Defaults.Exposed

Defaults.Exposed › Αναφορές

Η δημοσίευση SPF δεν αρκεί: Η ψευδής αίσθηση ασφάλειας email (2026)

Δημοσιεύτηκε 2026-06-29

Στοιχεία με ημερομηνία αναφοράς 2026-06-29 · μεθοδολογία v7. Συγκεντρωτικά δεδομένα απογραφής που συνδυάζουν τους ελέγχους ανά τομέα σε 261 εκατομμύρια βαθμολογημένους τομείς. «Επιβάλλει» = μια πολιτική DMARC τύπου quarantine ή reject. Δείτε πώς βαθμολογούμε.

Το πιο επικίνδυνο σημείο στην ασφάλεια του email είναι να νιώθεις προστατευμένος. 32.4% των τομέων δημοσιεύουν SPF αλλά δεν έχουν καθόλου DMARC — και 45.7% έχουν SPF που δεν υποστηρίζεται από επιβολή. Αυτοί οι ιδιοκτήτες έκαναν κάτι, είδαν «SPF: ρυθμίστηκε» και σταμάτησαν. Αλλά το SPF από μόνο του δεν εμποδίζει κάποιον να πλαστογραφήσει την ορατή διεύθυνση «From» σας — μόνο το επιβαλλόμενο DMARC το κάνει. Με ημερομηνία αναφοράς 2026-06-29, μόλις 3.87% των τομέων είναι πλήρως προστατευμένοι ως προς το email.

Το χάσμα μεταξύ «ρυθμίστηκε» και «προστατεύεται»

Το SPF ελέγχει ποιοι διακομιστές μπορούν να στέλνουν εκ μέρους σας. Δεν διέπει τη διεύθυνση «From» που βλέπει στην πραγματικότητα ένα άτομο και δεν λέει στους παραλήπτες τι να κάνουν σε περίπτωση αποτυχίας. Αυτή είναι η δουλειά του DMARC. Έτσι, το SPF χωρίς μια επιβαλλόμενη πολιτική DMARC είναι μια κλειδαριά χωρίς πόρτα πίσω της:

ΚατάστασηΠοσοστό τομέωνΠραγματικά προστατευμένο;
SPF δημοσιευμένο, καθόλου εγγραφή DMARC32.4%Όχι
SPF δημοσιευμένο, DMARC χωρίς επιβολή45.7%Όχι
Πλήρως προστατευμένο ως προς το email (SPF + επιβαλλόμενο DMARC)3.87%Ναι

Διαβάστε ξανά τη μεσαία γραμμή: 45.7% όλων των τομέων έχουν SPF αλλά καμία επιβολή — μια σχεδόν πλειοψηφία του διαδικτύου που βρίσκεται στη ζώνη της ψευδούς ασφάλειας. Για τους σκοπούς ενός επιτιθέμενου, είναι πλαστογραφήσιμοι — και το 89.4% των τομέων συνολικά είναι.

Η χειρότερη εκδοχή: αλληλογραφία μπαίνει, καμία φρουρά στην πόρτα

Γίνεται οξύτερο για τους τομείς που πράγματι λαμβάνουν email. 42.7% των τομέων δέχονται αλληλογραφία (έχουν εγγραφές MX) αλλά δεν έχουν καθόλου λειτουργική ταυτοποίηση email — καμία επιβολή SPF, κανένα DMARC. Πρόκειται για ζωντανούς, εν χρήσει τομείς των οποίων οι ιδιοκτήτες στέλνουν και λαμβάνουν καθημερινά, πλήρως πλαστοπροσωποποιήσιμους. Η δραστηριότητα είναι ακριβώς αυτό που τους καθιστά ελκυστικούς στόχους για απάτη τιμολογίων και απάτες προμηθευτών.

Γιατί το «έχουμε SPF» έγινε η παγίδα

Το SPF είναι παλαιότερο, απλούστερο και το πρώτο πράγμα που αναφέρουν οι περισσότεροι οδηγοί ρύθμισης — οπότε είναι το πλαίσιο που τσεκάρεται. Το DMARC ήρθε αργότερα, ακούγεται πιο προηγμένο και απαιτεί μια σκόπιμη πρόοδο προς την επιβολή. Το αποτέλεσμα είναι ένας τεράστιος πληθυσμός που υιοθέτησε το βήμα ένα και ποτέ δεν έκανε το βήμα δύο, και έπειτα συνέχισε να πιστεύει ότι η δουλειά είχε γίνει. Η απογραφή καθιστά για πρώτη φορά ορατή την κλίμακα αυτής της παρανόησης: 32.4% με SPF και καθόλου DMARC.

Πώς να προστατευτείτε πραγματικά

  1. Κρατήστε το SPF σας, αλλά μην βασίζεστε μόνο σε αυτό. (Διορθώστε το SPF.)
  2. Προσθέστε DKIM ώστε η αλληλογραφία σας να υπογράφεται. (Διορθώστε το DKIM.)
  3. Δημοσιεύστε DMARC και μετακινήστε το σε επιβολή (p=nonequarantinereject). Αυτό είναι το βήμα που μετατρέπει το «ρυθμίστηκε» σε «προστατεύεται». (Διορθώστε το DMARC.)

Συχνές ερωτήσεις

Είναι το SPF αρκετό για να σταματήσει την πλαστογράφηση email; Όχι. Το SPF δεν προστατεύει την ορατή διεύθυνση «From» ούτε λέει στους παραλήπτες να απορρίπτουν τις πλαστογραφήσεις — μόνο μια επιβαλλόμενη πολιτική DMARC το κάνει. 45.7% των τομέων έχουν SPF χωρίς αυτήν την επιβολή.

Έχω μια εγγραφή SPF — είμαι προστατευμένος; Όχι από μόνη της. Είστε προστατευμένοι μόνο όταν το SPF (και ιδανικά το DKIM) υποστηρίζεται από DMARC ρυθμισμένο σε quarantine ή reject. Μόλις το 3.87% των τομέων το φτάνει.

Ποιο ποσοστό τομέων μπορεί ακόμη να υποστεί πλαστοπροσωπία; 89.4% — επειδή τους λείπει επιβαλλόμενο DMARC, ανεξάρτητα από το αν δημοσιεύουν SPF.

Γιατί η ύπαρξη αλληλογραφίας (MX) χωρίς ταυτοποίηση είναι ιδιαίτερα επικίνδυνη; 42.7% των τομέων στέλνουν και λαμβάνουν email ενεργά αλλά δεν έχουν λειτουργική ταυτοποίηση — ζωντανοί, αξιόπιστοι τομείς που οποιοσδήποτε μπορεί να πλαστογραφήσει, που είναι ακριβώς αυτό που ψάχνουν οι απατεώνες.

Ελέγξτε αν είστε πραγματικά προστατευμένοι

Το «έχουμε SPF» δεν είναι το ίδιο με το προστατευμένος. Ελέγξτε τον τομέα σας δωρεάν και ιδιωτικά — δείτε αν το email σας μπορεί ακόμη να πλαστογραφηθεί.

Ελέγξτε τον τομέα σας → · Διορθώστε το DMARC → · Η βαθμολογία έκθεσης τομέα → · Το p=none δεν είναι προστασία → · Μόνο συγκεντρωτικά δεδομένα. Τα δεδομένα αποθηκεύονται και επεξεργάζονται στην ΕΕ.