Defaults.Exposed › Zprávy
SPF nestačí: 119 milionů domén, které nikdy nevynucují
Publikováno 2026-07-03 · aktualizováno 2026-07-03
Údaje ke dni 2026-06-29 · metodika v7. Data z censu spojující kontroly na doménu napříč 261 miliony ohodnocených domén. „Vynucuje“ = DMARC politika
quarantineneboreject; „plně chráněno“ = SPF i DKIM jsou nastavené a k tomu vynucující DMARC — kompletní triáda e-mailové autentizace. Všechny údaje jsou agregované — nikdy nepublikujeme známku jednotlivé firmy.
Počet: kolik domén se spoléhá jen na SPF
Samotné SPF nestačí k zastavení vydávání se za cizí e-mail — a cenzus teď dokáže spočítat, kolik domén se na něj přesto spoléhá: 119,212,005 (119 milionů) publikuje SPF, ale nikdy nevynucuje DMARC. To je 85.8 % ze všech domén, které si vůbec daly tu práci SPF nastavit. Doprovodný článek SPF bez DMARC vysvětluje mechanismus — proč SPF neumí ochránit adresu „From“, kterou člověk skutečně vidí; tento článek měří populaci — kolik domén tato mezera vystavuje riziku a jaký má vystavení tvar.
Stručně řečeno: nastavení SPF je nejběžnějším aktem e-mailové bezpečnosti na internetu, a pro drtivou většinu domén, které to udělaly, je zároveň i posledním.
Tři populace
139 milionů domén — 138,911,937 z nich — publikuje SPF záznam. Rozdělené podle toho, co za ním stojí:
| Populace | Domény | Podíl publikujících SPF |
|---|---|---|
| SPF publikováno, žádný DMARC záznam vůbec | 84,638,430 | 60.9 % |
| SPF publikováno, DMARC přítomen, ale nikdy nevynucován (nadmnožina, zahrnuje řádek výše) | 119,212,005 | 85.8 % |
| SPF + DKIM, podepřené vynucujícím DMARC | 10,092,481 | — |
Řádky nedávají v součtu celkový počet SPF: zbytek jsou publikující SPF, jejichž DMARC sice vynucuje, ale jejichž DKIM není plně nastaveno — vynucují, a přesto nedosahují kompletní triády, kterou počítá spodní řádek.
Prostřední řádek je titulkem: zhruba 119 milionů domén odvedlo práci deklarace svých legitimních odesílatelů a pak nikdy neřeklo světovým poštovním schránkám, aby podle toho jednaly. A spodní řádek je pointou: napříč všemi 261 miliony ohodnocených domén je jen 3.87 % — asi 10 milionů — plně chráněno pro e-mail. Plná ochrana není technicky vysoká laťka; je to prostě cíl cesty, kterou 119 milionů domén začalo a zastavilo.
Proč je počet tak nevyvážený
SPF je místem, kde začíná každý návod k nastavení, kde končí uvítací proces většiny poštovních poskytovatelů, a co většina compliance checklistů skutečně testuje. Vytváří viditelný artefakt — TXT záznam — a zelené zaškrtnutí v jakémkoli nástroji, který to zkontroloval. Vynucovaný DMARC přináší opačnou zkušenost: vyžaduje postup (publikovat, pozorovat, identifikovat odesílatele, pak vynucovat) a jeho odměna je neviditelná — podvržená pošta, která tiše přestane přicházet.
Internet se tedy optimalizoval na zaškrtnutí. Cenzus ukazuje, jak to vypadá ve velkém: 85 milionů domén (84,638,430) má SPF a žádný DMARC záznam jakéhokoli druhu — ani zástupný p=none. Tito majitelé nejsou líní; řídili se pokyny, které dostali, a pokyny skončily příliš brzy.
Co zde „pokryto“ vlastně znamená
Důsledek, ne strašení: doména se SPF a bez vynucujícího DMARC se stále může stát terčem vydávání se za ni na jediném místě, kam se lidé dívají — na viditelné řádce „From“. SPF umožňuje přijímajícím serverům ověřit, které stroje smějí odesílat jménem envelope domény, ale bez DMARC neexistuje žádný požadavek, aby viditelný odesílatel odpovídal čemukoli, co SPF zkontrolovalo, a žádný pokyn odmítnout poštu, která selže. Podvržená faktura, falešný reset hesla, přesměrování platby dodavateli — vše zůstává doručitelné vašim zákazníkům a dodavatelům pod vaším jménem, nehledě na SPF záznam.
V šesti fázích zralosti DMARC uvízlo těchto 119 milionů domén ve fázích 1–3 — podlaha je postavena, nebo částečně postavena, a dveře nebyly nikdy osazeny. Vzdálenost odtud k ochraně je dobře pochopena a většinou procedurální; co tento cenzus přidává, je poznání, že ji téměř nikdo neujde.
Pokud je vaše doména jednou z 119 milionů
- Ponechte SPF — je to předpoklad, ne chyba. (Opravit SPF →.)
- Přidejte DKIM, aby vaše pošta byla nejen zdrojově ověřená, ale i podepsaná. (Opravit DKIM →.)
- Publikujte DMARC s reportingem, pak vynucujte — nejprve
p=nonesrua=, identifikujte každého legitimního odesílatele, pak přejděte naquarantineareject. To je krok, který mění „nakonfigurováno“ na „chráněno“. (Opravit DMARC →.)
Často kladené otázky
Stačí SPF k ochraně domény před spoofingem? Ne. SPF ověřuje odesílající servery vůči envelope doméně; nekontroluje viditelnou adresu „From“ ani neříká příjemcům, aby selhání odmítli. Obojí dělá jedině vynucující DMARC politika — a 119,212,005 domén publikuje SPF bez ní.
Kolik domén má SPF, ale žádný DMARC vůbec? 84,638,430 — 60.9 % všech publikujících SPF nemá žádný DMARC záznam jakéhokoli druhu, dokonce ani monitorovací režim.
Kolik domén je plně chráněno?
10,092,481 — 3.87 % z 261 milionů ohodnocených domén kombinuje SPF a DKIM s DMARC politikou quarantine nebo reject.
Pomáhá aspoň mít SPF? Ano — je základem, vůči kterému DMARC vyhodnocuje, a zlepšuje doručitelnost vaší legitimní pošty. Jen samo o sobě nic nechrání; je to krok jedna ze tří a cenzus ukazuje, že většina internetu ho brala jako celé schodiště.
Zjistěte, ve které populaci je vaše doména
„Nastavili jsme SPF“ popisuje 139 milionů domén; „jsme chráněni“ popisuje 10 milionů. Zjistit, kterou z nich jste, zabere minutu, soukromě a zdarma — podívejte se, kterými z 34 kontrol projdete a jak opravit ty, kterými neprojdete.
Zkontrolujte svou doménu → · Šest fází zralosti DMARC → · Pilíř DMARC → · Pouze agregovaná data. Data ukládána a zpracovávána v EU.