Defaults.Exposed

Defaults.Exposed › Reporty

Zverejnenie SPF nestačí: Falošný pocit bezpečnosti e-mailu (2026)

Publikované 2026-06-29

Údaje k 2026-06-29 · metodika v7. Agregované údaje zo sčítania spájajúce kontroly na doménu naprieč 261 miliónmi ohodnotených domén. „Vynucujúca“ = politika DMARC typu quarantine alebo reject. Pozri ako hodnotíme.

Najnebezpečnejšie miesto v bezpečnosti e-mailu je cítiť sa chránený. 32.4% domén publikuje SPF, ale nemá vôbec žiadny DMARC — a 45.7% má SPF, ktorý nie je podložený vynucovaním. Títo vlastníci niečo urobili, videli „SPF: nakonfigurované“ a skončili. Ale samotný SPF nezastaví niekoho, kto falšuje vašu viditeľnú adresu „From“ — to dokáže iba vynucovaný DMARC. K 2026-06-29 je len 3.87% domén plne e-mailovo chránených.

Priepasť medzi „nakonfigurované“ a „chránené“

SPF kontroluje, ktoré servery môžu odosielať vo vašom mene. Neriadi adresu „From“, ktorú človek skutočne vidí, a nehovorí príjemcom, čo robiť pri zlyhaní. To je úloha DMARC. Takže SPF bez vynucujúcej politiky DMARC je zámok bez dverí za ním:

StavPodiel doménSkutočne chránené?
SPF publikované, vôbec žiadny záznam DMARC32.4%Nie
SPF publikované, DMARC nevynucujúci45.7%Nie
Plne e-mailovo chránené (SPF + vynucovaný DMARC)3.87%Áno

Prečítajte si stredný riadok znova: 45.7% všetkých domén má SPF, ale žiadne vynucovanie — takmer väčšina internetu sediaca v zóne falošnej bezpečnosti. Na účely útočníka sú sfalšovateľné — a 89.4% domén celkovo také je.

Najhoršia verzia: pošta dnu, žiadna stráž pri dverách

Pre domény, ktoré skutočne prijímajú e-maily, je to ostrejšie. 42.7% domén prijíma poštu (majú záznamy MX), ale nemá vôbec žiadnu funkčnú e-mailovú autentifikáciu — žiadne vynucovanie SPF, žiadny DMARC. Sú to živé, používané domény, ktorých vlastníci denne odosielajú a prijímajú a sú plne napodobiteľné. Práve táto aktivita z nich robí lákavé ciele pre faktúrne podvody a podvody s dodávateľmi.

Prečo sa „máme SPF“ stalo pascou

SPF je starší, jednoduchší a prvá vec, ktorú spomína väčšina návodov na nastavenie — preto je to políčko, ktoré sa zaškrtne. DMARC prišiel neskôr, znie pokročilejšie a vyžaduje zámerný postup k vynucovaniu. Výsledkom je obrovská skupina, ktorá prijala krok jeden a nikdy neurobila krok dva, a potom ďalej verila, že práca je hotová. Sčítanie po prvý raz zviditeľňuje rozsah tohto omylu: 32.4% má SPF a vôbec žiadny DMARC.

Ako sa skutočne ochrániť

  1. Ponechajte si SPF, ale nespoliehajte sa naň samotný. (Opraviť SPF.)
  2. Pridajte DKIM, aby bola vaša pošta podpísaná. (Opraviť DKIM.)
  3. Publikujte DMARC a posuňte ho k vynucovaniu (p=nonequarantinereject). Toto je krok, ktorý premieňa „nakonfigurované“ na „chránené“. (Opraviť DMARC.)

Často kladené otázky

Stačí SPF na zastavenie falšovania e-mailov? Nie. SPF nechráni viditeľnú adresu „From“ ani nehovorí príjemcom, aby odmietli falzifikáty — to dokáže len vynucujúca politika DMARC. 45.7% domén má SPF bez tohto vynucovania.

Mám záznam SPF — som chránený? Nie sám o sebe. Ste chránený len vtedy, keď je SPF (a ideálne DKIM) podložený DMARC nastaveným na quarantine alebo reject. Len 3.87% domén to dosahuje.

Aký podiel domén možno stále napodobniť? 89.4% — pretože im chýba vynucujúci DMARC, bez ohľadu na to, či publikujú SPF.

Prečo je mať poštu (MX) bez autentifikácie obzvlášť rizikové? 42.7% domén aktívne odosiela a prijíma e-maily, ale nemá funkčnú autentifikáciu — živé, dôveryhodné domény, ktoré môže ktokoľvek sfalšovať, čo je presne to, čo podvodníci hľadajú.

Skontrolujte, či ste skutočne chránení

„Máme SPF“ nie je to isté ako chránený. Skontrolujte svoju doménu zadarmo a súkromne — pozrite sa, či sa váš e-mail dá stále sfalšovať.

Skontrolujte svoju doménu → · Opraviť DMARC → · Skóre vystavenia domény → · p=none nie je ochrana → · Len agregované údaje. Údaje uložené a spracované v EÚ.