е подписана пощата ви. (Поправете DKIM.)
- Публикувайте DMARC и го преместете към прилагане (
p=none→quarantine→reject). Това е стъпката, преобразуваща „конфигуриран” в „защитен.” (Поправете DMARC.)
Често задавани въпроси
Достатъчен ли е SPF, за да спре фалшифицирането на имейли? Не. SPF не защитава видимия адрес „От” и не казва на получателите да отхвърлят фалшификати — само прилагаща DMARC политика прави това. 45.7% от домейните имат SPF без това прилагане.
Имам SPF запис — защитен ли съм?
Не само с него. Защитени сте, когато SPF и DKIM са на място и са подкрепени от DMARC, зadadен на quarantine или reject. Само 3.87% от домейните достигат и трите.
Какъв дял от домейните все още могат да бъдат представени? 89.4% — защото им липсва прилагащ DMARC, независимо дали публикуват SPF.
Защо наличието на поща (MX) без удостоверяване е особено рисковано? 42.7% от домейните активно изпращат и получават имейли, но нямат работещо удостоверяване — живи, доверени домейни, чието задаване може всеки да фалшифицира, което е точно това, което измамниците търсят.
Проверете дали действително сте защитени
„Имаме SPF” не е същото като защитен. Проверете домейна си безплатно и частно — вижте дали имейлът ви все още може да бъде фалшифициран.
Проверете вашия домейн → · Поправете DMARC → · Оценката за излагане на домейни → · p=none не е защита → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.