Defaults.Exposed

Defaults.Exposed › Доклади

Напълно защитените малцина: 3.87%, завършили пътуването

Публикувано 2026-07-03 · обновено 2026-07-03

Данни към 2026-06-29 · методология v7. Данни от преброяването, обединяващи проверките по домейн в 261 милиона оценени домейна. „Напълно защитен” в тази статия означава пълния стек за удостоверяване на имейли, прилаган: SPF наличен, DKIM наличен и DMARC политика quarantine или reject. Пирамидата на излагане брои пет основни защити на домейн — SPF, прилагащ DMARC, DNSSEC, HTTPS, HSTS. Цифрите за припокриване тук идват от обединяването по домейн, чието зърно за дедупликация се различава маргинално от броевете на разделянето на политики, цитирани на страниците на DAMMM (27,640,987 срещу 27,639,358 прилагащи домейна) — всяка страница цитира собствения си извор и двата никога не се смесват. Всички цифри са обобщени — никога не публикуваме оценката на отделен бизнес.

Какво правят напълно защитените домейни по различен начин: те завършват

Само 3.87% от 261 милиона оценени домейна в интернет — 10,092,481 от тях — управляват пълния, прилаган стек за защита на имейли: SPF и DKIM на място, DMARC при quarantine или reject. Интересното за тази група е какво не е тя. Не е клуб на екипи за сигурност с по-големи бюджети — всеки въвлечен контрол е безплатна DNS или настройка на уеб сървър. 3.87% не са по-умни от всички останали; те са систематични. Третирали са защитите като един стек за завършване, а не пет отделни проекта за започване, и остатъкът от тази статия разглежда как изглежда в данните от преброяването.

За да видите колко необичайно е завършването, започнете откъдето стоят всички останали.

Пирамидата на излагане: пет защити, шест нива

Оценете всеки домейн по пет защити с най-добра практика — SPF, прилагащ DMARC, DNSSEC, HTTPS, HSTS — по една точка всяка, и интернет се наредва в пирамида (кривата на излагане, разглеждана ниво по ниво). Към 2026-06-29:

НивоНалични защитиДял от домейнитеДомейни
0Никакви — напълно изложен8.8%23,105,485
1Една (обикновено само HTTPS)37.2%97,206,153
2Две (обикновено HTTPS + SPF)39.7%103,527,371
3Три12.0%31,424,343
4Четири2.1%5,575,826
5Всичките пет — напълно заключен0.09%247,054

Формата разказва историята преди всяко отделно число. 76.9% от всички домейни — 201 милиона — стоят на нива 1 и 2, притежавайки точно защитите, пристигнали по подразбиране и нищо повече. HTTPS е там, защото хостовете и CDN мрежите го активираха автоматично; SPF е там, защото ръководството за въвеждане на всеки доставчик на пощенски услуги започва с него. Всичко над ниво 2 изисква собственикът да реши — и при всяко решение по-голямата част от интернет спира. Нива 4 и 5 заедно притежават само 2.2% от домейните.

Пирамидата не е класация на кой се интересува. Тя е карта на това където подразбиранията свършват и умишленото започва.

Фунията, изкачена от 3.87%

Проследете имейл-половината на стека стъпка по стъпка и същият модел се повтаря — всеки етап губи повече от половината домейни, достигнали предишния:

Последният разрез заслужава пауза. От приблизително 28 милиона домейна, прилагащи DMARC, само 36.5% носят и SPF, и DKIM под политиката. Някои от останалите правят точно правилното нещо — домейн, неизпращащ поща, трябва да е при p=reject с голо -all SPF и не се нуждае от DKIM. Но пропастта съдържа и прилагащи домейни с непълно удостоверяване, което е стекът, изграден от покрива надолу. 3.87% се определят от обратния навик: под преди покрив, всеки слой, после политиката отгоре.

SPF сам по себе си покрива 139 милиона домейна и не защитава почти нито един от тях — най-откровената илюстрация в преброяването на това, какво носи започването без завършване.

Един стек, не пет проекта

Ето навикът, отличаващ 3.87%, и той е организационен, а не технически.

Повечето домейни натрупват защити по начина, предлаган от пирамидата: по една, всяка задействана от различен подтик — предупреждение на браузъра, проблем с доставяемостта, контролен списък за съответствие — всяка третирана като собствен малък проект с собствено „готово”. „Готово” в този режим означава записът съществува. Именно така интернет стига до 201 милиона домейна на нива 1–2: пет зелени отметки на разположение, събрани една или две, пътуването приключено.

Напълно защитените третират петте като една система с едно определение за готово: атаката вече не работи. Фалшифицираната поща се отказва, не само наблюдава; сесиите не могат да бъдат понижавани, защото HSTS е закрепен; отговорите не могат тихо да се заменят, там където DNSSEC е подписан. В Модела за зрялост при приемане на DMARC, това е мисловността от Етап 6 — защитата като дисциплина, която се следи и поддържа, не значка, спечелена веднъж. Нищо от това не изисква опит, липсващ на останалите 96%. Изисква завършване — в правилния ред, проверявайки дали всеки слой действително стои, и третирайки „конфигуриран” като средна точка, а не крайна точка.

Върхът отгоре: всичките пет заедно

Над напълно защитените по имейл стои много по-малка популация: 247,054 домейна — 0.09% — притежаващи всичките пет защити наведнъж, с DMARC, DNSSEC и HSTS, разгърнати заедно върху SPF и HTTPS. Портата е DNSSEC: валиден само при 1.99% от домейните, той е най-рядкото от петте, така че горното ниво на пирамидата е неизбежно малко. Ако Ниво 5 описва амбициите ви, редът все пак има значение — приложете първо удостоверяване на имейли (то спира атаките, действително пристигащи ежедневно), после закрепете транспорта с HSTS, после подпишете зоната.

Как да се присъедините към 3.87%

Всяка стъпка е промяна в конфигурацията и всяка е безплатна:

  1. Публикувайте SPF, изброявайки реалните ви изпращачи, завършвайки с -all. (Поправете SPF →)
  2. Активирайте DKIM при всяка услуга, изпращаща от ваше имe — повечето доставчици го правят с превключвател. (Поправете DKIM →)
  3. Публикувайте DMARC с докладване, наблюдавайте, после прилагайтеp=none плюс rua= първо, идентифицирайте всеки легитимен изпращач, после преминете към quarantine и reject. Това е преградата, която повечето домейни никога не прескачат, и е изследователска работа, не пари. (Поправете DMARC →)
  4. После уеб нивото: HSTS на вашия HTTPS сайт и DNSSEC ако DNS доставчикът ви управлява подписването за вас.

Домейн, неизпращащ поща, може да пропусне фазата на наблюдение изцяло: SPF -all и p=reject днес, една DNS промяна, направо покрай преградата.

Често задавани въпроси

Как изглежда напълно защитен домейн? SPF и DKIM на място и DMARC политика quarantine или reject отгоре — пълният стек за удостоверяване на имейли, прилаган. 10,092,481 домейна (3.87%) отговарят на тази летва. Най-строгата версия добавя DNSSEC, HTTPS и HSTS: всичките пет заедно е 0.09% от пирамидата.

Колко домейна имат DMARC, DNSSEC и HSTS, разгърнати заедно? Преброяването публикува петстепенната оценка, а не всяка двойка кръстосани таблици, така че честният отговор е граница: поне 247,054 домейна, притежаващи всичките пет, имат тези три заедно, и най-много 2.2% от домейните (нива 4–5) биха могли да. Независимо от това: значително под един от четиридесет.

Скъп ли е пълният стек? Не. SPF, DKIM, DMARC, HSTS и DNSSEC са конфигурация — DNS записи и заглавки на сървъра, без лицензи. Реалните разходи са внимание и последователност: работата по идентификация на изпращача преди прилагане на DMARC е единствената стъпка, изискваща постоянни усилия, и тя е тази, при която повечето домейни блокират.

Коя защита трябва да дойде първа? Прилаганото удостоверяване на имейли, защото имейл представянето е атаката, с която обикновените бизнеси действително се сблъскват. HTTPS почти сигурно вече имате; HSTS е едноредово допълнение; DNSSEC последен и само чрез доставчик, управляващ подписването. Изкачването ниво по ниво е по-добро от едновременното стартиране на пет проекта — именно за това иде реч.

Проверете колко от петте притежавате

Разликата между 76.9% на нива 1–2 и 3.87%, завършили, не е талант или бюджет — тя е последователност, и всяка нейна стъпка е безплатна. Можете да проверите частно и безплатно и да видите кои от 34-те проверки минавате и как да поправите тези, които не минавате.

Проверете вашия домейн → · 6-те етапа на зрялостта на DMARC → · Стълбът за DMARC → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.