Defaults.Exposed

Defaults.Exposed › Rapporter

At offentliggøre SPF er ikke nok: Den falske følelse af e-mailsikkerhed (2026)

Udgivet 2026-06-29

Tal pr. 2026-06-29 · metode v7. Aggregerede folketællingsdata, der samler kontroller pr. domæne på tværs af 261 millioner bedømte domæner. „Håndhævende” = en DMARC-politik på quarantine eller reject. Se hvordan vi bedømmer.

Det farligste sted inden for e-mailsikkerhed er at føle sig beskyttet. 32.4% af domænerne udgiver SPF, men har slet ingen DMARC — og 45.7% har SPF, der ikke understøttes af håndhævelse. Disse ejere gjorde noget, så „SPF: konfigureret” og stoppede. Men SPF alene forhindrer ikke nogen i at forfalske din synlige „Fra”-adresse — det gør kun håndhævet DMARC. Pr. 2026-06-29 er kun 3.87% af domænerne fuldt e-mailbeskyttede.

Kløften mellem „konfigureret” og „beskyttet”

SPF kontrollerer, hvilke servere der må sende på dine vegne. Det styrer ikke den „Fra”-adresse, en person faktisk ser, og det fortæller ikke modtagere, hvad de skal gøre ved fejl. Det er DMARC’s opgave. Så SPF uden en håndhævende DMARC-politik er en lås uden en dør bagved:

TilstandAndel af domænerFaktisk beskyttet?
SPF udgivet, slet ingen DMARC-post32.4%Nej
SPF udgivet, DMARC ikke håndhævende45.7%Nej
Fuldt e-mailbeskyttet (SPF + håndhævet DMARC)3.87%Ja

Læs den midterste række igen: 45.7% af alle domæner har SPF, men ingen håndhævelse — næsten et flertal af internettet siddende i zonen for falsk sikkerhed. Til en angribers formål er de forfalskelige — og 89.4% af domænerne samlet set er det.

Den værste version: post ind, ingen vagt ved døren

Det bliver skarpere for domæner, der rent faktisk modtager e-mail. 42.7% af domænerne tager imod post (de har MX-poster), men har slet ingen fungerende e-mailgodkendelse — ingen SPF-håndhævelse, intet DMARC. Det er aktive domæner i brug, hvis ejere sender og modtager hver dag, fuldt ud mulige at efterligne. Netop aktiviteten er det, der gør dem til attraktive mål for fakturasvindel og leverandørsvindel.

Hvorfor „vi har SPF” blev fælden

SPF er ældre, enklere og det første, de fleste opsætningsguider nævner — så det er feltet, der bliver sat flueben i. DMARC kom senere, lyder mere avanceret og kræver en bevidst progression mod håndhævelse. Resultatet er en kæmpe gruppe, der tog trin et til sig og aldrig tog trin to, og som derefter blev ved med at tro, at arbejdet var gjort. Folketællingen synliggør for første gang omfanget af den misforståelse: 32.4% med SPF og slet intet DMARC.

Sådan bliver du faktisk beskyttet

  1. Behold dit SPF, men stol ikke på det alene. (Ret SPF.)
  2. Tilføj DKIM, så din post bliver signeret. (Ret DKIM.)
  3. Udgiv DMARC og flyt det til håndhævelse (p=nonequarantinereject). Det er trinnet, der omdanner „konfigureret” til „beskyttet”. (Ret DMARC.)

Ofte stillede spørgsmål

Er SPF nok til at stoppe e-mailforfalskning? Nej. SPF beskytter ikke den synlige „Fra”-adresse og fortæller ikke modtagere at afvise forfalskninger — det gør kun en håndhævende DMARC-politik. 45.7% af domænerne har SPF uden den håndhævelse.

Jeg har en SPF-post — er jeg beskyttet? Ikke i sig selv. Du er kun beskyttet, når SPF (og helst DKIM) understøttes af DMARC sat til quarantine eller reject. Kun 3.87% af domænerne når dertil.

Hvor stor en andel af domænerne kan stadig efterlignes? 89.4% — fordi de mangler håndhævende DMARC, uanset om de udgiver SPF eller ej.

Hvorfor er det især risikabelt at have post (MX) uden godkendelse? 42.7% af domænerne sender og modtager aktivt e-mail, men har ingen fungerende godkendelse — aktive, betroede domæner, som enhver kan forfalske, hvilket er præcis, hvad svindlere leder efter.

Tjek, om du faktisk er beskyttet

„Vi har SPF” er ikke det samme som beskyttet. Tjek dit domæne gratis og privat — se, om din e-mail stadig kan forfalskes.

Tjek dit domæne → · Ret DMARC → · Domæneeksponeringsscoren → · p=none er ikke beskyttelse → · Kun aggregerede data. Data lagres og behandles i EU.