Defaults.Exposed › रिपोर्ट
SPF प्रकाशित करना पर्याप्त नहीं है: ईमेल सुरक्षा का झूठा एहसास (2026)
प्रकाशित 2026-06-29
2026-06-29 तक के आंकड़े · कार्यप्रणाली v7। 261 मिलियन ग्रेड किए गए डोमेन में प्रति-डोमेन जाँचें जोड़ने वाला समग्र जनगणना डेटा। “लागू करना” =
quarantineयाrejectकी DMARC नीति। देखें हम कैसे ग्रेड करते हैं।
DMARC पिलर का भाग — DMARC अपनाना, परिपक्वता और लीग तालिकाएं, पूरी जनगणना में मापी गई।
ईमेल सुरक्षा में सबसे खतरनाक जगह महसूस करना है कि आप सुरक्षित हैं। 32.4% डोमेन SPF प्रकाशित करते हैं लेकिन बिल्कुल कोई DMARC नहीं है — और 45.7% के पास SPF है जो प्रवर्तन द्वारा समर्थित नहीं है। इन मालिकों ने कुछ किया, “SPF: कॉन्फ़िगर किया” देखा, और रुक गए। लेकिन अकेले SPF किसी को आपका दृश्यमान “From” पता जाली बनाने से नहीं रोकता — केवल लागू DMARC रोकता है। 2026-06-29 तक, केवल 3.87% डोमेन पूरी तरह से ईमेल-सुरक्षित हैं।
“कॉन्फ़िगर किया” और “सुरक्षित” के बीच का अंतर
SPF जाँचता है कि कौन से सर्वर आपके लिए भेज सकते हैं। यह “From” पते को नहीं नियंत्रित करता जो एक व्यक्ति वास्तव में देखता है, और यह प्राप्तकर्ताओं को नहीं बताता कि विफलता पर क्या करना है। वह DMARC का काम है। इसलिए बिना लागू DMARC नीति के SPF कोई दरवाजा नहीं होने पर ताला है:
| स्थिति | डोमेन का हिस्सा | वास्तव में सुरक्षित? |
|---|---|---|
| SPF प्रकाशित, कोई DMARC रिकॉर्ड नहीं | 32.4% | नहीं |
| SPF प्रकाशित, DMARC लागू नहीं हो रहा | 45.7% | नहीं |
| पूरी तरह से ईमेल-सुरक्षित (SPF + DKIM + लागू DMARC) | 3.87% | हाँ |
उस मध्य पंक्ति को फिर से पढ़ें: 45.7% सभी डोमेन में SPF है लेकिन कोई प्रवर्तन नहीं — इंटरनेट का लगभग-बहुमत झूठी-सुरक्षा क्षेत्र में बैठा है। वे एक हमलावर के उद्देश्य के लिए, जाली बनाने योग्य हैं — और 89.4% डोमेन कुल मिलाकर हैं।
सबसे बुरा संस्करण: मेल अंदर, दरवाजे पर कोई रक्षक नहीं
उन डोमेन के लिए यह और तेज हो जाता है जो वास्तव में ईमेल प्राप्त करते हैं। 42.7% डोमेन मेल स्वीकार करते हैं (उनके पास MX रिकॉर्ड हैं) लेकिन बिल्कुल कोई कार्यशील ईमेल प्रमाणीकरण नहीं है — कोई SPF प्रवर्तन नहीं, कोई DMARC नहीं। ये लाइव, उपयोग में डोमेन हैं जिनके मालिक हर दिन भेजते और प्राप्त करते हैं, पूरी तरह से प्रतिरूपण योग्य। गतिविधि ही उन्हें चालान धोखाधड़ी और आपूर्तिकर्ता घोटालों के लिए आकर्षक लक्ष्य बनाती है।
“हमारे पास SPF है” क्यों जाल बन गया
SPF पुराना, सरल है, और अधिकांश सेटअप गाइड जो पहली चीज़ उल्लेख करते हैं — इसलिए यह वह बॉक्स है जिसे टिक किया जाता है। DMARC बाद में आया, अधिक उन्नत लगता है, और प्रवर्तन तक एक जानबूझकर प्रगति की आवश्यकता है। परिणाम एक विशाल आबादी है जिसने चरण एक अपनाया और कभी चरण दो नहीं लिया, फिर यह मानकर चलती रही कि काम हो गया। जनगणना उस गलतफहमी के पैमाने को पहली बार दृश्यमान बनाती है: SPF के साथ 32.4% और बिल्कुल DMARC नहीं।
वास्तव में सुरक्षित कैसे हों
- अपना SPF रखें, लेकिन केवल इसी पर निर्भर न रहें। (SPF ठीक करें।)
- DKIM जोड़ें ताकि आपका मेल हस्ताक्षरित हो। (DKIM ठीक करें।)
- DMARC को रिपोर्टिंग के साथ प्रकाशित करें और इसे प्रवर्तन तक ले जाएं (
p=none→quarantine→reject)। यह वह चरण है जो “कॉन्फ़िगर किया” को “सुरक्षित” में बदलता है। (DMARC ठीक करें।)
अक्सर पूछे जाने वाले प्रश्न
क्या ईमेल स्पूफिंग रोकने के लिए SPF पर्याप्त है? नहीं। SPF दृश्यमान “From” पते की रक्षा नहीं करता या प्राप्तकर्ताओं को जालसाजी अस्वीकार करने के लिए नहीं कहता — केवल एक लागू DMARC नीति ऐसा करती है। 45.7% डोमेन के पास SPF उस प्रवर्तन के बिना है।
मेरे पास SPF रिकॉर्ड है — क्या मैं सुरक्षित हूँ?
अकेले नहीं। आप सुरक्षित हैं जब SPF और DKIM दोनों मौजूद हों और DMARC द्वारा quarantine या reject पर समर्थित हों। केवल 3.87% डोमेन तीनों तक पहुँचते हैं।
कितने डोमेन अभी भी प्रतिरूपित किए जा सकते हैं? 89.4% — क्योंकि उनके पास लागू DMARC नहीं है, चाहे वे SPF प्रकाशित करते हों या नहीं।
MX के साथ प्रमाणीकरण के बिना होना विशेष रूप से जोखिम भरा क्यों है? 42.7% डोमेन सक्रिय रूप से ईमेल भेजते और प्राप्त करते हैं लेकिन कोई कार्यशील प्रमाणीकरण नहीं है — लाइव, भरोसेमंद डोमेन जिन्हें कोई भी जाली बना सकता है, जो वास्तव में धोखेबाज ढूंढते हैं।
जाँचें कि क्या आप वास्तव में सुरक्षित हैं
“हमारे पास SPF है” सुरक्षित होने के समान नहीं है। अपना डोमेन मुफ्त और निजी में जाँचें — देखें कि क्या आपका ईमेल अभी भी जाली बनाया जा सकता है।
अपना डोमेन जाँचें → · DMARC ठीक करें → · डोमेन एक्सपोज़र स्कोर → · p=none सुरक्षा नहीं है → · केवल समग्र डेटा। डेटा EU में संग्रहीत और संसाधित।