Defaults.Exposed › Raporty
Publikacja SPF to za mało: fałszywe poczucie bezpieczeństwa poczty (2026)
Opublikowano 2026-06-29
Dane na dzień 2026-06-29 · metodologia v7. Zagregowane dane spisowe łączące sprawdzenia na domenę w 261 milionach ocenionych domen. „Egzekwujący” = polityka DMARC
quarantinelubreject. Zobacz jak oceniamy.
Najbardziej niebezpieczne miejsce w bezpieczeństwie poczty to poczucie ochrony. 32,4% domen publikuje SPF, ale w ogóle nie ma DMARC — a 45,7% ma SPF, który nie jest poparty egzekwowaniem. Ci właściciele coś zrobili, zobaczyli „SPF: skonfigurowany” i przestali. Ale sam SPF nie powstrzyma nikogo przed sfałszowaniem Twojego widocznego adresu „Od” — robi to tylko egzekwowany DMARC. Na dzień 2026-06-29 jedynie 3,87% domen jest w pełni chronionych w zakresie poczty.
Przepaść między „skonfigurowanym” a „chronionym”
SPF sprawdza, które serwery mogą wysyłać w Twoim imieniu. Nie zarządza adresem „Od”, który faktycznie widzi osoba, i nie mówi odbiorcom, co zrobić w razie niepowodzenia. To zadanie DMARC. Zatem SPF bez egzekwującej polityki DMARC to zamek bez drzwi za nim:
| Stan | Udział domen | Faktycznie chroniony? |
|---|---|---|
| SPF opublikowany, brak jakiegokolwiek rekordu DMARC | 32,4% | Nie |
| SPF opublikowany, DMARC nieegzekwujący | 45,7% | Nie |
| W pełni chroniony w zakresie poczty (SPF + egzekwowany DMARC) | 3,87% | Tak |
Przeczytaj jeszcze raz środkowy wiersz: 45,7% wszystkich domen ma SPF, ale bez egzekwowania — niemal większość internetu tkwiąca w strefie fałszywego bezpieczeństwa. Dla celów atakującego są one możliwe do sfałszowania — a 89,4% domen ogółem takie jest.
Najgorsza wersja: poczta wchodzi, brak strażnika przy drzwiach
Robi się ostrzej w przypadku domen, które rzeczywiście odbierają pocztę. 42,7% domen przyjmuje pocztę (mają rekordy MX), ale nie ma żadnego działającego uwierzytelniania poczty — bez egzekwowania SPF, bez DMARC. To aktywne, używane domeny, których właściciele codziennie wysyłają i odbierają pocztę, w pełni podatne na podszywanie. To właśnie ta aktywność czyni je atrakcyjnymi celami oszustw na faktury i przekrętów na dostawców.
Dlaczego „mamy SPF” stało się pułapką
SPF jest starszy, prostszy i to pierwsza rzecz, którą wymienia większość przewodników konfiguracyjnych — więc to ta kratka zostaje odhaczona. DMARC pojawił się później, brzmi bardziej zaawansowanie i wymaga świadomego przechodzenia do egzekwowania. W rezultacie ogromna populacja przyjęła krok pierwszy, a nigdy nie wykonała kroku drugiego, po czym dalej wierzyła, że praca jest skończona. Spis po raz pierwszy uwidacznia skalę tego nieporozumienia: 32,4% z SPF i bez żadnego DMARC.
Jak naprawdę uzyskać ochronę
- Zachowaj swój SPF, ale nie polegaj wyłącznie na nim. (Napraw SPF.)
- Dodaj DKIM, aby Twoja poczta była podpisana. (Napraw DKIM.)
- Opublikuj DMARC i przejdź do egzekwowania (
p=none→quarantine→reject). To krok, który zamienia „skonfigurowany” w „chroniony”. (Napraw DMARC.)
Najczęściej zadawane pytania
Czy SPF wystarczy, aby powstrzymać podszywanie się pod pocztę? Nie. SPF nie chroni widocznego adresu „Od” ani nie nakazuje odbiorcom odrzucać fałszerstw — robi to tylko egzekwująca polityka DMARC. 45,7% domen ma SPF bez tego egzekwowania.
Mam rekord SPF — czy jestem chroniony?
Nie sam z siebie. Jesteś chroniony tylko wtedy, gdy SPF (i najlepiej DKIM) jest poparty przez DMARC ustawiony na quarantine lub reject. Jedynie 3,87% domen to osiąga.
Jaki udział domen wciąż może być obiektem podszywania? 89,4% — ponieważ brakuje im egzekwującego DMARC, niezależnie od tego, czy publikują SPF.
Dlaczego posiadanie poczty (MX) bez uwierzytelniania jest szczególnie ryzykowne? 42,7% domen aktywnie wysyła i odbiera pocztę, ale nie ma działającego uwierzytelniania — aktywne, zaufane domeny, które każdy może sfałszować, czyli dokładnie to, czego szukają oszuści.
Sprawdź, czy naprawdę jesteś chroniony
„Mamy SPF” to nie to samo, co chroniony. Sprawdź swoją domenę za darmo i prywatnie — zobacz, czy Twoją pocztę nadal można sfałszować.
Sprawdź swoją domenę → · Napraw DMARC → · Wskaźnik ekspozycji domeny → · p=none to nie ochrona → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.