Defaults.Exposed

Defaults.Exposed › Laporan

Menerbitkan SPF Tidaklah Cukup: Rasa Aman Palsu dalam Keamanan Email (2026)

Diterbitkan 2026-06-29

Angka per 2026-06-29 · metodologi v7. Data sensus agregat yang menggabungkan pemeriksaan per domain di 261 juta domain yang dinilai. “Menegakkan” = kebijakan DMARC quarantine atau reject. Lihat cara kami menilai.

Tempat paling berbahaya dalam keamanan email adalah merasa terlindungi. 32.4% domain memublikasikan SPF tetapi sama sekali tidak punya DMARC — dan 45.7% punya SPF yang tidak didukung penegakan. Para pemilik ini melakukan sesuatu, melihat “SPF: terkonfigurasi”, lalu berhenti. Tetapi SPF saja tidak mencegah seseorang memalsukan alamat “Dari” Anda yang terlihat — hanya DMARC yang ditegakkan yang melakukannya. Per 2026-06-29, hanya 3.87% domain yang sepenuhnya terlindungi emailnya.

Jurang antara “terkonfigurasi” dan “terlindungi”

SPF memeriksa server mana yang boleh mengirim atas nama Anda. SPF tidak mengatur alamat “Dari” yang sebenarnya dilihat seseorang, dan tidak memberi tahu penerima apa yang harus dilakukan saat gagal. Itu tugas DMARC. Jadi SPF tanpa kebijakan DMARC yang menegakkan adalah gembok tanpa pintu di baliknya:

KeadaanPangsa domainBenar-benar terlindungi?
SPF dipublikasikan, tanpa catatan DMARC sama sekali32.4%Tidak
SPF dipublikasikan, DMARC tidak menegakkan45.7%Tidak
Sepenuhnya terlindungi emailnya (SPF + DMARC yang ditegakkan)3.87%Ya

Baca lagi baris tengah itu: 45.7% dari semua domain punya SPF tetapi tanpa penegakan — nyaris mayoritas internet duduk di zona keamanan semu. Bagi tujuan penyerang, mereka dapat dipalsukan — dan 89.4% domain secara keseluruhan memang demikian.

Versi terburuk: surat masuk, tanpa penjaga di pintu

Hal ini menjadi lebih tajam bagi domain yang benar-benar menerima email. 42.7% domain menerima surat (mereka punya catatan MX) tetapi sama sekali tidak punya autentikasi email yang berfungsi — tanpa penegakan SPF, tanpa DMARC. Ini adalah domain hidup yang digunakan, yang pemiliknya mengirim dan menerima setiap hari, sepenuhnya bisa ditiru. Aktivitas itulah yang justru menjadikannya sasaran menarik untuk penipuan faktur dan penipuan pemasok.

Mengapa “kami punya SPF” menjadi jebakan

SPF lebih tua, lebih sederhana, dan hal pertama yang disebutkan kebanyakan panduan penyiapan — jadi itulah kotak yang dicentang. DMARC datang belakangan, terdengar lebih canggih, dan menuntut kemajuan yang disengaja menuju penegakan. Hasilnya adalah populasi besar yang mengadopsi langkah satu dan tidak pernah mengambil langkah dua, lalu terus percaya pekerjaan sudah selesai. Sensus untuk pertama kalinya membuat skala kesalahpahaman ini terlihat: 32.4% dengan SPF dan tanpa DMARC sama sekali.

Cara benar-benar terlindungi

  1. Pertahankan SPF Anda, tetapi jangan hanya mengandalkannya. (Perbaiki SPF.)
  2. Tambahkan DKIM agar surat Anda ditandatangani. (Perbaiki DKIM.)
  3. Publikasikan DMARC dan tingkatkan ke penegakan (p=nonequarantinereject). Inilah langkah yang mengubah “terkonfigurasi” menjadi “terlindungi”. (Perbaiki DMARC.)

Pertanyaan yang sering diajukan

Apakah SPF cukup untuk menghentikan pemalsuan email? Tidak. SPF tidak melindungi alamat “Dari” yang terlihat ataupun menyuruh penerima menolak pemalsuan — hanya kebijakan DMARC yang menegakkan yang melakukannya. 45.7% domain punya SPF tanpa penegakan itu.

Saya punya catatan SPF — apakah saya terlindungi? Tidak dengan sendirinya. Anda terlindungi hanya ketika SPF (dan idealnya DKIM) didukung oleh DMARC yang disetel ke quarantine atau reject. Hanya 3.87% domain yang mencapainya.

Berapa pangsa domain yang masih bisa ditiru? 89.4% — karena mereka tidak punya DMARC yang menegakkan, terlepas dari apakah mereka memublikasikan SPF.

Mengapa memiliki surat (MX) tanpa autentikasi sangat berisiko? 42.7% domain aktif mengirim dan menerima email tetapi tidak punya autentikasi yang berfungsi — domain hidup dan tepercaya yang bisa dipalsukan siapa saja, persis yang dicari para penipu.

Periksa apakah Anda benar-benar terlindungi

“Kami punya SPF” tidak sama dengan terlindungi. Periksa domain Anda secara gratis dan privat — lihat apakah email Anda masih bisa dipalsukan.

Periksa domain Anda → · Perbaiki DMARC → · Skor paparan domain → · p=none bukan perlindungan → · Hanya data agregat. Data disimpan dan diproses di UE.