Defaults.Exposed

Defaults.Exposed › Izveštaji

Objaviti SPF nije dovoljno: Lažni osećaj bezbednosti mejla (2026)

Objavljeno 2026-06-29

Бројке на дан 2026-06-29 · методологија v7. Обједињени подаци пописа који спајају провере по домену кроз 261 милиона оцењених домена. „Спроводљива“ = DMARC политика типа quarantine или reject. Погледајте како оцењујемо.

Најопасније место у безбедности имејла јесте осећати се заштићеним. 32.4% домена објављује SPF, али уопште нема DMARC — а 45.7% има SPF који није поткрепљен спровођењем. Ови власници су нешто урадили, видели „SPF: подешено“ и стали. Али SPF сам по себи не спречава некога да фалсификује вашу видљиву „From“ адресу — то ради само спроведени DMARC. На дан 2026-06-29, само 3.87% домена је потпуно заштићено за имејл.

Јаз између „подешено“ и „заштићено“

SPF проверава који сервери смеју да шаљу у ваше име. Он не управља „From“ адресом коју особа заиста види, нити говори примаоцима шта да раде при неуспеху. То је посао DMARC-а. Дакле, SPF без спроводљиве DMARC политике јесте брава без врата иза себе:

СтањеУдео доменаЗаиста заштићено?
SPF објављен, уопште нема DMARC записа32.4%Не
SPF објављен, DMARC не спроводи45.7%Не
Потпуно заштићено за имејл (SPF + спроведени DMARC)3.87%Да

Прочитајте поново средњи ред: 45.7% свих домена има SPF, али без спровођења — скоро већина интернета седи у зони лажне безбедности. За потребе нападача, они су подложни фалсификовању — а 89.4% домена укупно јесте.

Најгора верзија: пошта улази, на вратима нема страже

Оштрије је за домене који заиста примају имејл. 42.7% домена прихвата пошту (имају MX записе), али уопште нема функционалне аутентификације имејла — нема спровођења SPF-а, нема DMARC-а. То су живи домени у употреби, чији власници шаљу и примају сваког дана, потпуно подложни лажном представљању. Управо та активност чини их привлачним метама за превару с фактурама и преваре с добављачима.

Зашто је „имамо SPF“ постало замка

SPF је старији, једноставнији и прво што већина водича за подешавање помиње — па је то поље које се штиклира. DMARC је дошао касније, звучи напредније и захтева смишљено напредовање ка спровођењу. Резултат је огромна популација која је усвојила први корак и никада није предузела други, а затим наставила да верује да је посао завршен. Попис по први пут чини размере те заблуде видљивим: 32.4% са SPF-ом и уопште без DMARC-а.

Како се заиста заштитити

  1. Задржите свој SPF, али се не ослањајте само на њега. (Поправи SPF.)
  2. Додајте DKIM како би ваша пошта била потписана. (Поправи DKIM.)
  3. Објавите DMARC и пређите на спровођење (p=nonequarantinereject). Ово је корак који претвара „подешено“ у „заштићено“. (Поправи DMARC.)

Често постављана питања

Да ли је SPF довољан да заустави фалсификовање имејла? Не. SPF не штити видљиву „From“ адресу нити говори примаоцима да одбаце фалсификате — то ради само спроводљива DMARC политика. 45.7% домена има SPF без тог спровођења.

Имам SPF запис — да ли сам заштићен? Не сам по себи. Заштићени сте само када је SPF (и идеално DKIM) поткрепљен DMARC-ом подешеним на quarantine или reject. Само 3.87% домена то достиже.

Који удео домена и даље може бити лажно представљен? 89.4% — јер им недостаје спроводљиви DMARC, без обзира на то да ли објављују SPF.

Зашто је имати пошту (MX) без аутентификације нарочито ризично? 42.7% домена активно шаље и прима имејл, али нема функционалну аутентификацију — живи, поуздани домени које свако може да фалсификује, а то је управо оно што преваранти траже.

Проверите да ли сте заиста заштићени

„Имамо SPF“ није исто што и заштићен. Проверите свој домен бесплатно и приватно — видите да ли се ваш имејл и даље може фалсификовати.

Проверите свој домен → · Поправи DMARC → · Оцена изложености домена → · p=none није заштита → · Само обједињени подаци. Подаци се чувају и обрађују у ЕУ.