Defaults.Exposed

Defaults.Exposed › Отчёты

Публикации SPF недостаточно: ложное чувство защищённости почты (2026)

Опубликовано 2026-06-29

Данные по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи, объединяющие проверки по доменам по 261 миллионам оценённых доменов. «Принудительный» = политика DMARC quarantine или reject. См. как мы оцениваем.

Самое опасное место в безопасности электронной почты — чувствовать себя защищённым. 32,4% доменов публикуют SPF, но вообще не имеют DMARC — и 45,7% имеют SPF, не подкреплённый принуждением. Эти владельцы что-то сделали, увидели «SPF: настроен» и остановились. Но один лишь SPF не мешает кому-либо подделать ваш видимый адрес «От» — это делает только принудительный DMARC. По состоянию на 2026-06-29 лишь 3,87% доменов полностью защищены по электронной почте.

Разрыв между «настроено» и «защищено»

SPF проверяет, какие серверы могут отправлять от вашего имени. Он не управляет адресом «От», который реально видит человек, и не указывает получателям, что делать при сбое. Это задача DMARC. Поэтому SPF без принудительной политики DMARC — это замок без двери за ним:

СостояниеДоля доменовРеально защищён?
SPF опубликован, запись DMARC отсутствует вовсе32,4%Нет
SPF опубликован, DMARC не принудительный45,7%Нет
Полностью защищён по почте (SPF + принудительный DMARC)3,87%Да

Перечитайте средний ряд: 45,7% всех доменов имеют SPF, но без принуждения — почти большинство интернета в зоне ложной защищённости. Для целей злоумышленника они поддельны — и 89,4% доменов в целом таковы.

Худший вариант: почта входит, у двери нет охраны

Для доменов, которые действительно получают почту, всё становится острее. 42,7% доменов принимают почту (у них есть записи MX), но вообще не имеют рабочей аутентификации электронной почты — ни принуждения SPF, ни DMARC. Это живые, используемые домены, владельцы которых каждый день отправляют и получают почту, полностью поддающиеся выдаче себя за них. Именно эта активность делает их привлекательными мишенями для мошенничества со счетами и поставщиками.

Почему «у нас есть SPF» стало ловушкой

SPF старше, проще и упоминается первым в большинстве руководств по настройке — поэтому именно эту галочку и ставят. DMARC появился позже, звучит более продвинуто и требует осознанного перехода к принуждению. В результате огромная масса приняла шаг первый и так и не сделала шаг второй, а затем продолжала верить, что дело сделано. Перепись впервые делает видимым масштаб этого заблуждения: 32,4% с SPF и вовсе без DMARC.

Как действительно стать защищённым

  1. Сохраните свой SPF, но не полагайтесь только на него. (Исправить SPF.)
  2. Добавьте DKIM, чтобы ваша почта была подписана. (Исправить DKIM.)
  3. Опубликуйте DMARC и переведите его в принуждение (p=nonequarantinereject). Это шаг, который превращает «настроено» в «защищено». (Исправить DMARC.)

Часто задаваемые вопросы

Достаточно ли SPF, чтобы остановить подделку электронной почты? Нет. SPF не защищает видимый адрес «От» и не указывает получателям отклонять подделки — это делает только принудительная политика DMARC. 45,7% доменов имеют SPF без такого принуждения.

У меня есть запись SPF — я защищён? Не сам по себе. Вы защищены только тогда, когда SPF (и в идеале DKIM) подкреплён DMARC, установленным на quarantine или reject. Лишь 3,87% доменов достигают этого.

Какая доля доменов всё ещё может быть подделана? 89,4% — потому что у них нет принудительного DMARC, независимо от того, публикуют ли они SPF.

Почему наличие почты (MX) без аутентификации особенно рискованно? 42,7% доменов активно отправляют и получают почту, но не имеют рабочей аутентификации — живые, доверенные домены, которые любой может подделать, что и ищут мошенники.

Проверьте, действительно ли вы защищены

«У нас есть SPF» — это не то же самое, что защищён. Проверьте свой домен бесплатно и конфиденциально — посмотрите, можно ли всё ещё подделать вашу почту.

Проверьте свой домен → · Исправить DMARC → · Оценка уязвимости домена → · p=none — это не защита → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.