Defaults.Exposed

Defaults.Exposed › Zprávy

Zveřejnit SPF nestačí: Falešný pocit bezpečí e-mailu (2026)

Publikováno 2026-06-29

Údaje k 2026-06-29 · metodika v7. Agregovaná data sčítání spojující kontroly podle domény napříč 261 miliony ohodnocených domén. „Vynucující” = zásada DMARC quarantine nebo reject. Viz jak hodnotíme.

Nejnebezpečnější místo v zabezpečení e-mailu je cítit se chráněn. 32.4% domén publikuje SPF, ale nemá vůbec žádné DMARC — a 45.7% má SPF, které není podepřeno vynucováním. Tito vlastníci něco udělali, uviděli „SPF: nakonfigurováno” a skončili. Ale samotné SPF nikomu nezabrání zfalšovat vaši viditelnou adresu „Od” — to dokáže jen vynucené DMARC. K 2026-06-29 je jen 3.87% domén plně e-mailově chráněno.

Propast mezi „nakonfigurováno” a „chráněno”

SPF kontroluje, které servery smí odesílat vaším jménem. Neřídí adresu „Od”, kterou člověk skutečně vidí, a neříká příjemcům, co dělat při selhání. To je úkol DMARC. Takže SPF bez vynucující zásady DMARC je zámek bez dveří za ním:

StavPodíl doménSkutečně chráněno?
SPF publikováno, vůbec žádný záznam DMARC32.4%Ne
SPF publikováno, DMARC nevynucující45.7%Ne
Plně e-mailově chráněno (SPF + vynucené DMARC)3.87%Ano

Přečtěte si prostřední řádek znovu: 45.7% všech domén má SPF, ale žádné vynucování — téměř většina internetu sedící v zóně falešného bezpečí. Pro účely útočníka jsou zfalšovatelné — a 89.4% domén celkově je.

Nejhorší verze: pošta dovnitř, u dveří žádná stráž

Pro domény, které skutečně přijímají e-mail, se to vyostřuje. 42.7% domén přijímá poštu (mají záznamy MX), ale nemá vůbec žádné funkční ověřování e-mailu — žádné vynucování SPF, žádné DMARC. Jsou to živé, používané domény, jejichž vlastníci každý den odesílají a přijímají, plně napodobitelné. Právě tato aktivita z nich dělá lákavé cíle pro fakturační podvody a podvody s dodavateli.

Proč se „máme SPF” stalo pastí

SPF je starší, jednodušší a první věc, kterou většina návodů k nastavení zmíní — takže je to ten zaškrtnutý čtvereček. DMARC přišel později, zní pokročileji a vyžaduje promyšlený postup k vynucování. Výsledkem je obrovská populace, která přijala krok jedna a nikdy neudělala krok dva, a pak dál věřila, že práce je hotová. Sčítání poprvé zviditelňuje rozsah tohoto omylu: 32.4% se SPF a vůbec žádným DMARC.

Jak se skutečně chránit

  1. Ponechte si SPF, ale nespoléhejte se jen na něj. (Opravit SPF.)
  2. Přidejte DKIM, aby byla vaše pošta podepsaná. (Opravit DKIM.)
  3. Publikujte DMARC a přejděte k vynucování (p=nonequarantinereject). To je krok, který „nakonfigurováno” mění na „chráněno”. (Opravit DMARC.)

Často kladené dotazy

Stačí SPF k zastavení podvržení e-mailu? Ne. SPF nechrání viditelnou adresu „Od” ani neříká příjemcům, aby odmítali padělky — to dělá jen vynucující zásada DMARC. 45.7% domén má SPF bez tohoto vynucování.

Mám záznam SPF — jsem chráněn? Sám o sobě ne. Chráněni jste jen tehdy, když je SPF (a ideálně DKIM) podepřeno DMARC nastaveným na quarantine nebo reject. Toho dosáhne jen 3.87% domén.

Jaký podíl domén lze stále napodobit? 89.4% — protože jim chybí vynucující DMARC, bez ohledu na to, zda publikují SPF.

Proč je mít poštu (MX) bez ověřování obzvlášť riskantní? 42.7% domén aktivně odesílá a přijímá e-mail, ale nemá funkční ověřování — živé, důvěryhodné domény, které může kdokoli zfalšovat, což je přesně to, co podvodníci hledají.

Zkontrolujte, zda jste skutečně chráněni

„Máme SPF” není totéž co chráněni. Zkontrolujte svou doménu zdarma a soukromě — zjistěte, zda lze váš e-mail stále zfalšovat.

Zkontrolujte svou doménu → · Opravit DMARC → · Skóre expozice domény → · p=none není ochrana → · Pouze agregovaná data. Data uložena a zpracovávána v EU.