Defaults.Exposed

Defaults.Exposed › Izveštaji

SPF nije dovoljan: 119 miliona domena koji nikada ne sprovode zaštitu

Objavljeno 2026-07-03 · ažurirano 2026-07-03

Podaci od 2026-06-29 · metodologija v7. Podaci popisa spajaju provere po domenu za 261 miliona ocenjenih domena. „Sprovodi” = DMARC politika quarantine ili reject; „potpuno zaštićen” = i SPF i DKIM su na mestu, uz DMARC koji sprovodi zaštitu — potpuna trijada autentikacije e-pošte. Svi podaci su zbirni — nikada ne objavljujemo ocenu pojedinačnog preduzeća.

Brojka: koliko domena se oslanja samo na SPF

SPF sam po sebi nije dovoljan da zaustavi lažno predstavljanje putem e-pošte — a popis sada može da izbroji koliko se domena ipak oslanja na njega: 119,212,005 (119 miliona) objavljuje SPF, ali nikada ne sprovodi DMARC. To je 85.8% svih domena koji su se potrudili da podese SPF. Njegov prateći članak, SPF bez DMARC-a, objašnjava mehanizam — zašto SPF ne može da odbrani „From” adresu koju osoba zapravo vidi; ovaj članak meri populaciju — koliko domena taj propust ostavlja izloženim, i kakav je oblik te izloženosti.

Ukratko: podešavanje SPF-a je najčešći čin bezbednosti e-pošte na internetu, a za ogromnu većinu domena koji su to uradili, to je ujedno i poslednji.

Tri populacije

139 miliona domena — njih 138,911,937 — objavljuje SPF zapis. Razvrstano po tome šta stoji iza njega:

PopulacijaDomeniUdeo među izdavačima SPF-a
SPF objavljen, nikakav DMARC zapis uopšte84,638,43060.9%
SPF objavljen, DMARC prisutan ali nikada ne sprovodi (nadskup, uključuje red iznad)119,212,00585.8%
SPF + DKIM, podržani DMARC-om koji sprovodi zaštitu10,092,481

Redovi se ne sabiraju u ukupan broj SPF-a: ostatak su izdavači SPF-a čiji DMARC sprovodi zaštitu, ali čiji DKIM nije potpuno na mestu — sprovode zaštitu, ali im nedostaje potpuna trijada koju broji donji red.

Srednji red je glavna vest: otprilike 119 miliona domena obavilo je posao deklarisanja svojih legitimnih pošiljalaca, a onda nikada nije reklo svetskim sandučićima da postupe po tome. A donji red je poenta: od svih 261 miliona ocenjenih domena, samo 3.87% — oko 10 miliona — je potpuno zaštićeno za e-poštu. Puna zaštita nije tehnički visoka lestvica; ona je jednostavno završetak putovanja koje je 119 miliona domena započelo i zaustavilo.

Zašto je brojka tako neuravnotežena

SPF je mesto gde počinje svaki vodič za podešavanje, gde se završava uvođenje kod većine provajdera e-pošte i ono što većina lista za usaglašenost zapravo proverava. On stvara vidljiv artefakt — TXT zapis — i zelenu kvačicu u bilo kom alatu koji ga je proverio. DMARC koji sprovodi zaštitu proizvodi suprotno iskustvo: zahteva progresiju (objaviti, posmatrati, identifikovati pošiljaoce, pa sprovesti), a njegova nagrada je nevidljiva — falsifikovana pošta koja tiho prestaje da stiže.

Tako je internet optimizovan za kvačicu. Popis pokazuje kako to izgleda na velikom obimu: 85 miliona domena (84,638,430) ima SPF i nikakav DMARC zapis bilo koje vrste — čak ni p=none rezervaciju mesta. Ovi vlasnici nisu lenji; pratili su uputstva koja su dobili, a uputstva su se rano zaustavila.

Šta ovde zapravo znači „pokriveno”

Posledica, ne strah: domen sa SPF-om i bez DMARC-a koji sprovodi zaštitu i dalje se može lažno predstaviti na jednom mestu gde ljudi gledaju — u vidljivoj „From” liniji. SPF omogućava serverima primaocima da provere koje mašine smeju da šalju u ime domena sa koverte, ali bez DMARC-a ne postoji zahtev da se vidljivi pošiljalac poklapa sa bilo čim što je SPF proverio, niti uputstvo da se odbije pošta koja ne prođe. Falsifikovana faktura, lažno resetovanje lozinke, preusmeravanje plaćanja dobavljaču — sve to ostaje isporučivo vašim kupcima i dobavljačima u vaše ime, uprkos SPF zapisu.

U šest faza zrelosti DMARC-a, ovih 119 miliona domena zaglavljeno je u fazama 1–3 — temelj je izgrađen, ili delimično izgrađen, a vrata nikada nisu postavljena. Razdaljina odatle do zaštićenog stanja dobro je poznata i uglavnom proceduralna; ono što ovaj popis dodaje jeste saznanje da je gotovo niko ne prelazi.

Ako je vaš domen jedan od tih 119 miliona

  1. Zadržite SPF — to je preduslov, ne greška. (Popravite SPF →.)
  2. Dodajte DKIM kako bi vaša pošta bila i potpisana, a ne samo označena po izvoru. (Popravite DKIM →.)
  3. Objavite DMARC sa izveštavanjem, pa sprovedite zaštitu — prvo p=none sa rua=, identifikujte svakog legitimnog pošiljaoca, pa pređite na quarantine i reject. Ovo je korak koji „konfigurisano” pretvara u „zaštićeno”. (Popravite DMARC →.)

Često postavljana pitanja

Da li je SPF dovoljan da zaštiti domen od lažnog predstavljanja (spoofing)? Ne. SPF proverava servere pošiljaoce u odnosu na domen sa koverte; niti proverava vidljivu „From” adresu niti govori primaocima da odbiju neuspehe. Samo DMARC politika koja sprovodi zaštitu radi oboje — a 119,212,005 domena objavljuje SPF bez nje.

Koliko domena ima SPF, ali uopšte nema DMARC? 84,638,430 — 60.9% svih izdavača SPF-a nema DMARC zapis bilo koje vrste, čak ni u režimu praćenja.

Koliko domena je potpuno zaštićeno? 10,092,481 — 3.87% od 261 miliona ocenjenih domena kombinuje SPF i DKIM sa DMARC politikom quarantine ili reject.

Da li SPF bar pomaže? Da — on je temelj u odnosu na koji DMARC vrši procenu i poboljšava isporučivost vaše legitimne pošte. Samo što sam po sebi ništa ne štiti; to je prvi korak od tri, a popis pokazuje da je većina interneta tretirala taj korak kao celo stepenište.

Proverite u kojoj je populaciji vaš domen

„Podesili smo SPF” opisuje 139 miliona domena; „zaštićeni smo” opisuje 10 miliona. Saznati koji ste od ta dva traje minut, privatno i besplatno — vidite koje od 34 provere prolazite i kako da popravite one koje ne prolazite.

Proverite svoj domen → · Šest faza zrelosti DMARC-a → · DMARC stub → · Samo zbirni podaci. Podaci se čuvaju i obrađuju u EU.