Defaults.Exposed › Звіти
Публікації SPF недостатньо: хибне відчуття безпеки email (2026)
Опубліковано 2026-06-29
Цифри станом на 2026-06-29 · методологія v7. Агреговані дані перепису, що поєднують перевірки на кожен домен по 261 мільйонах оцінених доменів. «Примусова» = політика DMARC
quarantineабоreject. Див. як ми оцінюємо.
Найнебезпечніше місце в безпеці електронної пошти — це відчувати себе захищеним. 32.4% доменів публікують SPF, але взагалі не мають DMARC — а 45.7% мають SPF, не підкріплений примусовим застосуванням. Ці власники щось зробили, побачили «SPF: налаштовано» й зупинилися. Але сам по собі SPF не заважає комусь підробити вашу видиму адресу «From» — це робить лише примусовий DMARC. Станом на 2026-06-29 лише 3.87% доменів повністю захищені за поштою.
Прірва між «налаштовано» і «захищено»
SPF перевіряє, які сервери можуть надсилати від вашого імені. Він не керує адресою «From», яку насправді бачить людина, і не повідомляє одержувачам, що робити в разі невдачі. Це робота DMARC. Тож SPF без примусової політики DMARC — це замок без дверей за ним:
| Стан | Частка доменів | Справді захищено? |
|---|---|---|
| SPF опубліковано, взагалі немає запису DMARC | 32.4% | Ні |
| SPF опубліковано, DMARC без примусу | 45.7% | Ні |
| Повністю захищено за поштою (SPF + примусовий DMARC) | 3.87% | Так |
Прочитайте середній рядок ще раз: 45.7% усіх доменів мають SPF, але без примусу — майже більшість інтернету сидить у зоні хибної безпеки. Для цілей зловмисника вони піддаються підробці — і 89.4% доменів загалом такі.
Найгірший варіант: пошта входить, а на дверях немає охорони
Для доменів, які справді отримують пошту, ситуація гостріша. 42.7% доменів приймають пошту (мають записи MX), але взагалі не мають робочої автентифікації пошти — ні примусового SPF, ні DMARC. Це живі, активно використовувані домени, власники яких щодня надсилають і отримують пошту, повністю придатні для видавання себе за них. Саме ця активність робить їх привабливими цілями для шахрайства з рахунками та афер із постачальниками.
Чому «у нас є SPF» стало пасткою
SPF старіший, простіший і перше, що згадує більшість посібників із налаштування, — тож саме його позначка ставиться. DMARC з’явився пізніше, звучить просунутіше і вимагає свідомого просування до примусу. Як наслідок, виникає величезна група, яка зробила перший крок і ніколи не зробила другого, а потім продовжувала вірити, що роботу виконано. Перепис уперше робить масштаб цієї хибної думки видимим: 32.4% мають SPF і взагалі не мають DMARC.
Як насправді захиститися
- Збережіть свій SPF, але не покладайтеся лише на нього. (Виправити SPF.)
- Додайте DKIM, щоб ваша пошта була підписана. (Виправити DKIM.)
- Опублікуйте DMARC і переведіть його до примусу (
p=none→quarantine→reject). Це крок, який перетворює «налаштовано» на «захищено». (Виправити DMARC.)
Поширені запитання
Чи достатньо SPF, щоб зупинити підробку електронної пошти? Ні. SPF не захищає видиму адресу «From» і не каже одержувачам відхиляти підробки — це робить лише примусова політика DMARC. 45.7% доменів мають SPF без цього примусу.
У мене є запис SPF — чи захищений я?
Не сам по собі. Ви захищені лише тоді, коли SPF (та, ідеально, DKIM) підкріплений DMARC, налаштованим на quarantine або reject. Лише 3.87% доменів досягають цього.
Яка частка доменів усе ще може бути видана за чужі? 89.4% — бо їм бракує примусового DMARC, незалежно від того, публікують вони SPF чи ні.
Чому наявність пошти (MX) без автентифікації особливо ризикована? 42.7% доменів активно надсилають і отримують пошту, але не мають робочої автентифікації — живі, довірені домени, які будь-хто може підробити, а це саме те, що шукають шахраї.
Перевірте, чи ви справді захищені
«У нас є SPF» — це не те саме, що захищено. Перевірте свій домен безкоштовно й приватно — подивіться, чи можна ще підробити вашу пошту.
Перевірте свій домен → · Виправити DMARC → · Оцінка вразливості домену → · p=none — це не захист → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.