Defaults.Exposed

Defaults.Exposed › Izvještaji

SPF nije dovoljan: 119 milijuna domena koje nikad ne provode zaštitu

Objavljeno 2026-07-03 · ažurirano 2026-07-03

Brojke na dan 2026-06-29 · metodologija v7. Podaci popisa spajaju provjere po domeni na 261 milijuna ocijenjenih domena. „Provodi zaštitu” = DMARC politika quarantine ili reject; „potpuno zaštićena” = SPF i DKIM oba postavljena, uz DMARC koji provodi zaštitu — potpuna trijada autentifikacije e-pošte. Sve brojke su zbirne — nikad ne objavljujemo ocjenu pojedinačnog poduzeća.

Broj: koliko se domena oslanja samo na SPF

Sam SPF nije dovoljan da zaustavi lažno predstavljanje putem e-pošte — a popis sada može prebrojati koliko se domena unatoč tomu oslanja upravo na njega: 119,212,005 (119 milijuna) objavljuje SPF, ali nikad ne provodi DMARC. To je 85.8% svake domene koja se uopće potrudila postaviti SPF. Njegov prateći članak, SPF bez DMARC-a, objašnjava mehanizam — zašto SPF ne može obraniti adresu „Od” koju osoba stvarno vidi; ovaj članak mjeri populaciju — koliko domena ta rupa ostavlja izloženima i kakav je oblik te izloženosti.

Ukratko: postavljanje SPF-a najčešći je čin sigurnosti e-pošte na internetu, a za veliku većinu domena koje su to učinile ujedno je i posljednji.

Tri populacije

139 milijuna domena — njih 138,911,937 — objavljuje SPF zapis. Podijeljeno prema onome što stoji iza njega:

PopulacijaDomeneUdio među izdavačima SPF-a
SPF objavljen, bez ikakvog DMARC zapisa84,638,43060.9%
SPF objavljen, DMARC prisutan, ali nikad ne provodi zaštitu (nadskup, uključuje redak iznad)119,212,00585.8%
SPF + DKIM, potkrijepljeni DMARC-om koji provodi zaštitu10,092,481

Redci se ne zbrajaju u ukupan broj SPF-a: ostatak su izdavači SPF-a čiji DMARC provodi zaštitu, ali čiji DKIM nije potpuno postavljen — provode zaštitu, no ne dosežu potpunu trijadu koju broji donji redak.

Srednji je redak glavna vijest: otprilike 119 milijuna domena obavilo je posao proglašavanja svojih legitimnih pošiljatelja, a onda nikad nije reklo pristiglim sandučićima svijeta da po tome postupaju. A donji je redak poanta: među svih 261 milijuna ocijenjenih domena, samo 3.87% — oko 10 milijuna — potpuno je zaštićeno za e-poštu. Potpuna zaštita tehnički nije visoka ljestvica; ona je jednostavno završetak putovanja koje je 119 milijuna domena započelo i prekinulo.

Zašto je broj tako neuravnotežen

SPF je mjesto gdje počinje svaki vodič za postavljanje, gdje završava uvođenje kod većine pružatelja e-pošte i ono što većina popisa za usklađenost zapravo provjerava. Proizvodi vidljiv artefakt — TXT zapis — i zelenu kvačicu u bilo kojem alatu koji ga je provjerio. DMARC koji provodi zaštitu proizvodi suprotno iskustvo: zahtijeva napredovanje (objavi, promatraj, identificiraj pošiljatelje, pa provedi zaštitu), a njegova je nagrada nevidljiva — krivotvorena pošta koja tiho prestaje pristizati.

Zato je internet optimizirao za kvačicu. Popis pokazuje kako to izgleda u velikom mjerilu: 85 milijuna domena (84,638,430) ima SPF i nikakav DMARC zapis — čak ni p=none rezervaciju mjesta. Ti vlasnici nisu lijeni; slijedili su upute koje su dobili, a upute su prerano stale.

Što ovdje zapravo znači „pokriveno”

Posljedica, ne strah: domena sa SPF-om, a bez DMARC-a koji provodi zaštitu, i dalje se može lažno predstaviti na jedinom mjestu koje ljudi gledaju — vidljivom retku „Od”. SPF omogućuje poslužiteljima primatelja da provjere koji uređaji smiju slati u ime envelope domene, ali bez DMARC-a ne postoji zahtjev da se vidljivi pošiljatelj podudara s bilo čime što je SPF provjerio, niti uputa da se odbije pošta koja ne prođe. Krivotvoreni račun, lažni ponovni postavljanje lozinke, preusmjeravanje plaćanja dobavljaču — sve to ostaje isporučivo vašim kupcima i dobavljačima u vaše ime, unatoč SPF zapisu.

U šest faza zrelosti DMARC-a, tih 119 milijuna domena zapelo je u fazama 1–3 — pod je izgrađen, ili djelomično izgrađen, a vrata nikad nisu ugrađena. Udaljenost odatle do zaštićenosti dobro je razumljiva i uglavnom proceduralna; ono što ovaj popis dodaje jest spoznaja da je gotovo nitko ne prelazi.

Ako je vaša domena jedna od 119 milijuna

  1. Zadržite SPF — to je preduvjet, a ne pogreška. (Popravite SPF →.)
  2. Dodajte DKIM kako bi vaša pošta bila potpisana, a ne samo izvorišno provjerena. (Popravite DKIM →.)
  3. Objavite DMARC s izvještavanjem, pa provedite zaštitu — najprije p=none uz rua=, identificirajte svakog legitimnog pošiljatelja, pa prijeđite na quarantine i reject. To je korak koji „konfigurirano” pretvara u „zaštićeno”. (Popravite DMARC →.)

Često postavljana pitanja

Je li SPF dovoljan da zaštiti domenu od lažnog predstavljanja? Nije. SPF potvrđuje poslužitelje za slanje u odnosu na envelope domenu; niti provjerava vidljivu adresu „Od” niti govori primateljima da odbiju neuspjehe. Samo DMARC politika koja provodi zaštitu čini oboje — a 119,212,005 domena objavljuje SPF bez nje.

Koliko domena ima SPF, ali nikakav DMARC? 84,638,430 — 60.9% svih izdavača SPF-a nema nikakav DMARC zapis, čak ni u načinu praćenja.

Koliko je domena potpuno zaštićeno? 10,092,481 — 3.87% od 261 milijuna ocijenjenih domena kombinira SPF i DKIM s DMARC politikom quarantine ili reject.

Pomaže li barem imati SPF? Da — to je temelj u odnosu na koji DMARC vrednuje, i poboljšava isporučivost vaše legitimne pošte. Samo sam po sebi ništa ne štiti; to je prvi od tri koraka, a popis pokazuje da je većina interneta to tretirala kao cijelo stubište.

Provjerite u kojoj je populaciji vaša domena

„Postavili smo SPF” opisuje 139 milijuna domena; „zaštićeni smo” opisuje 10 milijuna. Otkrivanje koja ste od njih traje minutu, privatno i besplatno — pogledajte koje od 34 provjere prolazite i kako popraviti one koje ne prolazite.

Provjerite svoju domenu → · Šest faza zrelosti DMARC-a → · Stup DMARC → · Samo zbirni podaci. Podaci pohranjeni i obrađeni u EU.