Defaults.Exposed › Отчёты
Может ли кто-то отправлять письма от имени вашей компании? Для большинства доменов — да (2026)
Опубликовано 2026-06-29
Данные по состоянию на 2026-06-29 · методология v7. Сводные данные переписи по 261 миллионам оцененных доменов. «Может быть подделан» означает, что домен не применяет DMARC (нет политики карантина или отклонения) — механизм, который указывает принимающим почтовым серверам останавливать поддельную почту. См. как мы оцениваем.
Для большинства компаний ответ — да: кто-то может отправить письмо, которое выглядит точно как пришедшее с вашего домена. Лишь 10,59% из 261 миллионов оцененных нами доменов применяют DMARC — единственный механизм, который действительно блокирует выдачу себя за другого. Остальные 89,41% оставляют дверь открытой: мошенник может поставить ваш точный адрес в строку «От» и большинство почтовых ящиков покажут его как подлинный. Это механизм, стоящий за поддельными счетами, запросами на оплату в рамках мошенничества от имени руководителя и аферами с поставщиками — и попытка ничего не стоит.
Может ли кто-то действительно отправлять письма от имени моего домена?
Если ваш домен не применяет DMARC, то да. Электронная почта была спроектирована без встроенного способа проверки отправителя, поэтому адрес «От» подделать тривиально. Три настройки, выстроенные слоями, решают это — SPF, DKIM и DMARC — но только последняя, установленная на применение, указывает принимающему серверу действительно отклонить или поместить в карантин подделку. По состоянию на 2026-06-29:
- У 75,11% доменов вообще нет записи DMARC.
- У 14,29% есть запись DMARC в режиме только мониторинга (
p=none) — это выглядит как защита при аудите, но указывает получателям ничего не делать, поэтому поддельная почта всё равно доходит. - Только 10,59% применяют политику
quarantineилиreject— конфигурацию, которая останавливает выдачу себя за другого.
Таким образом, 89,41% доменов — более восьми из десяти — сегодня могут быть подделаны в электронной почте.
«Но у нас есть SPF» — почему этого недостаточно
Это самое распространённое и самое опасное заблуждение. 53,21% доменов публикуют запись SPF — гораздо больше, чем 10,59%, применяющих DMARC. Владельцы видят SPF и полагают, что защищены. Это не так: SPF (и DKIM) проверяют технический путь отправки, но не регулируют адрес «От», который реально видит человек. Без DMARC, установленного на применение, злоумышленник всё равно может пройти SPF на своей собственной инфраструктуре и подделать ваш видимый адрес. SPF — это необходимая «сантехника»; применение DMARC — это замок.
Насколько уязвим ваш уголок сети?
Применение сильно различается по окончанию домена. Выше — лучше: это доля доменов, которые действительно блокируют выдачу себя за другого. По состоянию на 2026-06-29:
| Окончание домена | Применяют DMARC | Могут быть подделаны |
|---|---|---|
| .nl (Нидерланды) | 29,43% | 29,43% защищены, остальные уязвимы |
| .de (Германия) | 21,38% | — |
| .in (Индия) | 19,26% | — |
| .uk (Великобритания) | 13,42% | — |
| .com | 9,50% | самое используемое окончание находится ниже глобального среднего в 10,59% |
| .net | 10,08% | — |
| .org | 10,01% | — |
| .xyz | 5,15% | — |
| .top | 3,17% | — |
| .cn (Китай) | 1,45% | самое низкое среди основных окончаний |
Даже самое эффективное крупное окончание защищает менее трети своих доменов. На .com — где находится большинство компаний — лишь 9,50% применяют DMARC.
Во что это реально обходится бизнесу
Выдача себя за другого по электронной почте — это механизм, стоящий за одними из самых дорогостоящих интернет-преступлений, о которых сообщают правоохранительным органам по всему миру, — компрометацией деловой переписки. Схема всегда одна и та же:
- Клиент получает «счёт» с вашего адреса с банковскими реквизитами мошенника, оплачивает его и обнаруживает мошенничество спустя недели — часто считая это вашей виной.
- Сотрудник получает срочный запрос «от начальника» перевести деньги или купить подарочные карты. Адрес действительно ваш, поэтому он подчиняется.
- Поставщику сообщают «наши банковские реквизиты изменились» в письме, которое проходит любую визуальную проверку.
Ничто из этого не требует взлома ваших систем. Требуется лишь, чтобы ваш домен не применял DMARC — что верно для 89,41% доменов.
Как узнать, защищены ли вы (и исправить)
Извне нельзя определить, входите ли вы в эти 10,59% — единственный способ узнать это проверить ваш домен. Исправление бесплатно и обычно занимает полдня, выполняется по порядку: опубликуйте SPF и DKIM, затем переведите DMARC на применение (p=none → quarantine → reject). Последний шаг — тот, который действительно закрывает дверь.
Часто задаваемые вопросы
Может ли кто-то отправить письмо, выдавая себя за мою компанию? Если ваш домен не применяет DMARC (политику карантина или отклонения), да — ваш точный адрес «От» может быть подделан, и большинство почтовых ящиков покажут его как подлинный. По состоянию на 2026-06-29, 89,41% оцененных доменов находятся в этом состоянии.
У нас уже есть SPF — разве мы не в безопасности?
Нет. SPF проверяет технический путь отправки, но не видимый адрес «От». 53,21% доменов публикуют SPF, но без DMARC, установленного на применение, ваш адрес всё равно может быть подделан. Вам нужен DMARC на quarantine или reject.
Разве записи DMARC недостаточно?
Только если она применяется. Запись, установленная на p=none (только мониторинг) — которую используют 14,29% доменов — ничего не делает для остановки подделки. Только quarantine или reject делают это, и лишь 10,59% доменов доходят до этого.
Как проверить мой собственный домен? Запустите бесплатную приватную проверку (ниже). Мы показываем результат домена только его подтверждённому владельцу.
Дорого ли это исправить? Нет. SPF, DKIM и DMARC — это бесплатные настройки DNS. Затраты — это время на их настройку в правильном порядке, а не деньги.
Проверьте, может ли ваш домен быть подделан
Не гадайте, на какой стороне 10,59% вы находитесь. Проверьте свой домен приватно и бесплатно — вы увидите статус DMARC, SPF и DKIM и точно, что нужно исправить.
Проверьте свой домен → · Исправить DMARC → · Исправить SPF → · Как мы оцениваем → · Только сводные данные. Данные хранятся и обрабатываются в ЕС.