Defaults.Exposed

Defaults.ExposedসমাধানGuides

একজন ক্লায়েন্টের নিরাপত্তা প্রশ্নপত্র ইমেইল authentication সম্পর্কে জিজ্ঞাসা করছে — এক বিকেলে উত্তর দিন (এবং ফাঁকগুলো ঠিক করুন) (২০২৬)

প্রকাশিত 2026-07-08

2026-06-29 তারিখের তথ্য · পদ্ধতি v7। 261 মিলিয়ন গ্রেডকৃত ডোমেইন জুড়ে সমন্বিত জনগণনা তথ্য — আমরা কখনো পৃথক ডোমেইনের ফলাফল প্রকাশ করি না। দেখুন আমরা কীভাবে গ্রেড করি

আপনার ক্লায়েন্ট জিজ্ঞাসা করছে কারণ ইউরোপীয় supply-chain নিরাপত্তা নিয়ম তাদের তাদের সরবরাহকারীদের চেক করতে বাধ্য করছে। প্রশ্নগুলির একটি দুই মিনিটের শুরু আছে: একটি বিনামূল্যে স্ক্যান ঠিক সেই বিষয়গুলি গ্রেড করে যা তারা probe করছে। Defaults.Exposed জনগণনা অনুযায়ী 261,086,232 ডোমেইনের (2026-06-29 পর্যন্ত) মাত্র 7.4% ডোমেইনের ইমেইল authentication সম্পূর্ণভাবে aligned এবং enforced — বেশিরভাগ সরবরাহকারী এখনও “হ্যাঁ” উত্তর দিতে পারে না।

বিকেলের জন্য পরিকল্পনা এখানে: বিনামূল্যে স্ক্যান চালান, একটি পেজের গ্রেডকৃত রিপোর্ট পড়ুন, সততার সাথে যা ইতিমধ্যে সত্য তার উত্তর দিন, এবং একই দিনে বিনামূল্যের quick win ঠিক করুন। আরও গভীর কিছুর জন্য, একটি তারিখযুক্ত রিপোর্ট প্লাস একটি সংক্ষিপ্ত remediation note একটি গ্রহণযোগ্য অন্তর্বর্তীকালীন উত্তর — এবং একটি unsupported “হ্যাঁ”-এর চেয়ে ভালো।

কেন আমাদের সবচেয়ে বড় ক্লায়েন্ট হঠাৎ আমাদের ইমেইল নিরাপত্তা সম্পর্কে জিজ্ঞাসা করছে?

এটি ব্যক্তিগত নয়। আপনার ক্লায়েন্ট যদি NIS2-এর scope-এ থাকে — EU-এর network and information security directive — আর্টিকেল 21(2)(d) তাদের তাদের supply chain-এর নিরাপত্তা পরিচালনা করতে বাধ্য করে, এবং Commission Implementing Regulation (EU) 2024/2690 ব্যবস্থাগুলি বিশদ করে, ইমেইল নিরাপত্তা বিশেষভাবে উল্লেখ করে। তাই procurement প্রতিটি সরবরাহকারীকে প্রশ্নপত্র পাঠায়; আপনি নিজে NIS2 দ্বারা covered না হতে পারেন, কিন্তু দায়িত্ব আপনার কাছে এভাবেই cascade হয়। deadline এবং পরিণতি — approved-supplier তালিকায় থাকা — বিদ্যমান কারণ আপনার ক্লায়েন্টকে একটি regulator-কে দেখাতে হবে যে তারা চেকিং করেছে। (আমরা লিখেছি NIS2 আসলে ইমেইল authentication সম্পর্কে কী বলে।) বিমাকারীরা এখন একই প্রশ্ন জিজ্ঞাসা করে — যদি আপনার renewal form শুরু হয়ে থাকে, এটি এই বিকেলের বীমা সংস্করণ

প্রশ্নগুলি আসলে কী মানে?

একটি সাধারণ সরবরাহকারী প্রশ্নপত্রের ইমেইল-নিরাপত্তা বিভাগ হল acronym পরা চারটি প্রশ্ন। একবার translate করা, তারপর ছেড়ে দেওয়া।

প্রশ্নপত্র কী জিজ্ঞাসা করেসহজ ইংরেজিতে এর মানে কীস্ক্যান রিপোর্ট কীভাবে এর উত্তর দেয়
”আপনি কি DMARC নীতি enforce করেন?” (DMARC — Domain-based Message Authentication, Reporting and Conformance)আপনি কি বিশ্বের মেইল সার্ভারগুলিকে আপনার ডোমেইন জাল করে ইমেইল প্রত্যাখ্যান করতে বলেছেন? সবচেয়ে সরবরাহকারী ব্যর্থ সারি: মাত্র 7.4% of 261,086,232 গ্রেডকৃত ডোমেইনে এটি aligned এবং enforced (2026-06-29 জনগণনা)।আপনার নীতি বলে এবং গ্রেড করে। “Enforced” মানে reject বা quarantine; “monitoring only” এখনও কিছু block করে না — কোনটি, সততার সাথে বলুন।
“SPF কি restrictive নীতি সহ কনফিগার করা?” (SPF — Sender Policy Framework)আপনি কি আপনার কোম্পানির হিসেবে ইমেইল পাঠাতে অনুমোদিত সার্ভারের তালিকা প্রকাশ করেছেন — এবং এটি দৃঢ়ভাবে শেষ হয় (“অন্য কেউ নয়”) নাকি একটি shrug সহ (“এবং সম্ভবত অন্যরা”)?তালিকা বিদ্যমান কিনা, বৈধ, এবং দৃঢ়ভাবে বা নরমভাবে শেষ হয় তা দেখায়।
“বাইরের ইমেইল কি digitally signed (DKIM)?” (DKIM — DomainKeys Identified Mail)আপনার ইমেইলে কি একটি tamper-evident signature আছে যা প্রমাণ করে এটি আপনার ডোমেইন থেকে এসেছে — আপনার নামে, আপনার প্রদানকারীর ডিফল্ট নয়?আপনার ডোমেইনের নামে একটি signature বিদ্যমান কিনা দেখায় — provider-default trap হল সবচেয়ে সাধারণ ফাঁক স্ক্যান খুঁজে পায়
“আপনি কি domain spoofing পর্যবেক্ষণ করেন?”কেউ আপনার হিসেবে জাল ইমেইল পাঠালে, আপনি কি জানতেন — নাকি প্রথম চিহ্ন হবে একটি রাগী ফোন কল?reporting ঠিকানা চালু আছে কিনা দেখায়, যাতে impersonation প্রচেষ্টা আপনার কাছে পৌঁছায়।

এর প্রতিটি আপনার ডোমেইনের public সেটিং থেকে উত্তর দেওয়া হয় — কোনো audit, কোনো agency, আপনার সিস্টেমে অ্যাক্সেস নেই। এজন্যই বিকেলের পরিকল্পনা কাজ করে। এই চারটি একটি দীর্ঘ তালিকার ইমেইল সারি: cyber-insurance এবং vendor প্রশ্নপত্র আপনার ডোমেইনে কী চেক করে প্রতিটি নিয়ন্ত্রণ সারণিভুক্ত করে যা তারা probe করে, প্রতিটির জন্য ইন্টারনেট-ব্যাপী pass rate সহ। এই পেজ আপনার বিকেলে থাকে — কী উত্তর দেবেন, এবং কী আগে ঠিক করবেন।

deadline-এর মধ্যে কীভাবে উত্তর দেব? এক বিকেলের পরিকল্পনা

  1. defaults.exposed এ বিনামূল্যে স্ক্যান চালান — দুই মিনিট, কিছু স্পর্শ করার আগে। এটি আপনার ডোমেইনের public সেটিং পড়ে এবং উপরের চারটি এলাকা গ্রেড করে। কোনো signup নেই, আপনার ইমেইলে অ্যাক্সেস নেই।
  2. গ্রেডকৃত রিপোর্ট পড়ুন। এক পেজ, সহজ ভাষা, তারিখযুক্ত — প্রতিটি গ্রেড একটি প্রশ্নপত্র প্রশ্নে ম্যাপ করে, তাই আপনি অনুমানের পরিবর্তে আপনার আসল উত্তর জানেন।
  3. যা ইতিমধ্যে সত্য তার উত্তর দিন। যেখানে রিপোর্ট pass দেখায়, হ্যাঁ বলুন এবং কেন বলুন (“স্বাধীন স্ক্যান দ্বারা যাচাই,” তারিখ সহ)।
  4. একই দিনে বিনামূল্যের quick win ঠিক করুন। সাধারণ ফাঁকগুলি সেটিং, কেনাকাটা নয়: নরমভাবে শেষ হওয়া sender list (SPF সমাধান), spoofing rule অনুপস্থিত বা monitoring mode-এ আটকে (DMARC সমাধান), provider-এর ডিফল্ট নামে signature। সব বিনামূল্যে, বেশিরভাগ এক DNS রেকর্ড — fix পেজ আপনার ডোমেইন পরিচালনাকারীর কাছে ফরওয়ার্ড করুন, এবং বেশ কিছু “না” উত্তর form ফেরত যাওয়ার আগে “হ্যাঁ” হয়ে যায়।
  5. আরও গভীর কিছুর জন্য, remediation note সহ তারিখযুক্ত রিপোর্ট পাঠান। সঠিকভাবে একটি সম্পূর্ণ enforced নীতিতে যেতে প্রথমে সপ্তাহের monitoring লাগে — কখনো দাবি করবেন না এটি করা হয়ে গেছে যখন হয়নি। “স্বাধীন স্ক্যান সংযুক্ত; enforcement rollout চলছে, লক্ষ্য সেপ্টেম্বর” যেকোনো দক্ষ procurement দলের কাছে একটি গ্রহণযোগ্য অন্তর্বর্তীকালীন উত্তর। একটি মিথ্যা “হ্যাঁ” নয়: procurement দলগুলি পুনরায় চেক করে, প্রায়ই ঠিক এই ধরনের স্ক্যান সহ।

এই প্রশ্নপত্র কি আসলে আমাদের সুবিধায় কাজ করতে পারে?

হ্যাঁ — কারণ অন্য সবাই কী পাঠায় তার কারণে। বেশিরভাগ সরবরাহকারী একটি bare “হ্যাঁ” উত্তর দেয় এর পেছনে কিছু না থেকে, যখন মাত্র 7.4% of 261,086,232 গ্রেডকৃত ডোমেইনের আসলে aligned-and-enforced posture আছে যা probe হচ্ছে (2026-06-29 জনগণনা)। একটি তারিখযুক্ত, স্বাধীনভাবে গ্রেডকৃত রিপোর্ট — এমনকি একটি ফাঁক এবং remediation তারিখ দেখানো — একটি unsupported “হ্যাঁ” কে পরাজিত করে, কারণ একটি যাচাইযোগ্য এবং অন্যটি আশা। আপনাকে নিখুঁত হতে বলা হচ্ছে না; আপনাকে চেকযোগ্য হতে বলা হচ্ছে। সেই তালিকায় আপনার প্রতিযোগীদের খুব কম জনই হবে।

এবং আপনাকে যদি সত্যিই networking ইভেন্টের invoice-fraud গল্পটি বিরক্ত করছে — একই সেটিং, একই দুই মিনিটের চেক

সচরাচর জিজ্ঞাসিত প্রশ্ন

যদি deadline-এর আগে সবকিছু ঠিক করতে না পারি? যা সত্য তা পাঠান: তারিখযুক্ত রিপোর্ট, এই সপ্তাহে আপনি কী ঠিক করেছেন, এবং বাকিটার জন্য একটি তারিখযুক্ত পরিকল্পনা। NIS2 supply-chain reviewer মূল্যায়ন করে সরবরাহকারীরা ঝুঁকি পরিচালনা করে কিনা, নিখুঁত কিনা নয় — একটি remediation note সহ গ্রেডকৃত রিপোর্ট হল ঝুঁকি ব্যবস্থাপনা, লিখিতভাবে। যা review ব্যর্থ করে তা হল নীরবতা, বা এমন দাবি যা পুনরায় চেকে টিকে না।

আমার IT contractor কি এটি পরিচালনা করতে পারে? বিনামূল্যের সেটিং, হ্যাঁ — sender list, আপনার নিজস্ব signature, spoofing rule হল রুটিন DNS কাজ, এবং উপরের fix পেজগুলি সেই হ্যান্ড-অফের জন্য লেখা। Contractor যুক্তিসঙ্গতভাবে তাদের remit-এর বাইরে বলে যা হল judgment layer: কোন নীতি enforce করতে হবে, কখন tighten করা নিরাপদ, ইতিমধ্যে ক্লায়েন্টকে কী বলতে হবে। গ্রেডকৃত রিপোর্ট সেই কলগুলিকে একটি document-এ পরিণত করে, তাই আপনার কেউ improvising করছে না।

তারা কি সত্যিই আমাদের সরবরাহকারী হিসেবে বাদ দেবে? একটি blank response বা একটি ধরা পড়া মিথ্যা দাবির জন্য — শেষ পর্যন্ত, হ্যাঁ; ক্লায়েন্টের একটি regulator-কে উত্তর দিতে হবে। একটি সৎ ফাঁকের জন্য remediation তারিখ সহ — অসম্ভব: সমস্ত 261,086,232 গ্রেডকৃত ডোমেইন জুড়ে, মাত্র 10.59% এই প্রশ্নপত্রগুলি যে spoofing নীতি জিজ্ঞাসা করে তা enforce করে (2026-06-29 জনগণনা)। পরিকল্পনা সহ সততা আপনাকে তালিকায় রাখে।

আমরা NIS2 দ্বারা covered নই — আমরা কি প্রশ্নপত্র উপেক্ষা করতে পারি? দায়িত্ব আপনার ক্লায়েন্টের, এবং তারা checkable সরবরাহকারী বেছে নিয়ে এটি discharge করে। আলাদা হওয়ার সুযোগ বিশাল: মাত্র 7.4% of সমস্ত 261,086,232 গ্রেডকৃত ডোমেইনে ইমেইল authentication aligned এবং enforced (2026-06-29 জনগণনা)। এক বিকেল আপনাকে সেই সরবরাহকারী তালিকার প্রায় প্রতিটি অন্য নামের আগে রাখে।

আপনার IT contact-কে রিপোর্ট ফরওয়ার্ড করুন

এর কোনোটি নতুনভাবে টাইপ করবেন না। বিনামূল্যে স্ক্যান চালান, তারপর আপনার ডোমেইন দেখাশোনা করে এমন কাউকে দুটি জিনিস ফরওয়ার্ড করুন: গ্রেডকৃত রিপোর্ট এবং এই নিবন্ধ। রিপোর্ট ঠিক কোন সেটিং পরিবর্তন করতে হবে তা বলে; fix পেজগুলি পদক্ষেপ দেয়। সংশোধিত রিপোর্ট ফেরত আসলে, প্রশ্নপত্রের উত্তরগুলি নিজেরাই লেখা হয় — গ্রেড অনুযায়ী। তারপর file করুন: পরবর্তী ক্লায়েন্ট একই চারটি জিনিস জিজ্ঞাসা করবে, আপনার বীমা নবায়ন ইতিমধ্যে করে, এবং একটি তারিখযুক্ত রিপোর্ট যা পাঁচ মিনিটে সংযুক্ত করতে পারেন তা একটি বিকেল এবং একটি আগুন drill-এর মধ্যে পার্থক্য।

আপনার ডোমেইন পরীক্ষা করুন → · প্রশ্নপত্র আপনার ডোমেইনে কী চেক করে → · সেই invoice-fraud গল্প যা আপনি শুনেছেন → · শুধুমাত্র সমন্বিত তথ্য। EU-তে তথ্য সংরক্ষিত এবং প্রক্রিয়া করা হয়।