Defaults.Exposed

Defaults.Exposed › Raportit

SPF:n julkaiseminen ei riitä: väärä turvallisuudentunne sähköpostissa (2026)

Julkaistu 2026-06-29

Luvut tilanteessa 2026-06-29 · menetelmä v7. Yhdistettyä väestölaskentadataa, joka kokoaa verkkotunnuskohtaiset tarkistukset yhteensä 261 miljoonan arvostellun verkkotunnuksen osalta. ”Pakottava” = quarantine- tai reject-tyyppinen DMARC-käytäntö. Katso miten arvostelemme.

Vaarallisin paikka olla sähköpostiturvallisuudessa on tuntea itsensä suojatuksi. 32.4% verkkotunnuksista julkaisee SPF:n mutta niillä ei ole lainkaan DMARCia — ja 45.7%:lla on SPF, jota ei tueta pakottamisella. Nämä omistajat tekivät jotain, näkivät ”SPF: määritetty” ja pysähtyivät. Mutta SPF yksinään ei estä ketään väärentämästä näkyvää ”From”-osoitettasi — vain pakotettu DMARC tekee sen. Tilanteessa 2026-06-29 vain 3.87% verkkotunnuksista on täysin sähköpostisuojattuja.

Kuilu ”määritetyn” ja ”suojatun” välillä

SPF tarkistaa, mitkä palvelimet saavat lähettää puolestasi. Se ei hallitse ”From”-osoitetta, jonka henkilö todella näkee, eikä se kerro vastaanottajille, mitä tehdä epäonnistumisen yhteydessä. Se on DMARCin tehtävä. Niinpä SPF ilman pakottavaa DMARC-käytäntöä on lukko, jonka takana ei ole ovea:

TilaOsuus verkkotunnuksistaTodella suojattu?
SPF julkaistu, ei lainkaan DMARC-tietuetta32.4%Ei
SPF julkaistu, DMARC ei pakottava45.7%Ei
Täysin sähköpostisuojattu (SPF + pakotettu DMARC)3.87%Kyllä

Lue keskimmäinen rivi uudelleen: 45.7%:lla kaikista verkkotunnuksista on SPF mutta ei pakottamista — lähes enemmistö internetistä istuu väärän turvallisuuden alueella. Hyökkääjän tarkoituksiin ne ovat väärennettävissä — ja 89.4% verkkotunnuksista on kaiken kaikkiaan.

Pahin versio: posti sisään, ei vartijaa ovella

Tilanne kärjistyy verkkotunnuksilla, jotka todella vastaanottavat sähköpostia. 42.7% verkkotunnuksista ottaa vastaan postia (niillä on MX-tietueet) mutta niillä ei ole lainkaan toimivaa sähköpostin todennusta — ei SPF-pakottamista, ei DMARCia. Nämä ovat eläviä, käytössä olevia verkkotunnuksia, joiden omistajat lähettävät ja vastaanottavat joka päivä ja jotka ovat täysin esitettävissä. Juuri tämä aktiivisuus tekee niistä houkuttelevia kohteita laskutuspetoksille ja toimittajahuijauksille.

Miksi ”meillä on SPF” muuttui ansaksi

SPF on vanhempi, yksinkertaisempi ja ensimmäinen asia, jonka useimmat asennusoppaat mainitsevat — joten se on ruutu, joka rastitetaan. DMARC tuli myöhemmin, kuulostaa edistyneemmältä ja vaatii harkitun etenemisen pakottamiseen. Tuloksena on valtava joukko, joka omaksui vaiheen yksi eikä koskaan ottanut vaihetta kaksi, ja jatkoi sitten uskoa, että työ oli tehty. Väestölaskenta tekee tämän väärinkäsityksen mittakaavan näkyväksi ensimmäistä kertaa: 32.4%:lla on SPF eikä lainkaan DMARCia.

Miten oikeasti suojautua

  1. Säilytä SPF:si, mutta älä luota vain siihen. (Korjaa SPF.)
  2. Lisää DKIM, jotta postisi allekirjoitetaan. (Korjaa DKIM.)
  3. Julkaise DMARC ja siirrä se pakottamiseen (p=nonequarantinereject). Tämä on vaihe, joka muuttaa ”määritetyn” ”suojatuksi”. (Korjaa DMARC.)

Usein kysytyt kysymykset

Riittääkö SPF estämään sähköpostin väärentämisen? Ei. SPF ei suojaa näkyvää ”From”-osoitetta eikä kehota vastaanottajia hylkäämään väärennöksiä — vain pakottava DMARC-käytäntö tekee sen. 45.7%:lla verkkotunnuksista on SPF ilman tuota pakottamista.

Minulla on SPF-tietue — olenko suojattu? En yksinään. Olet suojattu vain, kun SPF:ää (ja mieluiten DKIMiä) tukee DMARC, joka on asetettu tilaan quarantine tai reject. Vain 3.87% verkkotunnuksista yltää siihen.

Kuinka suuri osuus verkkotunnuksista voidaan yhä esittää väärin? 89.4% — koska niiltä puuttuu pakottava DMARC riippumatta siitä, julkaisevatko ne SPF:n.

Miksi postin (MX) omistaminen ilman todennusta on erityisen riskialtista? 42.7% verkkotunnuksista lähettää ja vastaanottaa sähköpostia aktiivisesti mutta niillä ei ole toimivaa todennusta — eläviä, luotettuja verkkotunnuksia, joita kuka tahansa voi väärentää, mikä on juuri sitä, mitä huijarit etsivät.

Tarkista, oletko todella suojattu

”Meillä on SPF” ei ole sama asia kuin suojattu. Tarkista verkkotunnuksesi ilmaiseksi ja yksityisesti — katso, voidaanko sähköpostiasi yhä väärentää.

Tarkista verkkotunnuksesi → · Korjaa DMARC → · Verkkotunnuksen altistumispisteet → · p=none ei ole suojaa → · Vain yhdistettyä dataa. Data tallennetaan ja käsitellään EU:ssa.