Defaults.Exposed

Defaults.Exposed › Aruanded

SPF-i avaldamisest ei piisa: petlik e-posti turvatunne (2026)

Avaldatud 2026-06-29

Arvud seisuga 2026-06-29 · metoodika v7. Koondatud loendusandmed, mis ühendavad domeenipõhised kontrollid 261 miljoni hinnatud domeeni lõikes. „Jõustav“ = quarantine või reject tüüpi DMARC-poliitika. Vaata kuidas me hindame.

Kõige ohtlikum koht e-posti turvalisuses on tunda end kaitstuna. 32.4% domeenidest avaldab SPF-i, kuid neil pole üldse DMARC-i — ja 45.7%-l on SPF, mida ei toeta jõustamine. Need omanikud tegid midagi, nägid „SPF: seadistatud“ ja jäid pidama. Kuid SPF üksi ei takista kedagi võltsimast teie nähtavat „From“-aadressi — seda teeb ainult jõustatud DMARC. Seisuga 2026-06-29 on vaid 3.87% domeenidest täielikult e-posti kaitstud.

Lõhe „seadistatud“ ja „kaitstud“ vahel

SPF kontrollib, millised serverid tohivad teie nimel saata. See ei halda „From“-aadressi, mida inimene tegelikult näeb, ega ütle vastuvõtjatele, mida tõrke korral teha. See on DMARC-i ülesanne. Seega SPF ilma jõustava DMARC-poliitikata on lukk, mille taga pole ust:

SeisundOsakaal domeenidestTegelikult kaitstud?
SPF avaldatud, üldse mitte ühtegi DMARC-kirjet32.4%Ei
SPF avaldatud, DMARC ei jõusta45.7%Ei
Täielikult e-posti kaitstud (SPF + jõustatud DMARC)3.87%Jah

Lugege keskmist rida uuesti: 45.7%-l kõigist domeenidest on SPF, kuid mitte mingit jõustamist — peaaegu enamik internetist istub vale turvatunde tsoonis. Ründaja eesmärkidel on need võltsitavad — ja 89.4% domeenidest tervikuna on.

Halvim variant: post tuleb sisse, uksel pole valvurit

Domeenide puhul, mis tegelikult e-posti vastu võtavad, läheb teravamaks. 42.7% domeenidest võtab posti vastu (neil on MX-kirjed), kuid neil pole üldse toimivat e-posti autentimist — ei SPF-i jõustamist ega DMARC-i. Need on elavad, kasutuses olevad domeenid, mille omanikud saadavad ja võtavad vastu iga päev ning keda saab täielikult kehastada. Just see aktiivsus teeb neist atraktiivsed sihtmärgid arvepettuste ja tarnijapettuste jaoks.

Miks „meil on SPF“ sai lõksuks

SPF on vanem, lihtsam ja esimene asi, mida enamik seadistusjuhendeid mainib — nii et see on kast, mis linnukesega märgitakse. DMARC tuli hiljem, kõlab arenenumalt ja nõuab teadlikku liikumist jõustamise poole. Tulemuseks on tohutu hulk inimesi, kes võtsid kasutusele esimese sammu ega astunud kunagi teist sammu, ja jätkasid seejärel uskumist, et töö on tehtud. Loendus muudab selle väärarusaama ulatuse esimest korda nähtavaks: 32.4%-l on SPF ja üldse mitte DMARC-i.

Kuidas tegelikult kaitstud saada

  1. Säilitage oma SPF, kuid ärge toetuge ainult sellele. (Paranda SPF.)
  2. Lisage DKIM, et teie post oleks allkirjastatud. (Paranda DKIM.)
  3. Avaldage DMARC ja viige see jõustamisele (p=nonequarantinereject). See on samm, mis muudab „seadistatud“ „kaitstuks“. (Paranda DMARC.)

Korduma kippuvad küsimused

Kas SPF-ist piisab e-posti võltsimise peatamiseks? Ei. SPF ei kaitse nähtavat „From“-aadressi ega ütle vastuvõtjatele võltsinguid tagasi lükata — seda teeb ainult jõustav DMARC-poliitika. 45.7%-l domeenidest on SPF ilma selle jõustamiseta.

Mul on SPF-kirje — kas olen kaitstud? Mitte üksi. Te olete kaitstud ainult siis, kui SPF-i (ja ideaaljuhul DKIM-i) toetab DMARC, mis on seatud väärtusele quarantine või reject. Vaid 3.87% domeenidest jõuab selleni.

Kui suurt osa domeenidest saab endiselt kehastada? 89.4% — sest neil puudub jõustav DMARC, olenemata sellest, kas nad avaldavad SPF-i.

Miks on posti (MX) omamine ilma autentimiseta eriti riskantne? 42.7% domeenidest saadab ja võtab e-posti aktiivselt vastu, kuid neil pole toimivat autentimist — elavad, usaldusväärsed domeenid, mida igaüks saab võltsida, ja just seda petturid otsivadki.

Kontrollige, kas olete tegelikult kaitstud

„Meil on SPF“ ei ole sama mis kaitstud. Kontrollige oma domeeni tasuta ja privaatselt — vaadake, kas teie e-posti saab endiselt võltsida.

Kontrolli oma domeeni → · Paranda DMARC → · Domeeni avatuse skoor → · p=none ei ole kaitse → · Ainult koondandmed. Andmeid säilitatakse ja töödeldakse ELis.