Defaults.Exposed › Rapporter
Å publisere SPF er ikke nok: den falske følelsen av e-postsikkerhet (2026)
Publisert 2026-06-29
Tall per 2026-06-29 · metodikk v7. Aggregerte folketellingsdata som kobler sammen kontroller per domene på tvers av 261 millioner graderte domener. «Håndhevende» = en DMARC-policy på
quarantineellerreject. Se hvordan vi graderer.
Det farligste stedet å være i e-postsikkerhet er å føle seg beskyttet. 32.4% av domenene publiserer SPF, men har ingen DMARC i det hele tatt — og 45.7% har SPF som ikke er støttet av håndheving. Disse eierne gjorde noe, så «SPF: konfigurert» og stoppet der. Men SPF alene stopper ikke noen fra å forfalske din synlige «From»-adresse — bare håndhevet DMARC gjør det. Per 2026-06-29 er bare 3.87% av domenene fullt e-postbeskyttet.
Gapet mellom «konfigurert» og «beskyttet»
SPF sjekker hvilke servere som kan sende på dine vegne. Det styrer ikke «From»-adressen en person faktisk ser, og det forteller ikke mottakere hva de skal gjøre ved feil. Det er DMARC sin jobb. Så SPF uten en håndhevende DMARC-policy er en lås uten dør bak seg:
| Tilstand | Andel av domener | Faktisk beskyttet? |
|---|---|---|
| SPF publisert, ingen DMARC-oppføring i det hele tatt | 32.4% | Nei |
| SPF publisert, DMARC ikke håndhevende | 45.7% | Nei |
| Fullt e-postbeskyttet (SPF + håndhevet DMARC) | 3.87% | Ja |
Les den midterste raden igjen: 45.7% av alle domener har SPF, men ingen håndheving — nesten et flertall av internett som sitter i falsk trygghet-sonen. For en angripers formål er de forfalskbare — og 89.4% av domenene er det samlet sett.
Den verste varianten: e-post inn, ingen vakt på døra
Det blir skarpere for domener som faktisk mottar e-post. 42.7% av domenene tar imot e-post (de har MX-oppføringer), men har ingen fungerende e-postautentisering i det hele tatt — ingen SPF-håndheving, ingen DMARC. Dette er aktive domener i bruk, hvis eiere sender og mottar hver dag, fullt mulig å utgi seg for. Aktiviteten er nettopp det som gjør dem til attraktive mål for fakturasvindel og leverandørsvindel.
Hvorfor «vi har SPF» ble fellen
SPF er eldre, enklere og det første de fleste oppsettsveiledninger nevner — så det er boksen som blir krysset av. DMARC kom senere, høres mer avansert ut og krever en bevisst progresjon mot håndheving. Resultatet er en enorm gruppe som tok i bruk steg én og aldri tok steg to, og deretter fortsatte å tro at jobben var gjort. Folketellingen synliggjør omfanget av denne misforståelsen for første gang: 32.4% med SPF og ingen DMARC i det hele tatt.
Hvordan faktisk bli beskyttet
- Behold SPF-en din, men ikke stol på den alene. (Fiks SPF.)
- Legg til DKIM slik at e-posten din er signert. (Fiks DKIM.)
- Publiser DMARC og flytt den til håndheving (
p=none→quarantine→reject). Dette er steget som gjør «konfigurert» om til «beskyttet». (Fiks DMARC.)
Ofte stilte spørsmål
Er SPF nok til å stoppe e-postforfalskning? Nei. SPF beskytter ikke den synlige «From»-adressen og ber ikke mottakere om å avvise forfalskninger — bare en håndhevende DMARC-policy gjør det. 45.7% av domenene har SPF uten den håndhevingen.
Jeg har en SPF-oppføring — er jeg beskyttet?
Ikke alene. Du er beskyttet bare når SPF (og helst DKIM) støttes av DMARC satt til quarantine eller reject. Bare 3.87% av domenene når dit.
Hvor stor andel av domenene kan fortsatt utgis for? 89.4% — fordi de mangler håndhevende DMARC, uansett om de publiserer SPF eller ikke.
Hvorfor er det spesielt risikabelt å ha e-post (MX) uten autentisering? 42.7% av domenene sender og mottar e-post aktivt, men har ingen fungerende autentisering — levende, betrodde domener som hvem som helst kan forfalske, som er nettopp det svindlere ser etter.
Sjekk om du faktisk er beskyttet
«Vi har SPF» er ikke det samme som beskyttet. Sjekk domenet ditt gratis og privat — se om e-posten din fortsatt kan forfalskes.
Sjekk domenet ditt → · Fiks DMARC → · Domeneeksponeringsscoren → · p=none er ikke beskyttelse → · Kun aggregerte data. Data lagret og behandlet i EU.