Defaults.Exposed › Jelentések
Az SPF közzététele nem elég: az e-mail-biztonság hamis érzete (2026)
Közzétéve 2026-06-29
Adatok: 2026-06-29 · módszertan v7. Összesített népszámlálási adatok, amelyek domainenként egyesítik az ellenőrzéseket 261 millió osztályozott domain körében. „Kikényszerítő” =
quarantinevagyrejectDMARC-szabályzat. Lásd: hogyan osztályozunk.
Az e-mail-biztonság legveszélyesebb helyzete az, ha védettnek érzed magad. A domainek 32.4%-a közzétesz SPF-et, de egyáltalán nincs DMARC-ja — és 45.7%-uknak olyan SPF-je van, amelyet nem támogat kikényszerítés. Ezek a tulajdonosok tettek valamit, látták, hogy „SPF: beállítva”, és megálltak. De az SPF önmagában nem akadályozza meg, hogy valaki meghamisítsa a látható „Feladó” címedet — ezt csak a kikényszerített DMARC teszi. 2026-06-29 időpontjában a domaineknek csupán 3.87%-a teljesen e-mail-védett.
A szakadék a „beállítva” és a „védett” között
Az SPF azt ellenőrzi, mely szerverek küldhetnek a nevedben. Nem szabályozza a „Feladó” címet, amelyet egy ember ténylegesen lát, és nem mondja meg a fogadóknak, mit tegyenek hiba esetén. Ez a DMARC feladata. Tehát az SPF kikényszerítő DMARC-szabályzat nélkül olyan, mint egy zár ajtó nélkül mögötte:
| Állapot | Domainek aránya | Valóban védett? |
|---|---|---|
| SPF közzétéve, egyáltalán nincs DMARC-rekord | 32.4% | Nem |
| SPF közzétéve, DMARC nem kikényszerítő | 45.7% | Nem |
| Teljesen e-mail-védett (SPF + kikényszerített DMARC) | 3.87% | Igen |
Olvasd el újra a középső sort: az összes domain 45.7%-ának van SPF-je, de nincs kikényszerítés — az internet csaknem fele a hamis biztonság zónájában ül. Egy támadó szempontjából meghamisíthatók — és a domainek 89.4%-a összességében az is.
A legrosszabb változat: jön a posta, nincs őr az ajtónál
Élesebbé válik azoknál a domaineknél, amelyek ténylegesen fogadnak e-mailt. A domainek 42.7%-a fogad postát (van MX-rekordjuk), de egyáltalán nincs működő e-mail-hitelesítésük — nincs SPF-kikényszerítés, nincs DMARC. Ezek élő, használatban lévő domainek, amelyek tulajdonosai naponta küldenek és fogadnak, teljesen megszemélyesíthetők. Éppen ez a tevékenység teszi őket vonzó célponttá a számlacsalások és a beszállítói csalások számára.
Miért lett csapda a „van SPF-ünk”
Az SPF régebbi, egyszerűbb, és az első dolog, amit a legtöbb beállítási útmutató említ — így ez a kipipált négyzet. A DMARC később jött, fejlettebbnek hangzik, és tudatos haladást igényel a kikényszerítés felé. Az eredmény egy hatalmas népesség, amely az első lépést megtette, a másodikat azonban soha, majd továbbra is azt hitte, hogy a munka kész. A népszámlálás először teszi láthatóvá e tévhit léptékét: 32.4% SPF-fel és egyáltalán DMARC nélkül.
Hogyan válj valóban védetté
- Tartsd meg az SPF-edet, de ne támaszkodj egyedül rá. (SPF javítása.)
- Adj hozzá DKIM-et, hogy a postád alá legyen írva. (DKIM javítása.)
- Tedd közzé a DMARC-ot, és léptesd kikényszerítésre (
p=none→quarantine→reject). Ez az a lépés, amely a „beállítva” állapotot „védetté” alakítja. (DMARC javítása.)
Gyakran ismételt kérdések
Elég az SPF az e-mail-hamisítás megállításához? Nem. Az SPF nem védi a látható „Feladó” címet, és nem utasítja a fogadókat a hamisítványok elutasítására — ezt csak egy kikényszerítő DMARC-szabályzat teszi. A domainek 45.7%-ának van SPF-je e kikényszerítés nélkül.
Van SPF-rekordom — védett vagyok?
Önmagában nem. Csak akkor vagy védett, ha az SPF-et (és ideális esetben a DKIM-et) quarantine vagy reject értékre állított DMARC támasztja alá. Ezt a domaineknek csak 3.87%-a éri el.
A domainek mekkora aránya személyesíthető meg még mindig? 89.4% — mert hiányzik a kikényszerítő DMARC-juk, függetlenül attól, hogy közzétesznek-e SPF-et.
Miért különösen kockázatos, ha van posta (MX) hitelesítés nélkül? A domainek 42.7%-a aktívan küld és fogad e-mailt, de nincs működő hitelesítése — élő, megbízható domainek, amelyeket bárki meghamisíthat, ami pontosan az, amit a csalók keresnek.
Ellenőrizd, valóban védett vagy-e
A „van SPF-ünk” nem ugyanaz, mint a védett. Ellenőrizd a domainedet ingyen és bizalmasan — nézd meg, hogy az e-mailed még mindig meghamisítható-e.
Ellenőrizd a domainedet → · DMARC javítása → · A domain kitettségi pontszáma → · a p=none nem védelem → · Csak összesített adatok. Az adatokat az EU-ban tároljuk és dolgozzuk fel.