Defaults.Exposed › Zprávy
Zveřejnit SPF nestačí: Falešný pocit bezpečí e-mailu (2026)
Publikováno 2026-06-29
Údaje k 2026-06-29 · metodika v7. Agregovaná data sčítání spojující kontroly podle domény napříč 261 miliony ohodnocených domén. „Vynucující” = zásada DMARC
quarantineneboreject. Viz jak hodnotíme.
Nejnebezpečnější místo v zabezpečení e-mailu je cítit se chráněn. 32.4% domén publikuje SPF, ale nemá vůbec žádné DMARC — a 45.7% má SPF, které není podepřeno vynucováním. Tito vlastníci něco udělali, uviděli „SPF: nakonfigurováno” a skončili. Ale samotné SPF nikomu nezabrání zfalšovat vaši viditelnou adresu „Od” — to dokáže jen vynucené DMARC. K 2026-06-29 je jen 3.87% domén plně e-mailově chráněno.
Propast mezi „nakonfigurováno” a „chráněno”
SPF kontroluje, které servery smí odesílat vaším jménem. Neřídí adresu „Od”, kterou člověk skutečně vidí, a neříká příjemcům, co dělat při selhání. To je úkol DMARC. Takže SPF bez vynucující zásady DMARC je zámek bez dveří za ním:
| Stav | Podíl domén | Skutečně chráněno? |
|---|---|---|
| SPF publikováno, vůbec žádný záznam DMARC | 32.4% | Ne |
| SPF publikováno, DMARC nevynucující | 45.7% | Ne |
| Plně e-mailově chráněno (SPF + vynucené DMARC) | 3.87% | Ano |
Přečtěte si prostřední řádek znovu: 45.7% všech domén má SPF, ale žádné vynucování — téměř většina internetu sedící v zóně falešného bezpečí. Pro účely útočníka jsou zfalšovatelné — a 89.4% domén celkově je.
Nejhorší verze: pošta dovnitř, u dveří žádná stráž
Pro domény, které skutečně přijímají e-mail, se to vyostřuje. 42.7% domén přijímá poštu (mají záznamy MX), ale nemá vůbec žádné funkční ověřování e-mailu — žádné vynucování SPF, žádné DMARC. Jsou to živé, používané domény, jejichž vlastníci každý den odesílají a přijímají, plně napodobitelné. Právě tato aktivita z nich dělá lákavé cíle pro fakturační podvody a podvody s dodavateli.
Proč se „máme SPF” stalo pastí
SPF je starší, jednodušší a první věc, kterou většina návodů k nastavení zmíní — takže je to ten zaškrtnutý čtvereček. DMARC přišel později, zní pokročileji a vyžaduje promyšlený postup k vynucování. Výsledkem je obrovská populace, která přijala krok jedna a nikdy neudělala krok dva, a pak dál věřila, že práce je hotová. Sčítání poprvé zviditelňuje rozsah tohoto omylu: 32.4% se SPF a vůbec žádným DMARC.
Jak se skutečně chránit
- Ponechte si SPF, ale nespoléhejte se jen na něj. (Opravit SPF.)
- Přidejte DKIM, aby byla vaše pošta podepsaná. (Opravit DKIM.)
- Publikujte DMARC a přejděte k vynucování (
p=none→quarantine→reject). To je krok, který „nakonfigurováno” mění na „chráněno”. (Opravit DMARC.)
Často kladené dotazy
Stačí SPF k zastavení podvržení e-mailu? Ne. SPF nechrání viditelnou adresu „Od” ani neříká příjemcům, aby odmítali padělky — to dělá jen vynucující zásada DMARC. 45.7% domén má SPF bez tohoto vynucování.
Mám záznam SPF — jsem chráněn?
Sám o sobě ne. Chráněni jste jen tehdy, když je SPF (a ideálně DKIM) podepřeno DMARC nastaveným na quarantine nebo reject. Toho dosáhne jen 3.87% domén.
Jaký podíl domén lze stále napodobit? 89.4% — protože jim chybí vynucující DMARC, bez ohledu na to, zda publikují SPF.
Proč je mít poštu (MX) bez ověřování obzvlášť riskantní? 42.7% domén aktivně odesílá a přijímá e-mail, ale nemá funkční ověřování — živé, důvěryhodné domény, které může kdokoli zfalšovat, což je přesně to, co podvodníci hledají.
Zkontrolujte, zda jste skutečně chráněni
„Máme SPF” není totéž co chráněni. Zkontrolujte svou doménu zdarma a soukromě — zjistěte, zda lze váš e-mail stále zfalšovat.
Zkontrolujte svou doménu → · Opravit DMARC → · Skóre expozice domény → · p=none není ochrana → · Pouze agregovaná data. Data uložena a zpracovávána v EU.