Defaults.Exposed

Defaults.Exposed › Izvještaji

Objava SPF-a nije dovoljna: lažni osjećaj sigurnosti e-pošte (2026.)

Objavljeno 2026-06-29

Brojke na dan 2026-06-29 · metodologija v7. Skupni popisni podaci koji spajaju provjere po domeni kroz 261 milijuna ocijenjenih domena. „Provodi“ = DMARC pravilo vrste quarantine ili reject. Pogledajte kako ocjenjujemo.

Najopasnije mjesto u sigurnosti e-pošte jest osjećati se zaštićenim. 32.4% domena objavljuje SPF, ali uopće nema DMARC — a 45.7% ima SPF koji nije potkrijepljen provedbom. Ovi su vlasnici nešto učinili, vidjeli „SPF: konfigurirano“ i stali. No SPF sam po sebi ne sprječava nekoga da krivotvori vašu vidljivu „From“ adresu — to čini samo provedeni DMARC. Na dan 2026-06-29, tek 3.87% domena potpuno je zaštićeno za e-poštu.

Jaz između „konfigurirano“ i „zaštićeno“

SPF provjerava koji poslužitelji smiju slati u vaše ime. On ne upravlja „From“ adresom koju osoba zapravo vidi i ne govori primateljima što učiniti pri neuspjehu. To je posao DMARC-a. Stoga je SPF bez provodljivog DMARC pravila brava bez vrata iza sebe:

StanjeUdio domenaStvarno zaštićeno?
SPF objavljen, uopće nema DMARC zapisa32.4%Ne
SPF objavljen, DMARC ne provodi45.7%Ne
Potpuno zaštićeno za e-poštu (SPF + provedeni DMARC)3.87%Da

Pročitajte srednji redak ponovno: 45.7% svih domena ima SPF, ali nikakvu provedbu — gotovo većina interneta sjedi u zoni lažne sigurnosti. Za napadačeve svrhe one su podložne krivotvorenju — a 89.4% domena sveukupno jest.

Najgora inačica: pošta ulazi, na vratima nema straže

Oštrije postaje za domene koje doista primaju e-poštu. 42.7% domena prihvaća poštu (imaju MX zapise), ali uopće nema funkcionalne provjere autentičnosti e-pošte — nema provedbe SPF-a, nema DMARC-a. To su žive, korištene domene čiji vlasnici svaki dan šalju i primaju, potpuno podložne lažnom predstavljanju. Upravo ta aktivnost čini ih privlačnim metama za prijevare s računima i prijevare s dobavljačima.

Zašto je „imamo SPF“ postalo zamka

SPF je stariji, jednostavniji i prvo što spominje većina vodiča za postavljanje — pa je to okvir koji se označi. DMARC je došao kasnije, zvuči naprednije i zahtijeva svjesno napredovanje prema provedbi. Rezultat je golema populacija koja je usvojila prvi korak i nikada nije poduzela drugi, a zatim i dalje vjerovala da je posao gotov. Popis prvi put čini razmjere te zablude vidljivima: 32.4% sa SPF-om i uopće bez DMARC-a.

Kako se zaista zaštititi

  1. Zadržite svoj SPF, ali se ne oslanjajte samo na njega. (Popravi SPF.)
  2. Dodajte DKIM kako bi vaša pošta bila potpisana. (Popravi DKIM.)
  3. Objavite DMARC i prijeđite na provedbu (p=nonequarantinereject). Ovo je korak koji „konfigurirano“ pretvara u „zaštićeno“. (Popravi DMARC.)

Često postavljana pitanja

Je li SPF dovoljan da zaustavi krivotvorenje e-pošte? Ne. SPF ne štiti vidljivu „From“ adresu niti govori primateljima da odbiju krivotvorine — to čini samo provodljivo DMARC pravilo. 45.7% domena ima SPF bez te provedbe.

Imam SPF zapis — jesam li zaštićen? Ne sam po sebi. Zaštićeni ste samo kada je SPF (i idealno DKIM) potkrijepljen DMARC-om postavljenim na quarantine ili reject. Tek 3.87% domena to postiže.

Koji se udio domena još uvijek može lažno predstaviti? 89.4% — jer im nedostaje provodljivi DMARC, bez obzira na to objavljuju li SPF.

Zašto je imati poštu (MX) bez provjere autentičnosti osobito rizično? 42.7% domena aktivno šalje i prima e-poštu, ali nema funkcionalnu provjeru autentičnosti — žive, pouzdane domene koje svatko može krivotvoriti, što je upravo ono što prevaranti traže.

Provjerite jeste li doista zaštićeni

„Imamo SPF“ nije isto što i zaštićen. Provjerite svoju domenu besplatno i privatno — pogledajte može li se vaša e-pošta još uvijek krivotvoriti.

Provjerite svoju domenu → · Popravi DMARC → · Ocjena izloženosti domene → · p=none nije zaštita → · Samo skupni podaci. Podaci se pohranjuju i obrađuju u EU-u.