Defaults.Exposed › Звіти
Чи може хтось надсилати листи від імені вашого бізнесу? Для більшості доменів — так (2026)
Опубліковано 2026-06-29
Дані станом на 2026-06-29 · методологія v7. Агреговані дані перепису по 261 мільйонах оцінених доменів. «Може бути підроблено» означає, що домен не примусово застосовує DMARC (немає політики карантину чи відхилення) — засіб контролю, який наказує поштовим серверам-одержувачам зупиняти підроблену пошту. Див. як ми оцінюємо.
Для більшості підприємств — так: хтось може надіслати лист, який виглядає так, ніби він надійшов саме з вашого домену. Лише 10.59% із 261 мільйонів доменів, які ми оцінили, примусово застосовують DMARC — єдиний засіб контролю, що насправді блокує видавання себе за іншого. Решта 89.41% залишають двері відчиненими: шахрай може вписати вашу точну адресу в рядок «Від», і більшість поштових скриньок покаже її як справжню. Це механізм, що стоїть за фальшивими рахунками, проханнями про оплату за схемою «шахрайство-від-CEO» та аферами з постачальниками — і спроба нічого не коштує.
Чи справді хтось може надіслати листа від імені мого домену?
Якщо ваш домен не примусово застосовує DMARC, то так. Електронну пошту розробили без вбудованого способу перевіряти відправника, тож адресу «Від» вкрай легко підробити. Три налаштування, накладені шарами, виправляють це — SPF, DKIM і DMARC — але лише останнє, встановлене на примус, наказує серверу-одержувачу справді відхилити чи помістити підробку в карантин. Станом на 2026-06-29:
- 75.11% доменів взагалі не мають запису DMARC.
- 14.29% мають запис DMARC, встановлений на лише моніторинг (
p=none) — під час аудиту це виглядає як захист, але наказує одержувачам нічого не робити, тож підроблена пошта все одно надходить. - Лише 10.59% примусово застосовують політику
quarantineабоreject— конфігурацію, яка зупиняє видавання себе за іншого.
Тож 89.41% доменів — понад вісім із десяти — можуть бути підроблені в електронній пошті сьогодні.
«Але в нас є SPF» — чому цього недостатньо
Це найпоширеніша і найнебезпечніша помилкова думка. 53.21% доменів публікують запис SPF — значно більше, ніж 10.59%, які примусово застосовують DMARC. Власники бачать SPF і вважають, що захищені. Це не так: SPF (і DKIM) перевіряють технічний шлях надсилання, але не керують адресою «Від», яку насправді бачить людина. Без DMARC, встановленого на примус, зловмисник усе одно може пройти SPF на власній інфраструктурі та підробити вашу видиму адресу. SPF — це необхідна сантехніка; примус DMARC — це замок.
Наскільки вразливий ваш куточок мережі?
Примусове застосування дуже різниться залежно від закінчення домену. Що вище, то краще — це частка доменів, які насправді блокують видавання себе за іншого. Станом на 2026-06-29:
| Закінчення домену | Примусово застосовує DMARC | Може бути підроблено |
|---|---|---|
| .nl (Нідерланди) | 29.43% | 29.43% захищено, решта вразлива |
| .de (Німеччина) | 21.38% | — |
| .in (Індія) | 19.26% | — |
| .uk (Велика Британія) | 13.42% | — |
| .com | 9.50% | найуживаніше закінчення перебуває нижче глобального середнього 10.59% |
| .net | 10.08% | — |
| .org | 10.01% | — |
| .xyz | 5.15% | — |
| .top | 3.17% | — |
| .cn (Китай) | 1.45% | найнижче серед основних закінчень |
Навіть найкраще закінчення серед великих захищає менш ніж третину своїх доменів. На .com — де живе більшість підприємств — лише 9.50% примусово застосовують DMARC.
Скільки це насправді коштує бізнесу
Видавання себе за іншого в електронній пошті — це механізм, що стоїть за деякими з найдорожчих онлайн-злочинів, про які повідомляють правоохоронним органам у всьому світі — компрометація ділової електронної пошти (BEC). Схема завжди однакова:
- Клієнт отримує «рахунок» із вашої адреси з банківськими реквізитами шахрая, оплачує його й виявляє шахрайство за кілька тижнів — часто розцінюючи це як вашу провину.
- Працівник отримує термінове прохання «від керівника» переказати гроші чи купити подарункові картки. Адреса справді ваша, тож він виконує його.
- Постачальнику повідомляють «наші банківські реквізити змінилися» в листі, який проходить будь-яку візуальну перевірку.
Ніщо з цього не потребує злому ваших систем. Потрібно лише, щоб ваш домен не примусово застосовував DMARC — а для 89.41% доменів це саме так.
Як дізнатися, чи ви захищені (і виправити це)
Ззовні не можна дізнатися, чи ви серед тих 10.59% — єдиний спосіб знати — це перевірити свій домен. Виправлення безкоштовне й зазвичай займає півдня, виконується по порядку: опублікуйте SPF і DKIM, а потім переведіть DMARC на примус (p=none → quarantine → reject). Останній крок — це той, що насправді зачиняє двері.
Часті запитання
Чи може хтось надіслати листа, видаючи себе за мою компанію? Якщо ваш домен не примусово застосовує DMARC (політику карантину чи відхилення), то так — вашу точну адресу «Від» можна підробити, і більшість поштових скриньок покаже її як справжню. Станом на 2026-06-29, 89.41% оцінених доменів перебувають у цьому стані.
У нас уже є SPF — хіба ми не в безпеці?
Ні. SPF перевіряє технічний шлях надсилання, але не видиму адресу «Від». 53.21% доменів публікують SPF, але без DMARC, встановленого на примус, вашу адресу все одно можна підробити. Вам потрібен DMARC на quarantine або reject.
Хіба запису DMARC недостатньо?
Лише якщо він примусовий. Запис, встановлений на p=none (лише моніторинг) — який використовують 14.29% доменів — нічого не робить, щоб зупинити підробку. Це роблять лише quarantine або reject, і лише 10.59% доменів сягають цього.
Як перевірити власний домен? Запустіть безкоштовну приватну перевірку (нижче). Ми завжди показуємо результат домену лише його підтвердженому власнику.
Чи дорого це виправити? Ні. SPF, DKIM і DMARC — це безкоштовні налаштування DNS. Витрати — це час на їх налаштування в правильному порядку, а не гроші.
Перевірте, чи можна підробити ваш домен
Не вгадуйте, на якому боці тих 10.59% ви перебуваєте. Перевірте свій домен приватно й безкоштовно — ви побачите свій статус DMARC, SPF і DKIM та саме те, що потрібно виправити.
Перевірте свій домен → · Виправити DMARC → · Виправити SPF → · Як ми оцінюємо → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.