Defaults.Exposed

Defaults.Exposed › Zprávy

SPF nestačí: 119 milionů domén, které nikdy nevynucují

Publikováno 2026-07-03 · aktualizováno 2026-07-03

Údaje ke dni 2026-06-29 · metodika v7. Data z censu spojující kontroly na doménu napříč 261 miliony ohodnocených domén. „Vynucuje“ = DMARC politika quarantine nebo reject; „plně chráněno“ = SPF i DKIM jsou nastavené a k tomu vynucující DMARC — kompletní triáda e-mailové autentizace. Všechny údaje jsou agregované — nikdy nepublikujeme známku jednotlivé firmy.

Počet: kolik domén se spoléhá jen na SPF

Samotné SPF nestačí k zastavení vydávání se za cizí e-mail — a cenzus teď dokáže spočítat, kolik domén se na něj přesto spoléhá: 119,212,005 (119 milionů) publikuje SPF, ale nikdy nevynucuje DMARC. To je 85.8 % ze všech domén, které si vůbec daly tu práci SPF nastavit. Doprovodný článek SPF bez DMARC vysvětluje mechanismus — proč SPF neumí ochránit adresu „From“, kterou člověk skutečně vidí; tento článek měří populaci — kolik domén tato mezera vystavuje riziku a jaký má vystavení tvar.

Stručně řečeno: nastavení SPF je nejběžnějším aktem e-mailové bezpečnosti na internetu, a pro drtivou většinu domén, které to udělaly, je zároveň i posledním.

Tři populace

139 milionů domén — 138,911,937 z nich — publikuje SPF záznam. Rozdělené podle toho, co za ním stojí:

PopulaceDoményPodíl publikujících SPF
SPF publikováno, žádný DMARC záznam vůbec84,638,43060.9 %
SPF publikováno, DMARC přítomen, ale nikdy nevynucován (nadmnožina, zahrnuje řádek výše)119,212,00585.8 %
SPF + DKIM, podepřené vynucujícím DMARC10,092,481

Řádky nedávají v součtu celkový počet SPF: zbytek jsou publikující SPF, jejichž DMARC sice vynucuje, ale jejichž DKIM není plně nastaveno — vynucují, a přesto nedosahují kompletní triády, kterou počítá spodní řádek.

Prostřední řádek je titulkem: zhruba 119 milionů domén odvedlo práci deklarace svých legitimních odesílatelů a pak nikdy neřeklo světovým poštovním schránkám, aby podle toho jednaly. A spodní řádek je pointou: napříč všemi 261 miliony ohodnocených domén je jen 3.87 % — asi 10 milionů — plně chráněno pro e-mail. Plná ochrana není technicky vysoká laťka; je to prostě cíl cesty, kterou 119 milionů domén začalo a zastavilo.

Proč je počet tak nevyvážený

SPF je místem, kde začíná každý návod k nastavení, kde končí uvítací proces většiny poštovních poskytovatelů, a co většina compliance checklistů skutečně testuje. Vytváří viditelný artefakt — TXT záznam — a zelené zaškrtnutí v jakémkoli nástroji, který to zkontroloval. Vynucovaný DMARC přináší opačnou zkušenost: vyžaduje postup (publikovat, pozorovat, identifikovat odesílatele, pak vynucovat) a jeho odměna je neviditelná — podvržená pošta, která tiše přestane přicházet.

Internet se tedy optimalizoval na zaškrtnutí. Cenzus ukazuje, jak to vypadá ve velkém: 85 milionů domén (84,638,430) má SPF a žádný DMARC záznam jakéhokoli druhu — ani zástupný p=none. Tito majitelé nejsou líní; řídili se pokyny, které dostali, a pokyny skončily příliš brzy.

Co zde „pokryto“ vlastně znamená

Důsledek, ne strašení: doména se SPF a bez vynucujícího DMARC se stále může stát terčem vydávání se za ni na jediném místě, kam se lidé dívají — na viditelné řádce „From“. SPF umožňuje přijímajícím serverům ověřit, které stroje smějí odesílat jménem envelope domény, ale bez DMARC neexistuje žádný požadavek, aby viditelný odesílatel odpovídal čemukoli, co SPF zkontrolovalo, a žádný pokyn odmítnout poštu, která selže. Podvržená faktura, falešný reset hesla, přesměrování platby dodavateli — vše zůstává doručitelné vašim zákazníkům a dodavatelům pod vaším jménem, nehledě na SPF záznam.

V šesti fázích zralosti DMARC uvízlo těchto 119 milionů domén ve fázích 1–3 — podlaha je postavena, nebo částečně postavena, a dveře nebyly nikdy osazeny. Vzdálenost odtud k ochraně je dobře pochopena a většinou procedurální; co tento cenzus přidává, je poznání, že ji téměř nikdo neujde.

Pokud je vaše doména jednou z 119 milionů

  1. Ponechte SPF — je to předpoklad, ne chyba. (Opravit SPF →.)
  2. Přidejte DKIM, aby vaše pošta byla nejen zdrojově ověřená, ale i podepsaná. (Opravit DKIM →.)
  3. Publikujte DMARC s reportingem, pak vynucujte — nejprve p=none s rua=, identifikujte každého legitimního odesílatele, pak přejděte na quarantine a reject. To je krok, který mění „nakonfigurováno“ na „chráněno“. (Opravit DMARC →.)

Často kladené otázky

Stačí SPF k ochraně domény před spoofingem? Ne. SPF ověřuje odesílající servery vůči envelope doméně; nekontroluje viditelnou adresu „From“ ani neříká příjemcům, aby selhání odmítli. Obojí dělá jedině vynucující DMARC politika — a 119,212,005 domén publikuje SPF bez ní.

Kolik domén má SPF, ale žádný DMARC vůbec? 84,638,430 — 60.9 % všech publikujících SPF nemá žádný DMARC záznam jakéhokoli druhu, dokonce ani monitorovací režim.

Kolik domén je plně chráněno? 10,092,481 — 3.87 % z 261 milionů ohodnocených domén kombinuje SPF a DKIM s DMARC politikou quarantine nebo reject.

Pomáhá aspoň mít SPF? Ano — je základem, vůči kterému DMARC vyhodnocuje, a zlepšuje doručitelnost vaší legitimní pošty. Jen samo o sobě nic nechrání; je to krok jedna ze tří a cenzus ukazuje, že většina internetu ho brala jako celé schodiště.

Zjistěte, ve které populaci je vaše doména

„Nastavili jsme SPF“ popisuje 139 milionů domén; „jsme chráněni“ popisuje 10 milionů. Zjistit, kterou z nich jste, zabere minutu, soukromě a zdarma — podívejte se, kterými z 34 kontrol projdete a jak opravit ty, kterými neprojdete.

Zkontrolujte svou doménu → · Šest fází zralosti DMARC → · Pilíř DMARC → · Pouze agregovaná data. Data ukládána a zpracovávána v EU.