Defaults.Exposed

Defaults.Exposed › Звіти

Публікації SPF недостатньо: хибне відчуття безпеки email (2026)

Опубліковано 2026-06-29

Цифри станом на 2026-06-29 · методологія v7. Агреговані дані перепису, що поєднують перевірки на кожен домен по 261 мільйонах оцінених доменів. «Примусова» = політика DMARC quarantine або reject. Див. як ми оцінюємо.

Найнебезпечніше місце в безпеці електронної пошти — це відчувати себе захищеним. 32.4% доменів публікують SPF, але взагалі не мають DMARC — а 45.7% мають SPF, не підкріплений примусовим застосуванням. Ці власники щось зробили, побачили «SPF: налаштовано» й зупинилися. Але сам по собі SPF не заважає комусь підробити вашу видиму адресу «From» — це робить лише примусовий DMARC. Станом на 2026-06-29 лише 3.87% доменів повністю захищені за поштою.

Прірва між «налаштовано» і «захищено»

SPF перевіряє, які сервери можуть надсилати від вашого імені. Він не керує адресою «From», яку насправді бачить людина, і не повідомляє одержувачам, що робити в разі невдачі. Це робота DMARC. Тож SPF без примусової політики DMARC — це замок без дверей за ним:

СтанЧастка доменівСправді захищено?
SPF опубліковано, взагалі немає запису DMARC32.4%Ні
SPF опубліковано, DMARC без примусу45.7%Ні
Повністю захищено за поштою (SPF + примусовий DMARC)3.87%Так

Прочитайте середній рядок ще раз: 45.7% усіх доменів мають SPF, але без примусу — майже більшість інтернету сидить у зоні хибної безпеки. Для цілей зловмисника вони піддаються підробці — і 89.4% доменів загалом такі.

Найгірший варіант: пошта входить, а на дверях немає охорони

Для доменів, які справді отримують пошту, ситуація гостріша. 42.7% доменів приймають пошту (мають записи MX), але взагалі не мають робочої автентифікації пошти — ні примусового SPF, ні DMARC. Це живі, активно використовувані домени, власники яких щодня надсилають і отримують пошту, повністю придатні для видавання себе за них. Саме ця активність робить їх привабливими цілями для шахрайства з рахунками та афер із постачальниками.

Чому «у нас є SPF» стало пасткою

SPF старіший, простіший і перше, що згадує більшість посібників із налаштування, — тож саме його позначка ставиться. DMARC з’явився пізніше, звучить просунутіше і вимагає свідомого просування до примусу. Як наслідок, виникає величезна група, яка зробила перший крок і ніколи не зробила другого, а потім продовжувала вірити, що роботу виконано. Перепис уперше робить масштаб цієї хибної думки видимим: 32.4% мають SPF і взагалі не мають DMARC.

Як насправді захиститися

  1. Збережіть свій SPF, але не покладайтеся лише на нього. (Виправити SPF.)
  2. Додайте DKIM, щоб ваша пошта була підписана. (Виправити DKIM.)
  3. Опублікуйте DMARC і переведіть його до примусу (p=nonequarantinereject). Це крок, який перетворює «налаштовано» на «захищено». (Виправити DMARC.)

Поширені запитання

Чи достатньо SPF, щоб зупинити підробку електронної пошти? Ні. SPF не захищає видиму адресу «From» і не каже одержувачам відхиляти підробки — це робить лише примусова політика DMARC. 45.7% доменів мають SPF без цього примусу.

У мене є запис SPF — чи захищений я? Не сам по собі. Ви захищені лише тоді, коли SPF (та, ідеально, DKIM) підкріплений DMARC, налаштованим на quarantine або reject. Лише 3.87% доменів досягають цього.

Яка частка доменів усе ще може бути видана за чужі? 89.4% — бо їм бракує примусового DMARC, незалежно від того, публікують вони SPF чи ні.

Чому наявність пошти (MX) без автентифікації особливо ризикована? 42.7% доменів активно надсилають і отримують пошту, але не мають робочої автентифікації — живі, довірені домени, які будь-хто може підробити, а це саме те, що шукають шахраї.

Перевірте, чи ви справді захищені

«У нас є SPF» — це не те саме, що захищено. Перевірте свій домен безкоштовно й приватно — подивіться, чи можна ще підробити вашу пошту.

Перевірте свій домен → · Виправити DMARC → · Оцінка вразливості домену → · p=none — це не захист → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.