Defaults.Exposed › Raportit
Voiko joku lähettää sähköpostia esiintyen yrityksenäsi? Useimpien verkkotunnusten kohdalla kyllä (2026)
Julkaistu 2026-06-29
Luvut 2026-06-29 tilanteen mukaan · menetelmä v7. Koottua väestönlaskentadataa 261 miljoonan arvioidun verkkotunnuksen osalta. ”Voidaan väärentää” tarkoittaa, ettei verkkotunnus pakota DMARCia (ei karanteeni- tai hylkäyskäytäntöä), kontrollia, joka käskee vastaanottavia sähköpostipalvelimia pysäyttämään väärennetyn postin. Katso miten arvioimme.
Useimmille yrityksille kyllä — joku voi lähettää sähköpostia, joka näyttää tulevan täsmälleen sinun verkkotunnuksestasi. Vain 10.59% niistä 261 miljoonasta verkkotunnuksesta, jotka arvioimme, pakottaa DMARCin, ainoan kontrollin, joka todella estää henkilön esiintymisen toisena. Loput 89.41% jättävät oven auki: huijari voi laittaa tarkan osoitteesi ”Lähettäjä”-riville, ja useimmat postilaatikot näyttävät sen aitona. Tämä on väärennettyjen laskujen, toimitusjohtajahuijaustyyppisten maksupyyntöjen ja toimittajahuijausten taustalla oleva mekanismi — eikä yrittäminen maksa mitään.
Voiko joku todella lähettää sähköpostia verkkotunnukseni nimissä?
Jos verkkotunnuksesi ei pakota DMARCia, niin kyllä. Sähköposti suunniteltiin ilman sisäänrakennettua tapaa varmentaa lähettäjää, joten ”Lähettäjä”-osoite on triviaalin helppo väärentää. Kolme asetusta kerroksittain korjaa sen — SPF, DKIM ja DMARC — mutta vain viimeinen, asetettuna pakottavaksi, käskee vastaanottavaa palvelinta tosiasiallisesti hylkäämään tai asettamaan karanteeniin väärennöksen. 2026-06-29 tilanteen mukaan:
- 75.11% verkkotunnuksista ei ole lainkaan DMARC-tietuetta.
- 14.29% on DMARC-tietue, joka on asetettu vain seurantaan (
p=none) — se näyttää suojaukselta auditoinnissa, mutta käskee vastaanottajia olemaan tekemättä mitään, joten väärennetty posti tulee silti perille. - Vain 10.59% pakottaa
quarantine- taireject-käytännön — kokoonpanon, joka pysäyttää toisena esiintymisen.
Joten 89.41% verkkotunnuksista — yli kahdeksan kymmenestä — voidaan väärentää sähköpostissa nykyään.
”Mutta meillä on SPF” — miksei se riitä
Tämä on yleisin ja vaarallisin väärinkäsitys. 53.21% verkkotunnuksista julkaisee SPF-tietueen, paljon enemmän kuin se 10.59%, joka pakottaa DMARCin. Omistajat näkevät SPF:n ja olettavat olevansa suojattuja. He eivät ole: SPF (ja DKIM) tarkistavat teknisen lähetyspolun, mutta eivät hallitse ”Lähettäjä”-osoitetta, jonka ihminen oikeasti näkee. Ilman pakottavaksi asetettua DMARCia hyökkääjä voi silti läpäistä SPF:n omassa infrastruktuurissaan ja väärentää näkyvän osoitteesi. SPF on välttämätön putkisto; DMARCin pakottaminen on lukko.
Kuinka alttiina on sinun kolkkasi verkossa?
Pakottaminen vaihtelee suuresti verkkotunnuksen päätteen mukaan. Korkeampi on parempi — se on niiden verkkotunnusten osuus, jotka todella estävät toisena esiintymisen. 2026-06-29 tilanteen mukaan:
| Verkkotunnuksen pääte | DMARCin pakottava | Voidaan väärentää |
|---|---|---|
| .nl (Alankomaat) | 29.43% | 29.43% suojattu, loput alttiina |
| .de (Saksa) | 21.38% | — |
| .in (Intia) | 19.26% | — |
| .uk (Yhdistynyt kuningaskunta) | 13.42% | — |
| .com | 9.50% | eniten käytetty pääte on alle 10.59%:n globaalin keskiarvon |
| .net | 10.08% | — |
| .org | 10.01% | — |
| .xyz | 5.15% | — |
| .top | 3.17% | — |
| .cn (Kiina) | 1.45% | matalin suurista päätteistä |
Jopa parhaiten suoriutuva suuri pääte suojaa alle kolmasosaa verkkotunnuksistaan. .com-päätteessä — jossa useimmat yritykset asuvat — vain 9.50% pakottaa DMARCin.
Mitä tämä todella maksaa yritykselle
Sähköpostissa toisena esiintyminen on mekanismi joidenkin kalleimpien viranomaisille ilmoitettujen verkkorikosten taustalla maailmanlaajuisesti — yrityssähköpostin kaappaus (BEC). Kaava on aina sama:
- Asiakas saa ”laskun” osoitteestasi huijarin pankkitiedoilla, maksaa sen ja huomaa petoksen viikkoja myöhemmin — usein pitäen sitä sinun epäonnistumisenasi.
- Työntekijä saa kiireellisen ”pomolta tulevan” pyynnön siirtää rahaa tai ostaa lahjakortteja. Osoite on aidosti sinun, joten he tottelevat.
- Toimittajalle kerrotaan ”pankkitietomme ovat muuttuneet” sähköpostissa, joka läpäisee jokaisen silmämääräisen tarkistuksen.
Mikään tästä ei vaadi järjestelmiesi hakkerointia. Se vaatii vain, ettei verkkotunnuksesi pakota DMARCia — mitä se 89.41%:lla verkkotunnuksista ei tee.
Miten tietää, oletko suojattu (ja korjata se)
Et voi ulkopuolelta tietää, oletko sinä siinä 10.59%:ssa — ainoa tapa tietää on tarkistaa verkkotunnuksesi. Korjaus on ilmainen ja vie yleensä iltapäivän, tehtynä järjestyksessä: julkaise SPF ja DKIM, siirrä sitten DMARC pakottamiseen (p=none → quarantine → reject). Viimeinen vaihe on se, joka todella sulkee oven.
Usein kysytyt kysymykset
Voiko joku lähettää sähköpostia esiintyen yritykseni nimissä? Jos verkkotunnuksesi ei pakota DMARCia (karanteeni- tai hylkäyskäytäntö), kyllä — tarkka ”Lähettäjä”-osoitteesi voidaan väärentää, ja useimmat postilaatikot näyttävät sen aitona. 2026-06-29 tilanteen mukaan 89.41% arvioiduista verkkotunnuksista on tässä tilassa.
Meillä on jo SPF — emmekö ole turvassa?
Emme. SPF tarkistaa teknisen lähetyspolun mutta ei näkyvää ”Lähettäjä”-osoitetta. 53.21% verkkotunnuksista julkaisee SPF:n, mutta ilman pakottavaksi asetettua DMARCia osoitteesi voidaan silti väärentää. Tarvitset DMARCin asetuksella quarantine tai reject.
Eikö DMARC-tietue riitä?
Vain jos se pakottaa. Tietue, joka on asetettu arvoon p=none (vain seuranta) — jota 14.29% verkkotunnuksista käyttää — ei tee mitään väärentämisen pysäyttämiseksi. Vain quarantine tai reject tekee, ja vain 10.59% verkkotunnuksista pääsee sinne.
Miten tarkistan oman verkkotunnukseni? Suorita ilmainen, yksityinen tarkistus (alla). Näytämme verkkotunnuksen tuloksen aina vain sen vahvistetulle omistajalle.
Onko tämän korjaaminen kallista? Ei. SPF, DKIM ja DMARC ovat ilmaisia DNS-asetuksia. Kustannus on aika niiden asettamiseen oikeassa järjestyksessä, ei raha.
Tarkista, voidaanko verkkotunnustasi väärentää
Älä arvaa, kummalla puolella 10.59%:a olet. Tarkista verkkotunnuksesi yksityisesti ja ilmaiseksi — näet DMARC-, SPF- ja DKIM-tilasi ja täsmälleen mitä korjata.
Tarkista verkkotunnuksesi → · Korjaa DMARC → · Korjaa SPF → · Miten arvioimme → · Vain koottua dataa. Data tallennetaan ja käsitellään EU:ssa.