Defaults.Exposed › Rapoarte
Publicarea SPF nu este suficientă: falsul sentiment de securitate a e-mailului (2026)
Publicat 2026-06-29
Cifre valabile la 2026-06-29 · metodologie v7. Date agregate de recensământ care reunesc verificările per domeniu pentru 261 milioane de domenii evaluate. „În aplicare” = o politică DMARC de tip
quarantinesaureject. Vezi cum acordăm notele.
Cel mai periculos loc în securitatea e-mailului este să te simți protejat. 32.4% dintre domenii publică SPF, dar nu au deloc DMARC — iar 45.7% au SPF care nu este susținut de o aplicare a politicii. Acești proprietari au făcut ceva, au văzut „SPF: configurat” și s-au oprit. Dar SPF de unul singur nu împiedică pe cineva să falsifice adresa „From” vizibilă — doar DMARC aplicat o face. La 2026-06-29, doar 3.87% dintre domenii sunt pe deplin protejate pentru e-mail.
Diferența dintre „configurat” și „protejat”
SPF verifică ce servere pot trimite în numele tău. El nu guvernează adresa „From” pe care o vede de fapt o persoană și nu spune destinatarilor ce să facă în caz de eșec. Aceasta este sarcina DMARC. Așadar, SPF fără o politică DMARC în aplicare este o broască fără ușă în spatele ei:
| Stare | Pondere a domeniilor | Protejat cu adevărat? |
|---|---|---|
| SPF publicat, niciun fel de înregistrare DMARC | 32.4% | Nu |
| SPF publicat, DMARC fără aplicare | 45.7% | Nu |
| Pe deplin protejat pentru e-mail (SPF + DMARC aplicat) | 3.87% | Da |
Citește din nou rândul din mijloc: 45.7% dintre toate domeniile au SPF, dar nicio aplicare — aproape o majoritate a internetului aflată în zona falsei securități. Pentru scopurile unui atacator, ele sunt falsificabile — iar 89.4% dintre domenii sunt, în ansamblu.
Cea mai gravă variantă: mail care intră, fără pază la ușă
Lucrurile se ascut pentru domeniile care chiar primesc e-mail. 42.7% dintre domenii acceptă mail (au înregistrări MX), dar nu au deloc o autentificare de e-mail funcțională — nicio aplicare SPF, niciun DMARC. Acestea sunt domenii active, în uz, ai căror proprietari trimit și primesc zilnic, complet impersonabile. Tocmai activitatea le face ținte atractive pentru frauda cu facturi și escrocheriile cu furnizori.
De ce „avem SPF” a devenit capcana
SPF este mai vechi, mai simplu și primul lucru pe care îl menționează majoritatea ghidurilor de configurare — așa că este căsuța care se bifează. DMARC a venit mai târziu, sună mai avansat și necesită o progresie deliberată către aplicare. Rezultatul este o populație uriașă care a adoptat pasul unu și nu a făcut niciodată pasul doi, apoi a continuat să creadă că treaba era gata. Recensământul face vizibilă pentru prima dată amploarea acestei concepții greșite: 32.4% cu SPF și niciun fel de DMARC.
Cum să te protejezi cu adevărat
- Păstrează-ți SPF, dar nu te baza doar pe el. (Repară SPF.)
- Adaugă DKIM astfel încât mailul tău să fie semnat. (Repară DKIM.)
- Publică DMARC și mută-l spre aplicare (
p=none→quarantine→reject). Acesta este pasul care transformă „configurat” în „protejat”. (Repară DMARC.)
Întrebări frecvente
Este SPF suficient pentru a opri falsificarea e-mailului? Nu. SPF nu protejează adresa „From” vizibilă și nu spune destinatarilor să respingă falsurile — doar o politică DMARC în aplicare o face. 45.7% dintre domenii au SPF fără acea aplicare.
Am o înregistrare SPF — sunt protejat?
Nu de unul singur. Ești protejat doar atunci când SPF (și, ideal, DKIM) este susținut de DMARC setat la quarantine sau reject. Doar 3.87% dintre domenii ajung acolo.
Ce pondere a domeniilor poate fi încă impersonată? 89.4% — pentru că le lipsește DMARC în aplicare, indiferent dacă publică sau nu SPF.
De ce este deosebit de riscant să ai mail (MX) fără autentificare? 42.7% dintre domenii trimit și primesc e-mail în mod activ, dar nu au o autentificare funcțională — domenii vii, de încredere, pe care oricine le poate falsifica, exact ceea ce caută escrocii.
Verifică dacă ești cu adevărat protejat
„Avem SPF” nu este același lucru cu a fi protejat. Verifică-ți domeniul gratuit și privat — vezi dacă e-mailul tău poate fi încă falsificat.
Verifică-ți domeniul → · Repară DMARC → · Scorul de expunere a domeniului → · p=none nu înseamnă protecție → · Doar date agregate. Date stocate și procesate în UE.