Defaults.Exposed

Defaults.Exposed › Raporty

Publikacja SPF to za mało: fałszywe poczucie bezpieczeństwa poczty (2026)

Opublikowano 2026-06-29

Dane na dzień 2026-06-29 · metodologia v7. Zagregowane dane spisowe łączące sprawdzenia na domenę w 261 milionach ocenionych domen. „Egzekwujący” = polityka DMARC quarantine lub reject. Zobacz jak oceniamy.

Najbardziej niebezpieczne miejsce w bezpieczeństwie poczty to poczucie ochrony. 32,4% domen publikuje SPF, ale w ogóle nie ma DMARC — a 45,7% ma SPF, który nie jest poparty egzekwowaniem. Ci właściciele coś zrobili, zobaczyli „SPF: skonfigurowany” i przestali. Ale sam SPF nie powstrzyma nikogo przed sfałszowaniem Twojego widocznego adresu „Od” — robi to tylko egzekwowany DMARC. Na dzień 2026-06-29 jedynie 3,87% domen jest w pełni chronionych w zakresie poczty.

Przepaść między „skonfigurowanym” a „chronionym”

SPF sprawdza, które serwery mogą wysyłać w Twoim imieniu. Nie zarządza adresem „Od”, który faktycznie widzi osoba, i nie mówi odbiorcom, co zrobić w razie niepowodzenia. To zadanie DMARC. Zatem SPF bez egzekwującej polityki DMARC to zamek bez drzwi za nim:

StanUdział domenFaktycznie chroniony?
SPF opublikowany, brak jakiegokolwiek rekordu DMARC32,4%Nie
SPF opublikowany, DMARC nieegzekwujący45,7%Nie
W pełni chroniony w zakresie poczty (SPF + egzekwowany DMARC)3,87%Tak

Przeczytaj jeszcze raz środkowy wiersz: 45,7% wszystkich domen ma SPF, ale bez egzekwowania — niemal większość internetu tkwiąca w strefie fałszywego bezpieczeństwa. Dla celów atakującego są one możliwe do sfałszowania — a 89,4% domen ogółem takie jest.

Najgorsza wersja: poczta wchodzi, brak strażnika przy drzwiach

Robi się ostrzej w przypadku domen, które rzeczywiście odbierają pocztę. 42,7% domen przyjmuje pocztę (mają rekordy MX), ale nie ma żadnego działającego uwierzytelniania poczty — bez egzekwowania SPF, bez DMARC. To aktywne, używane domeny, których właściciele codziennie wysyłają i odbierają pocztę, w pełni podatne na podszywanie. To właśnie ta aktywność czyni je atrakcyjnymi celami oszustw na faktury i przekrętów na dostawców.

Dlaczego „mamy SPF” stało się pułapką

SPF jest starszy, prostszy i to pierwsza rzecz, którą wymienia większość przewodników konfiguracyjnych — więc to ta kratka zostaje odhaczona. DMARC pojawił się później, brzmi bardziej zaawansowanie i wymaga świadomego przechodzenia do egzekwowania. W rezultacie ogromna populacja przyjęła krok pierwszy, a nigdy nie wykonała kroku drugiego, po czym dalej wierzyła, że praca jest skończona. Spis po raz pierwszy uwidacznia skalę tego nieporozumienia: 32,4% z SPF i bez żadnego DMARC.

Jak naprawdę uzyskać ochronę

  1. Zachowaj swój SPF, ale nie polegaj wyłącznie na nim. (Napraw SPF.)
  2. Dodaj DKIM, aby Twoja poczta była podpisana. (Napraw DKIM.)
  3. Opublikuj DMARC i przejdź do egzekwowania (p=nonequarantinereject). To krok, który zamienia „skonfigurowany” w „chroniony”. (Napraw DMARC.)

Najczęściej zadawane pytania

Czy SPF wystarczy, aby powstrzymać podszywanie się pod pocztę? Nie. SPF nie chroni widocznego adresu „Od” ani nie nakazuje odbiorcom odrzucać fałszerstw — robi to tylko egzekwująca polityka DMARC. 45,7% domen ma SPF bez tego egzekwowania.

Mam rekord SPF — czy jestem chroniony? Nie sam z siebie. Jesteś chroniony tylko wtedy, gdy SPF (i najlepiej DKIM) jest poparty przez DMARC ustawiony na quarantine lub reject. Jedynie 3,87% domen to osiąga.

Jaki udział domen wciąż może być obiektem podszywania? 89,4% — ponieważ brakuje im egzekwującego DMARC, niezależnie od tego, czy publikują SPF.

Dlaczego posiadanie poczty (MX) bez uwierzytelniania jest szczególnie ryzykowne? 42,7% domen aktywnie wysyła i odbiera pocztę, ale nie ma działającego uwierzytelniania — aktywne, zaufane domeny, które każdy może sfałszować, czyli dokładnie to, czego szukają oszuści.

Sprawdź, czy naprawdę jesteś chroniony

„Mamy SPF” to nie to samo, co chroniony. Sprawdź swoją domenę za darmo i prywatnie — zobacz, czy Twoją pocztę nadal można sfałszować.

Sprawdź swoją domenę → · Napraw DMARC → · Wskaźnik ekspozycji domeny → · p=none to nie ochrona → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.