Defaults.Exposed › Отчёты
Публикации SPF недостаточно: ложное чувство защищённости почты (2026)
Опубликовано 2026-06-29
Данные по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи, объединяющие проверки по доменам по 261 миллионам оценённых доменов. «Принудительный» = политика DMARC
quarantineилиreject. См. как мы оцениваем.
Самое опасное место в безопасности электронной почты — чувствовать себя защищённым. 32,4% доменов публикуют SPF, но вообще не имеют DMARC — и 45,7% имеют SPF, не подкреплённый принуждением. Эти владельцы что-то сделали, увидели «SPF: настроен» и остановились. Но один лишь SPF не мешает кому-либо подделать ваш видимый адрес «От» — это делает только принудительный DMARC. По состоянию на 2026-06-29 лишь 3,87% доменов полностью защищены по электронной почте.
Разрыв между «настроено» и «защищено»
SPF проверяет, какие серверы могут отправлять от вашего имени. Он не управляет адресом «От», который реально видит человек, и не указывает получателям, что делать при сбое. Это задача DMARC. Поэтому SPF без принудительной политики DMARC — это замок без двери за ним:
| Состояние | Доля доменов | Реально защищён? |
|---|---|---|
| SPF опубликован, запись DMARC отсутствует вовсе | 32,4% | Нет |
| SPF опубликован, DMARC не принудительный | 45,7% | Нет |
| Полностью защищён по почте (SPF + принудительный DMARC) | 3,87% | Да |
Перечитайте средний ряд: 45,7% всех доменов имеют SPF, но без принуждения — почти большинство интернета в зоне ложной защищённости. Для целей злоумышленника они поддельны — и 89,4% доменов в целом таковы.
Худший вариант: почта входит, у двери нет охраны
Для доменов, которые действительно получают почту, всё становится острее. 42,7% доменов принимают почту (у них есть записи MX), но вообще не имеют рабочей аутентификации электронной почты — ни принуждения SPF, ни DMARC. Это живые, используемые домены, владельцы которых каждый день отправляют и получают почту, полностью поддающиеся выдаче себя за них. Именно эта активность делает их привлекательными мишенями для мошенничества со счетами и поставщиками.
Почему «у нас есть SPF» стало ловушкой
SPF старше, проще и упоминается первым в большинстве руководств по настройке — поэтому именно эту галочку и ставят. DMARC появился позже, звучит более продвинуто и требует осознанного перехода к принуждению. В результате огромная масса приняла шаг первый и так и не сделала шаг второй, а затем продолжала верить, что дело сделано. Перепись впервые делает видимым масштаб этого заблуждения: 32,4% с SPF и вовсе без DMARC.
Как действительно стать защищённым
- Сохраните свой SPF, но не полагайтесь только на него. (Исправить SPF.)
- Добавьте DKIM, чтобы ваша почта была подписана. (Исправить DKIM.)
- Опубликуйте DMARC и переведите его в принуждение (
p=none→quarantine→reject). Это шаг, который превращает «настроено» в «защищено». (Исправить DMARC.)
Часто задаваемые вопросы
Достаточно ли SPF, чтобы остановить подделку электронной почты? Нет. SPF не защищает видимый адрес «От» и не указывает получателям отклонять подделки — это делает только принудительная политика DMARC. 45,7% доменов имеют SPF без такого принуждения.
У меня есть запись SPF — я защищён?
Не сам по себе. Вы защищены только тогда, когда SPF (и в идеале DKIM) подкреплён DMARC, установленным на quarantine или reject. Лишь 3,87% доменов достигают этого.
Какая доля доменов всё ещё может быть подделана? 89,4% — потому что у них нет принудительного DMARC, независимо от того, публикуют ли они SPF.
Почему наличие почты (MX) без аутентификации особенно рискованно? 42,7% доменов активно отправляют и получают почту, но не имеют рабочей аутентификации — живые, доверенные домены, которые любой может подделать, что и ищут мошенники.
Проверьте, действительно ли вы защищены
«У нас есть SPF» — это не то же самое, что защищён. Проверьте свой домен бесплатно и конфиденциально — посмотрите, можно ли всё ещё подделать вашу почту.
Проверьте свой домен → · Исправить DMARC → · Оценка уязвимости домена → · p=none — это не защита → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.