Defaults.Exposed › Izvještaji
Objava SPF-a nije dovoljna: lažni osjećaj sigurnosti e-pošte (2026.)
Objavljeno 2026-06-29
Brojke na dan 2026-06-29 · metodologija v7. Skupni popisni podaci koji spajaju provjere po domeni kroz 261 milijuna ocijenjenih domena. „Provodi“ = DMARC pravilo vrste
quarantineilireject. Pogledajte kako ocjenjujemo.
Najopasnije mjesto u sigurnosti e-pošte jest osjećati se zaštićenim. 32.4% domena objavljuje SPF, ali uopće nema DMARC — a 45.7% ima SPF koji nije potkrijepljen provedbom. Ovi su vlasnici nešto učinili, vidjeli „SPF: konfigurirano“ i stali. No SPF sam po sebi ne sprječava nekoga da krivotvori vašu vidljivu „From“ adresu — to čini samo provedeni DMARC. Na dan 2026-06-29, tek 3.87% domena potpuno je zaštićeno za e-poštu.
Jaz između „konfigurirano“ i „zaštićeno“
SPF provjerava koji poslužitelji smiju slati u vaše ime. On ne upravlja „From“ adresom koju osoba zapravo vidi i ne govori primateljima što učiniti pri neuspjehu. To je posao DMARC-a. Stoga je SPF bez provodljivog DMARC pravila brava bez vrata iza sebe:
| Stanje | Udio domena | Stvarno zaštićeno? |
|---|---|---|
| SPF objavljen, uopće nema DMARC zapisa | 32.4% | Ne |
| SPF objavljen, DMARC ne provodi | 45.7% | Ne |
| Potpuno zaštićeno za e-poštu (SPF + provedeni DMARC) | 3.87% | Da |
Pročitajte srednji redak ponovno: 45.7% svih domena ima SPF, ali nikakvu provedbu — gotovo većina interneta sjedi u zoni lažne sigurnosti. Za napadačeve svrhe one su podložne krivotvorenju — a 89.4% domena sveukupno jest.
Najgora inačica: pošta ulazi, na vratima nema straže
Oštrije postaje za domene koje doista primaju e-poštu. 42.7% domena prihvaća poštu (imaju MX zapise), ali uopće nema funkcionalne provjere autentičnosti e-pošte — nema provedbe SPF-a, nema DMARC-a. To su žive, korištene domene čiji vlasnici svaki dan šalju i primaju, potpuno podložne lažnom predstavljanju. Upravo ta aktivnost čini ih privlačnim metama za prijevare s računima i prijevare s dobavljačima.
Zašto je „imamo SPF“ postalo zamka
SPF je stariji, jednostavniji i prvo što spominje većina vodiča za postavljanje — pa je to okvir koji se označi. DMARC je došao kasnije, zvuči naprednije i zahtijeva svjesno napredovanje prema provedbi. Rezultat je golema populacija koja je usvojila prvi korak i nikada nije poduzela drugi, a zatim i dalje vjerovala da je posao gotov. Popis prvi put čini razmjere te zablude vidljivima: 32.4% sa SPF-om i uopće bez DMARC-a.
Kako se zaista zaštititi
- Zadržite svoj SPF, ali se ne oslanjajte samo na njega. (Popravi SPF.)
- Dodajte DKIM kako bi vaša pošta bila potpisana. (Popravi DKIM.)
- Objavite DMARC i prijeđite na provedbu (
p=none→quarantine→reject). Ovo je korak koji „konfigurirano“ pretvara u „zaštićeno“. (Popravi DMARC.)
Često postavljana pitanja
Je li SPF dovoljan da zaustavi krivotvorenje e-pošte? Ne. SPF ne štiti vidljivu „From“ adresu niti govori primateljima da odbiju krivotvorine — to čini samo provodljivo DMARC pravilo. 45.7% domena ima SPF bez te provedbe.
Imam SPF zapis — jesam li zaštićen?
Ne sam po sebi. Zaštićeni ste samo kada je SPF (i idealno DKIM) potkrijepljen DMARC-om postavljenim na quarantine ili reject. Tek 3.87% domena to postiže.
Koji se udio domena još uvijek može lažno predstaviti? 89.4% — jer im nedostaje provodljivi DMARC, bez obzira na to objavljuju li SPF.
Zašto je imati poštu (MX) bez provjere autentičnosti osobito rizično? 42.7% domena aktivno šalje i prima e-poštu, ali nema funkcionalnu provjeru autentičnosti — žive, pouzdane domene koje svatko može krivotvoriti, što je upravo ono što prevaranti traže.
Provjerite jeste li doista zaštićeni
„Imamo SPF“ nije isto što i zaštićen. Provjerite svoju domenu besplatno i privatno — pogledajte može li se vaša e-pošta još uvijek krivotvoriti.
Provjerite svoju domenu → · Popravi DMARC → · Ocjena izloženosti domene → · p=none nije zaštita → · Samo skupni podaci. Podaci se pohranjuju i obrađuju u EU-u.