Defaults.Exposed

Defaults.Exposed › التقارير

القلّة المحميّة بالكامل: نسبة الـ 3.87% الذين أكملوا المشوار

نُشر 2026-07-03 · حُدّث 2026-07-03

الأرقام حتى تاريخ 2026-06-29 · المنهجية الإصدار v7. بيانات التعداد التي تربط الفحوصات لكل نطاق عبر 261 مليون نطاق مُصنَّف. تعني عبارة “محمي بالكامل” في هذا المقال حزمة مصادقة البريد الإلكتروني المكتملة والمُنفَّذة: وجود SPF، ووجود DKIM، وسياسة DMARC بقيمة quarantine أو reject. ويحصي هرم الانكشاف خمس حمايات أساسية لكل نطاق — SPF، وDMARC المُنفِّذ، وDNSSEC، وHTTPS، وHSTS. أرقام التداخل هنا مستمدّة من الربط على مستوى كل نطاق، والذي تختلف حبيبة إزالة التكرار فيه اختلافًا طفيفًا عن أرقام تقسيم السياسات المذكورة في صفحات DAMMM (27,640,987 مقابل 27,639,358 نطاقًا مُنفِّذًا) — كل صفحة تستشهد بمصدرها الخاص، ولا يُخلط بين الاثنين أبدًا. جميع الأرقام إجمالية — نحن لا ننشر أبدًا تصنيف نشاطٍ تجاري بعينه.

ما الذي تفعله النطاقات المحميّة بالكامل بشكلٍ مختلف: إنها تُكمِل المشوار

نسبة 3.87% فقط من نطاقات الإنترنت المُصنَّفة البالغة 261 مليون نطاق — أي 10,092,481 منها — تُشغِّل حزمة حماية البريد الإلكتروني المكتملة والمُنفَّذة: SPF وDKIM في مكانهما، وDMARC بسياسة quarantine أو reject. والشيء المثير للاهتمام في هذه المجموعة هو ما ليست عليه. فهي ليست نادياً لفرق أمنية تملك ميزانياتٍ أكبر — إذ إن كل ضابطٍ من الضوابط المعنيّة هو إعداد مجّاني في DNS أو في خادم الويب. إن نسبة الـ 3.87% ليسوا أذكى من الجميع؛ بل هم منهجيّون. لقد تعاملوا مع الحمايات بوصفها حزمةً واحدة يجب إكمالها بدلاً من خمسة مشاريع منفصلة يجب البدء بها، وبقية هذا المقال تتناول كيف يبدو ذلك في بيانات التعداد.

ولكي ترى كم أن إكمال المشوار أمرٌ غير مألوف، ابدأ من حيث يقف الجميع الآخرون.

هرم الانكشاف: خمس حمايات، ست طبقات

قيِّم كل نطاق على أساس خمس حماياتٍ من أفضل الممارسات — SPF، وDMARC المُنفِّذ، وDNSSEC، وHTTPS، وHSTS — بنقطةٍ واحدة لكلٍّ منها، وسيرتّب الإنترنت نفسه في هرم (منحنى الانكشاف، معروضاً طبقةً طبقة). حتى تاريخ 2026-06-29:

الطبقةالحمايات القائمةنسبة النطاقاتالنطاقات
0لا شيء — منكشف بالكامل8.8%23,105,485
1واحدة (عادةً HTTPS وحده)37.2%97,206,153
2اثنتان (نموذجياً HTTPS + SPF)39.7%103,527,371
3ثلاث12.0%31,424,343
4أربع2.1%5,575,826
5الخمس جميعها — مؤمَّن بالكامل0.09%247,054

الشكل يروي القصة قبل أن يفعل ذلك أي رقمٍ منفرد. نسبة 76.9% من إجمالي النطاقات — أي 201 مليون — تقع في الطبقتين 1 و2، حائزةً تماماً على الحمايات التي وصلت افتراضياً ولا شيء أكثر. HTTPS موجود لأن مزوّدي الاستضافة وشبكات توصيل المحتوى (CDN) فعّلوه تلقائياً؛ وSPF موجود لأن دليل الإعداد لدى كل مزوّد بريدٍ يبدأ به. أما كل ما فوق الطبقة 2 فيتطلّب من المالك أن يقرّر — وعند كل قرار، يتوقّف معظم الإنترنت. والطبقتان 4 و5 معاً لا تحويان سوى 2.2% من النطاقات.

الهرم ليس ترتيباً لمن يهتمّ. إنه خريطةٌ لحيث تنتهي الإعدادات الافتراضية ويبدأ التصرّف المتعمَّد.

القُمع الذي تسلّقته نسبة الـ 3.87%

تتبّع النصف الخاص بالبريد الإلكتروني من الحزمة خطوةً خطوة وسيتكرّر النمط نفسه — إذ تفقد كل مرحلة أكثر من نصف النطاقات التي وصلت إلى المرحلة السابقة لها:

يستحقّ ذلك القطع الأخير وقفةً عنده. من بين نحو 28 مليون نطاقٍ تُنفِّذ DMARC، تحمل نسبة 36.5% فقط كلاً من SPF وDKIM أسفل السياسة. بعض ما تبقّى يفعل الشيء الصحيح تماماً — فالنطاق الذي لا يرسل بريداً ينبغي أن يكون بسياسة p=reject مع سجل SPF عارٍ بقيمة -all ولا يحتاج إلى DKIM. لكن الفجوة تحتوي أيضاً على نطاقاتٍ مُنفِّذة تكون مصادقتها غير مكتملة، وهي الحزمة المبنيّة من السقف نزولاً. وتتحدّد نسبة الـ 3.87% بالعادة المعاكسة: الأساس قبل السقف، طبقةً طبقة، ثم السياسة في الأعلى.

SPF وحده يغطّي 139 مليون نطاقٍ ولا يحمي أياً منها تقريباً — وهو أوضح توضيحٍ في التعداد لما يشتريه البدء دون الإكمال.

حزمة واحدة، لا خمسة مشاريع

هذه هي العادة التي تُميّز نسبة الـ 3.87%، وهي عادة تنظيمية لا تقنية.

معظم النطاقات تُراكم الحمايات على النحو الذي يوحي به الهرم: واحدةً تلو الأخرى، كلٌّ منها مدفوعة بمحفّزٍ مختلف — تحذير من المتصفّح، أو مشكلة في قابلية التسليم، أو قائمة تدقيق امتثال — وكلٌّ منها يُعامَل كمشروعٍ صغيرٍ قائم بذاته له تعريفه الخاص لـ”الاكتمال”. و”الاكتمال” في هذا النمط يعني أن السجل موجود. هكذا ينتهي الإنترنت بـ201 مليون نطاقٍ في الطبقتين 1–2: خمس علاماتٍ خضراء متاحة، واحدة أو اثنتان مُحصَّلتان، والرحلة انتهت.

أما المحميّون بالكامل فيعاملون الحمايات الخمس كنظامٍ واحدٍ بتعريفٍ واحدٍ للاكتمال: أن يتوقّف الهجوم عن النجاح. فالبريد المزوَّر يُرفَض لا أن يُلاحَظ فقط؛ ولا يمكن خفض مستوى الجلسات لأن HSTS مثبَّت؛ ولا يمكن استبدال الإجابات خِلسةً حيث يكون DNSSEC موقَّعاً. وفي نموذج نضج تبنّي DMARC، هذه هي عقلية المرحلة السادسة — الحماية بوصفها انضباطاً يُراقَب ويُصان، لا شارةً حُصِّلت مرةً واحدة. لا شيء في الأمر يتطلّب خبرةً تفتقر إليها نسبة الـ96% الأخرى. إنه يتطلّب الإكمال — بالترتيب الصحيح، والتحقق من أن كل طبقةٍ صامدة فعلاً، ومعاملة “المُعَدّ” بوصفه منتصف الطريق لا الوجهة.

القمّة التي فوق: الخمس جميعها معاً

فوق المحميّين بالكامل على صعيد البريد الإلكتروني يقبع مجتمعٌ أصغر بكثير: نسبة الـ 247,054 نطاقاً — 0.09% — التي تمتلك الحمايات الخمس جميعها دفعةً واحدة، بنشر DMARC وDNSSEC وHSTS معاً فوق SPF وHTTPS. والبوّابة هنا هي DNSSEC: فهو صالحٌ على 1.99% فقط من النطاقات، وهو أندر الخمس، ولذلك تكون الطبقة العليا من الهرم صغيرةً بالضرورة. وإن كانت الطبقة 5 تصف طموحاتك، فإن الترتيب لا يزال مهماً — نفِّذ مصادقة البريد الإلكتروني أولاً (فهي توقف الهجمات التي تصل فعلاً يومياً)، ثم ثبِّت النقل عبر HSTS، ثم وقِّع المنطقة.

كيف تنضمّ إلى نسبة الـ 3.87%

كل خطوة هي تغييرٌ في الإعداد، وكلٌّ منها مجّاني:

  1. انشر SPF مُدرِجاً مُرسِليك الفعليين، منتهياً بـ-all. (أصلِح SPF ←)
  2. فعِّل DKIM مع كل خدمةٍ ترسل باسمك — معظم المزوّدين يجعلونه مفتاح تفعيل. (أصلِح DKIM ←)
  3. انشر DMARC مع التقارير، راقِب، ثم نفِّذp=none مع rua= أولاً، حدِّد كل مُرسِلٍ مشروع، ثم انتقل إلى quarantine وreject. هذا هو الجدار الذي لا تتسلّقه معظم النطاقات أبداً، وهو عملٌ استقصائي لا مسألة مال. (أصلِح DMARC ←)
  4. ثم طبقة الويب: HSTS على موقعك بـHTTPS، وDNSSEC إن كان مزوّد DNS لديك يتولّى التوقيع نيابةً عنك.

النطاق الذي لا يرسل بريداً يمكنه تخطّي مرحلة المراقبة بالكامل: SPF بقيمة -all وسياسة p=reject اليوم، تغيير واحد في DNS، وتجاوز الجدار مباشرةً.

الأسئلة الشائعة

كيف يبدو النطاق المحمي بالكامل؟ SPF وDKIM في مكانهما وسياسة DMARC بقيمة quarantine أو reject فوقهما — حزمة مصادقة البريد الإلكتروني المكتملة والمُنفَّذة. تستوفي هذا المعيار 10,092,481 نطاقاً (3.87%). والنسخة الأكثر صرامةً تضيف DNSSEC وHTTPS وHSTS: الخمس جميعها معاً تشكّل نسبة الـ 0.09% من الهرم.

كم عدد النطاقات التي نشرت DMARC وDNSSEC وHSTS معاً؟ ينشر التعداد درجة الحمايات الخمس بدلاً من كل جدول تقاطعٍ ثنائي، ولذا فإن الإجابة الصادقة هي حدّ: على الأقل الـ 247,054 نطاقاً الحائزة على الخمس جميعها تمتلك تلك الثلاث معاً، وعلى الأكثر يمكن أن تمتلكها نسبة 2.2% من النطاقات (الطبقتان 4–5). وفي كلتا الحالتين: أقلّ بكثيرٍ من واحدٍ من كل أربعين.

هل الحزمة الكاملة مكلفة؟ لا. فـSPF وDKIM وDMARC وHSTS وDNSSEC كلها إعداد — سجلات DNS وترويسات خادم، بلا تراخيص. والتكاليف الحقيقية هي الانتباه والتسلسل: عمل تحديد المُرسِلين قبل تنفيذ DMARC هو الخطوة الوحيدة التي تتطلّب جهداً متواصلاً، وهي الخطوة التي تتعثّر أمامها معظم النطاقات.

أي حمايةٍ ينبغي أن تأتي أولاً؟ مصادقة البريد الإلكتروني المُنفَّذة، لأن انتحال البريد الإلكتروني هو الهجوم الذي تواجهه الأعمال العادية فعلاً. أما HTTPS فأنت تملكه على الأرجح؛ وHSTS متابعةٌ من سطرٍ واحد؛ وDNSSEC أخيراً، وفقط عبر مزوّدٍ يتولّى التوقيع. إن تسلّق الطبقة تلو الطبقة أفضل من بدء خمسة مشاريع دفعةً واحدة — وهذا هو بيت القصيد إلى حدٍّ بعيد.

تحقّق من عدد الحمايات الخمس التي تمتلكها

الفجوة بين نسبة الـ 76.9% في الطبقتين 1–2 ونسبة الـ 3.87% الذين أكملوا المشوار ليست موهبةً ولا ميزانية — إنها تسلسل، وكل خطوةٍ منه مجّانية. يمكنك التحقق بسرّيةٍ ومجاناً، ومعرفة أي الفحوصات الـ34 تجتازها وكيف تُصلِح ما لا تجتازه.

تحقّق من نطاقك ← · المراحل الست لنضج DMARC ← · ركيزة DMARC ← · بيانات إجمالية فقط. البيانات مُخزَّنة ومُعالَجة في الاتحاد الأوروبي.