Defaults.Exposed

Defaults.Exposed › Rapporter

Att publicera SPF räcker inte: den falska känslan av e-postsäkerhet (2026)

Publicerad 2026-06-29

Siffror per 2026-06-29 · metodik v7. Aggregerade folkräkningsdata som sammanför kontroller per domän över 261 miljoner betygsatta domäner. ”Tillämpande” = en DMARC-policy med quarantine eller reject. Se hur vi betygsätter.

Den farligaste platsen inom e-postsäkerhet är att känna sig skyddad. 32.4% av domänerna publicerar SPF men har inget DMARC alls — och 45.7% har SPF som inte backas upp av tillämpning. Dessa ägare gjorde något, såg ”SPF: konfigurerad” och stannade. Men SPF ensamt hindrar ingen från att förfalska din synliga ”Från”-adress — bara tillämpad DMARC gör det. Per 2026-06-29 är endast 3.87% av domänerna fullt e-postskyddade.

Klyftan mellan ”konfigurerad” och ”skyddad”

SPF kontrollerar vilka servrar som får skicka för din räkning. Det styr inte den ”Från”-adress en person faktiskt ser, och det talar inte om för mottagare vad de ska göra vid fel. Det är DMARC:s uppgift. Så SPF utan en tillämpande DMARC-policy är ett lås utan dörr bakom:

TillståndAndel domänerFaktiskt skyddad?
SPF publicerad, ingen DMARC-post alls32.4%Nej
SPF publicerad, DMARC inte tillämpande45.7%Nej
Fullt e-postskyddad (SPF + tillämpad DMARC)3.87%Ja

Läs mittenraden igen: 45.7% av alla domäner har SPF men ingen tillämpning — nästan en majoritet av internet sittande i zonen för falsk säkerhet. För en angripares syften är de förfalskningsbara — och 89.4% av domänerna totalt är det.

Den värsta varianten: post in, ingen vakt vid dörren

Det blir skarpare för domäner som faktiskt tar emot e-post. 42.7% av domänerna tar emot post (de har MX-poster) men har ingen fungerande e-postautentisering alls — ingen SPF-tillämpning, inget DMARC. Det här är aktiva domäner i bruk vars ägare skickar och tar emot varje dag, fullt möjliga att utge sig för. Just aktiviteten är vad som gör dem till attraktiva mål för fakturabedrägeri och leverantörsbedrägerier.

Varför ”vi har SPF” blev fällan

SPF är äldre, enklare och det första de flesta installationsguider nämner — så det är rutan som bockas av. DMARC kom senare, låter mer avancerat och kräver en medveten progression till tillämpning. Resultatet är en enorm grupp som antog steg ett och aldrig tog steg två, och sedan fortsatte tro att jobbet var gjort. Folkräkningen gör för första gången omfattningen av detta missförstånd synlig: 32.4% med SPF och inget DMARC alls.

Hur du faktiskt blir skyddad

  1. Behåll ditt SPF, men lita inte enbart på det. (Åtgärda SPF.)
  2. Lägg till DKIM så att din post signeras. (Åtgärda DKIM.)
  3. Publicera DMARC och flytta det till tillämpning (p=nonequarantinereject). Det är steget som omvandlar ”konfigurerad” till ”skyddad”. (Åtgärda DMARC.)

Vanliga frågor

Räcker SPF för att stoppa e-postförfalskning? Nej. SPF skyddar inte den synliga ”Från”-adressen och säger inte åt mottagare att avvisa förfalskningar — bara en tillämpande DMARC-policy gör det. 45.7% av domänerna har SPF utan den tillämpningen.

Jag har en SPF-post — är jag skyddad? Inte i sig. Du är skyddad endast när SPF (och helst DKIM) backas upp av DMARC inställt på quarantine eller reject. Bara 3.87% av domänerna når dit.

Hur stor andel av domänerna kan fortfarande utges för? 89.4% — eftersom de saknar tillämpande DMARC, oavsett om de publicerar SPF eller inte.

Varför är det särskilt riskabelt att ha post (MX) utan autentisering? 42.7% av domänerna skickar och tar aktivt emot e-post men har ingen fungerande autentisering — aktiva, betrodda domäner som vem som helst kan förfalska, vilket är precis vad bedragare letar efter.

Kontrollera om du faktiskt är skyddad

”Vi har SPF” är inte detsamma som skyddad. Kontrollera din domän gratis och privat — se om din e-post fortfarande kan förfalskas.

Kontrollera din domän → · Åtgärda DMARC → · Domänens exponeringspoäng → · p=none är inte skydd → · Endast aggregerade data. Data lagras och behandlas i EU.