Defaults.Exposed

Defaults.Exposed › Laporan

Menerbitkan SPF Tidak Mencukupi: Rasa Selamat E-mel yang Palsu (2026)

Diterbitkan 2026-06-29

Angka setakat 2026-06-29 · metodologi v7. Data banci agregat yang menggabungkan pemeriksaan setiap domain merentas 261 juta domain yang dinilai. “Menguatkuasakan” = dasar DMARC quarantine atau reject. Lihat cara kami menilai.

Tempat paling berbahaya dalam keselamatan e-mel ialah merasa dilindungi. 32.4% domain menerbitkan SPF tetapi langsung tiada DMARC — dan 45.7% mempunyai SPF yang tidak disokong oleh penguatkuasaan. Pemilik ini melakukan sesuatu, melihat “SPF: dikonfigurasikan,” dan berhenti. Tetapi SPF sahaja tidak menghalang seseorang daripada memalsukan alamat “From” anda yang kelihatan — hanya DMARC yang dikuatkuasakan yang melakukannya. Setakat 2026-06-29, hanya 3.87% domain dilindungi e-mel sepenuhnya.

Jurang antara “dikonfigurasikan” dan “dilindungi”

SPF memeriksa pelayan mana yang boleh menghantar bagi pihak anda. Ia tidak mengawal alamat “From” yang sebenarnya dilihat seseorang, dan ia tidak memberitahu penerima apa yang perlu dilakukan apabila gagal. Itu tugas DMARC. Jadi SPF tanpa dasar DMARC yang menguatkuasakan ialah kunci tanpa pintu di belakangnya:

KeadaanBahagian domainBenar-benar dilindungi?
SPF diterbitkan, langsung tiada rekod DMARC32.4%Tidak
SPF diterbitkan, DMARC tidak menguatkuasakan45.7%Tidak
Dilindungi e-mel sepenuhnya (SPF + DMARC dikuatkuasakan)3.87%Ya

Baca semula baris tengah itu: 45.7% daripada semua domain mempunyai SPF tetapi tiada penguatkuasaan — hampir majoriti internet berada dalam zon keselamatan palsu. Bagi tujuan penyerang, ia boleh dipalsukan — dan 89.4% domain secara keseluruhan adalah begitu.

Versi paling buruk: mel masuk, tiada pengawal di pintu

Ia menjadi lebih tajam bagi domain yang benar-benar menerima e-mel. 42.7% domain menerima mel (ada rekod MX) tetapi langsung tiada pengesahan e-mel yang berfungsi — tiada penguatkuasaan SPF, tiada DMARC. Ini ialah domain hidup yang sedang digunakan, yang pemiliknya menghantar dan menerima setiap hari, dan boleh disamar sepenuhnya. Aktiviti itulah yang menjadikannya sasaran menarik untuk penipuan invois dan penipuan pembekal.

Mengapa “kami ada SPF” menjadi perangkap

SPF lebih lama, lebih ringkas, dan perkara pertama yang disebut oleh kebanyakan panduan persediaan — jadi itulah kotak yang ditanda. DMARC datang kemudian, kedengaran lebih maju, dan memerlukan kemajuan yang disengajakan ke arah penguatkuasaan. Hasilnya ialah populasi besar yang menerima langkah satu dan tidak pernah mengambil langkah dua, kemudian terus percaya tugas itu sudah selesai. Banci menjadikan skala salah faham itu kelihatan buat kali pertama: 32.4% dengan SPF dan langsung tiada DMARC.

Cara untuk benar-benar dilindungi

  1. Kekalkan SPF anda, tetapi jangan bergantung kepadanya sahaja. (Baiki SPF.)
  2. Tambah DKIM supaya mel anda ditandatangani. (Baiki DKIM.)
  3. Terbitkan DMARC dan alihkannya ke penguatkuasaan (p=nonequarantinereject). Inilah langkah yang menukar “dikonfigurasikan” kepada “dilindungi”. (Baiki DMARC.)

Soalan lazim

Adakah SPF cukup untuk menghentikan pemalsuan e-mel? Tidak. SPF tidak melindungi alamat “From” yang kelihatan dan tidak memberitahu penerima untuk menolak pemalsuan — hanya dasar DMARC yang menguatkuasakan yang melakukannya. 45.7% domain mempunyai SPF tanpa penguatkuasaan itu.

Saya ada rekod SPF — adakah saya dilindungi? Tidak dengan sendirinya. Anda dilindungi hanya apabila SPF (dan idealnya DKIM) disokong oleh DMARC yang ditetapkan kepada quarantine atau reject. Hanya 3.87% domain mencapainya.

Berapakah bahagian domain yang masih boleh disamar? 89.4% — kerana ia tiada DMARC yang menguatkuasakan, tanpa mengira sama ada ia menerbitkan SPF atau tidak.

Mengapa mempunyai mel (MX) tanpa pengesahan amat berisiko? 42.7% domain secara aktif menghantar dan menerima e-mel tetapi tiada pengesahan yang berfungsi — domain hidup yang dipercayai yang sesiapa sahaja boleh palsukan, dan itulah tepatnya yang dicari penipu.

Semak sama ada anda benar-benar dilindungi

“Kami ada SPF” tidak sama dengan dilindungi. Semak domain anda secara percuma dan peribadi — lihat sama ada e-mel anda masih boleh dipalsukan.

Semak domain anda → · Baiki DMARC → · Skor pendedahan domain → · p=none bukan perlindungan → · Data agregat sahaja. Data disimpan dan diproses di EU.