Defaults.Exposed › Raporty
Czy ktoś może wysyłać e-maile, podszywając się pod Twoją firmę? W przypadku większości domen tak (2026)
Opublikowano 2026-06-29
Dane na dzień 2026-06-29 · metodologia v7. Zagregowane dane spisowe obejmujące 261 milionów ocenionych domen. „Może zostać podszyta” oznacza, że domena nie egzekwuje DMARC (brak polityki kwarantanny lub odrzucenia) — mechanizmu, który nakazuje odbierającym serwerom pocztowym blokować sfałszowaną pocztę. Zobacz jak oceniamy.
Dla większości firm odpowiedź brzmi: tak — ktoś może wysłać e-mail, który wygląda dokładnie tak, jakby pochodził z Twojej domeny. Tylko 10,59% z 261 milionów ocenionych przez nas domen egzekwuje DMARC, jedyny mechanizm, który naprawdę blokuje podszywanie się. Pozostałe 89,41% zostawia otwarte drzwi: oszust może wstawić Twój dokładny adres w polu „Od” i większość skrzynek pokaże go jako autentyczny. To mechanizm stojący za fałszywymi fakturami, żądaniami płatności w ramach oszustwa „na prezesa” i przekrętami na dostawcach — a próba nic nie kosztuje.
Czy ktoś naprawdę może wysłać e-mail jako moja domena?
Jeśli Twoja domena nie egzekwuje DMARC, to tak. E-mail został zaprojektowany bez wbudowanego sposobu weryfikacji nadawcy, więc adres „Od” jest banalnie łatwy do sfałszowania. Trzy warstwowe ustawienia to naprawiają — SPF, DKIM i DMARC — ale tylko ostatnie, ustawione na egzekwowanie, nakazuje serwerowi odbierającemu faktyczne odrzucenie lub poddanie kwarantannie fałszerstwa. Na dzień 2026-06-29:
- 75,11% domen w ogóle nie ma rekordu DMARC.
- 14,29% ma rekord DMARC ustawiony na tylko monitorowanie (
p=none) — w audycie wygląda jak ochrona, ale nakazuje odbiorcom nic nie robić, więc sfałszowana poczta i tak dociera. - Tylko 10,59% egzekwuje politykę
quarantinelubreject— konfigurację, która zatrzymuje podszywanie się.
Zatem 89,41% domen — ponad osiem na dziesięć — może dziś zostać podszytych w poczcie e-mail.
„Ale mamy SPF” — dlaczego to nie wystarcza
To najczęstsze i najgroźniejsze nieporozumienie. 53,21% domen publikuje rekord SPF, znacznie więcej niż 10,59%, które egzekwują DMARC. Właściciele widzą SPF i zakładają, że są zabezpieczeni. Nie są: SPF (i DKIM) sprawdzają techniczną ścieżkę wysyłki, ale nie kontrolują adresu „Od”, który faktycznie widzi człowiek. Bez DMARC ustawionego na egzekwowanie atakujący może nadal przejść SPF na własnej infrastrukturze i sfałszować Twój widoczny adres. SPF to niezbędna instalacja; egzekwowanie DMARC to zamek.
Jak narażony jest Twój zakątek sieci?
Egzekwowanie różni się znacznie w zależności od końcówki domeny. Wyżej znaczy lepiej — to odsetek domen, które faktycznie blokują podszywanie się. Na dzień 2026-06-29:
| Końcówka domeny | Egzekwujące DMARC | Mogą zostać podszyte |
|---|---|---|
| .nl (Holandia) | 29,43% | 29,43% chronionych, reszta narażona |
| .de (Niemcy) | 21,38% | — |
| .in (Indie) | 19,26% | — |
| .uk (Wielka Brytania) | 13,42% | — |
| .com | 9,50% | najczęściej używana końcówka plasuje się poniżej globalnej średniej 10,59% |
| .net | 10,08% | — |
| .org | 10,01% | — |
| .xyz | 5,15% | — |
| .top | 3,17% | — |
| .cn (Chiny) | 1,45% | najniższa spośród głównych końcówek |
Nawet najlepiej radząca sobie duża końcówka chroni mniej niż jedną trzecią swoich domen. Na .com — gdzie mieszka większość firm — tylko 9,50% egzekwuje DMARC.
Ile to naprawdę kosztuje firmę
Podszywanie się przez e-mail to mechanizm stojący za jednymi z najkosztowniejszych przestępstw internetowych zgłaszanych organom ścigania na całym świecie — kompromitacją firmowej poczty e-mail. Schemat jest zawsze taki sam:
- Klient dostaje „fakturę” z Twojego adresu z danymi bankowymi oszusta, opłaca ją i odkrywa oszustwo tygodnie później — często traktując je jako Twoją winę.
- Pracownik otrzymuje pilną prośbę „od szefa” o przelanie pieniędzy lub kupienie kart podarunkowych. Adres naprawdę należy do Ciebie, więc się stosuje.
- Dostawcy mówi się „nasze dane bankowe się zmieniły” w e-mailu, który przechodzi każdą wizualną kontrolę.
Nic z tego nie wymaga włamania do Twoich systemów. Wymaga jedynie, by Twoja domena nie egzekwowała DMARC — co w przypadku 89,41% domen ma miejsce.
Jak sprawdzić, czy jesteś chroniony (i to naprawić)
Z zewnątrz nie da się stwierdzić, czy Ty jesteś w tych 10,59% — jedynym sposobem, by się dowiedzieć, jest sprawdzenie swojej domeny. Naprawa jest darmowa i zwykle zajmuje popołudnie, wykonywana po kolei: opublikuj SPF i DKIM, a następnie przejdź z DMARC do egzekwowania (p=none → quarantine → reject). Ostatni krok to ten, który naprawdę zamyka drzwi.
Najczęściej zadawane pytania
Czy ktoś może wysłać e-mail podszywając się pod moją firmę? Jeśli Twoja domena nie egzekwuje DMARC (polityki kwarantanny lub odrzucenia), tak — Twój dokładny adres „Od” może zostać sfałszowany i większość skrzynek pokaże go jako autentyczny. Na dzień 2026-06-29, 89,41% ocenionych domen jest w tym stanie.
Mamy już SPF — czy nie jesteśmy bezpieczni?
Nie. SPF sprawdza techniczną ścieżkę wysyłki, ale nie widoczny adres „Od”. 53,21% domen publikuje SPF, ale bez DMARC ustawionego na egzekwowanie Twój adres nadal można sfałszować. Potrzebujesz DMARC na quarantine lub reject.
Czy rekord DMARC nie wystarczy?
Tylko jeśli egzekwuje. Rekord ustawiony na p=none (tylko monitorowanie) — którego używa 14,29% domen — nic nie robi, by powstrzymać spoofing. Robią to tylko quarantine lub reject, a do tego dochodzi zaledwie 10,59% domen.
Jak sprawdzić własną domenę? Uruchom darmowe, prywatne sprawdzenie (poniżej). Wynik domeny pokazujemy wyłącznie jej zweryfikowanemu właścicielowi.
Czy naprawa tego jest droga? Nie. SPF, DKIM i DMARC to darmowe ustawienia DNS. Kosztem jest czas na ustawienie ich we właściwej kolejności, a nie pieniądze.
Sprawdź, czy Twoja domena może zostać podszyta
Nie zgaduj, po której stronie 10,59% się znajdujesz. Sprawdź swoją domenę prywatnie i za darmo — zobaczysz status DMARC, SPF i DKIM oraz dokładnie to, co należy naprawić.
Sprawdź swoją domenę → · Napraw DMARC → · Napraw SPF → · Jak oceniamy → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.