Defaults.Exposed › Zprávy
Nemnozí plně chránění: 3.87 % těch, kdo to dokončili
Publikováno 2026-07-03 · aktualizováno 2026-07-03
Údaje k 2026-06-29 · metodika v7. Data z cenzu spojující kontroly za jednotlivé domény napříč 261 miliony ohodnocených domén. „Plně chráněná” v tomto článku znamená kompletní, vynucený stack e-mailové autentizace: přítomné SPF, přítomné DKIM a zásada DMARC nastavená na
quarantineneboreject. Pyramida expozice počítá pět základních ochran na doménu — SPF, vynucující DMARC, DNSSEC, HTTPS, HSTS. Údaje o překryvu zde pocházejí ze spojení na úrovni jednotlivých domén, jehož zrnitost deduplikace se okrajově liší od počtů podle rozdělení zásad uváděných na stránkách DAMMM (27,640,987 vs 27,639,358 vynucujících domén) — každá stránka cituje svůj vlastní zdroj a oba se nikdy nemíchají. Všechny údaje jsou souhrnné — nikdy nezveřejňujeme hodnocení konkrétní firmy.
Co dělají plně chráněné domény jinak: dokončí to
Jen 3.87 % z 261 milionů ohodnocených domén internetu — 10,092,481 z nich — provozuje kompletní, vynucený stack e-mailové ochrany: zavedené SPF a DKIM, DMARC na quarantine nebo reject. Zajímavé na této skupině je to, čím není. Není to klub bezpečnostních týmů s většími rozpočty — každý ze zúčastněných prvků je bezplatné nastavení DNS nebo webového serveru. Těch 3.87 % není chytřejších než všichni ostatní; jsou systematičtí. Vzali ochrany jako jeden stack, který se má dokončit, nikoli jako pět samostatných projektů, které se mají zahájit, a zbytek tohoto článku je o tom, jak to vypadá v datech z cenzu.
Abyste viděli, jak neobvyklé dokončení je, začněte tím, kde stojí všichni ostatní.
Pyramida expozice: pět ochran, šest pater
Ohodnoťte každou doménu podle pěti osvědčených ochran — SPF, vynucující DMARC, DNSSEC, HTTPS, HSTS — jeden bod za každou, a internet se uspořádá do pyramidy (křivka expozice, prohlížená patro po patru). K 2026-06-29:
| Patro | Zavedené ochrany | Podíl domén | Domény |
|---|---|---|---|
| 0 | Žádné — zcela exponované | 8.8 % | 23,105,485 |
| 1 | Jedna (obvykle samotné HTTPS) | 37.2 % | 97,206,153 |
| 2 | Dvě (typicky HTTPS + SPF) | 39.7 % | 103,527,371 |
| 3 | Tři | 12.0 % | 31,424,343 |
| 4 | Čtyři | 2.1 % | 5,575,826 |
| 5 | Všech pět — plně uzamčené | 0.09 % | 247,054 |
Ten tvar vypráví příběh dřív, než to udělá jakékoli jednotlivé číslo. 76.9 % všech domén — 201 milionů — sedí na patrech 1 a 2, drží přesně ty ochrany, které dorazily ve výchozím nastavení, a nic víc. HTTPS je tam, protože ho hostingy a CDN zapnuly automaticky; SPF je tam, protože jím začíná úvodní příručka každého poskytovatele pošty. Cokoli nad patrem 2 vyžaduje, aby se vlastník rozhodl — a při každém rozhodnutí se většina internetu zastaví. Patra 4 a 5 dohromady drží pouhých 2.2 % domén.
Pyramida není žebříček toho, komu na tom záleží. Je to mapa toho, kde končí výchozí nastavení a začíná cílevědomost.
Trychtýř, kterým těch 3.87 % vyšplhalo
Sledujte e-mailovou polovinu stacku krok za krokem a stejný vzorec se opakuje — každá fáze ztratí více než polovinu domén, které se dostaly k té předchozí:
- 53.21 % domén publikuje SPF — krok, který pokrývají všechny příručky.
- 24.89 % publikuje vůbec nějaký záznam DMARC.
- 10.59 % ho vynucuje (
quarantineneboreject). - 3.87 % ho vynucuje s kompletním stackem pod ním — přítomné SPF i DKIM, takže vynucování stojí na úplné autentizaci.
U tohoto posledního zúžení stojí za to se zastavit. Z přibližně 28 milionů domén, které vynucují DMARC, nese pod zásadou obě SPF i DKIM jen 36.5 %. Některé ze zbytku dělají přesně správnou věc — doména, která neposílá žádnou poštu, by měla být na p=reject s holým -all SPF a nepotřebuje žádné DKIM. Ale ta mezera obsahuje i vynucující domény, jejichž autentizace je neúplná, což je stack postavený od střechy dolů. Těch 3.87 % je definováno opačným zvykem: základy před střechou, každá vrstva a pak zásada na vrcholu.
Samotné SPF pokrývá 139 milionů domén a téměř žádnou z nich nechrání — nejpřímočařejší ilustrace cenzu toho, co přinese začínat bez dokončování.
Jeden stack, ne pět projektů
Zde je zvyk, který odlišuje těch 3.87 %, a je organizační, ne technický.
Většina domén hromadí ochrany tak, jak naznačuje pyramida: po jedné, každá spuštěná jiným podnětem — varováním prohlížeče, problémem s doručitelností, kontrolním seznamem shody — každá pojatá jako svůj malý projekt s vlastním „hotovo”. Hotovo v tomto režimu znamená, že záznam existuje. Tak internet skončí s 201 miliony domén na patrech 1–2: pět zelených fajfek k dispozici, jedna nebo dvě posbírané, cesta u konce.
Plně chránění berou těch pět jako jeden systém s jednou definicí hotového: útok už nefunguje. Falšovaná pošta je odmítnuta, nejen sledována; relace nelze degradovat, protože HSTS je připnuté; odpovědi nelze potichu vyměnit tam, kde je DNSSEC podepsané. V modelu zralosti přijetí DMARC je to myšlení fáze 6 — ochrana jako disciplína, která je monitorována a udržována, ne odznak, který se jednou získal. Nic z toho nevyžaduje odbornost, kterou zbývajících 96 % postrádá. Vyžaduje to dokončení — ve správném pořadí, s ověřením, že každá vrstva skutečně drží, a s pojetím „nakonfigurováno” jako poloviny cesty, nikoli cíle.
Vrchol nad tím: všech pět dohromady
Nad plně e-mailově chráněnými sedí mnohem menší populace: 247,054 domén — 0.09 % — které drží všech pět ochran najednou, DMARC, DNSSEC a HSTS nasazené společně nad SPF a HTTPS. Branou je DNSSEC: platné jen na 1.99 % domén, je nejvzácnější z pěti, takže nejvyšší patro pyramidy je nutně nepatrné. Pokud patro 5 popisuje vaše ambice, na pořadí stále záleží — nejprve vynuťte e-mailovou autentizaci (zastaví útoky, které skutečně přicházejí denně), pak připněte přenos pomocí HSTS a nakonec podepište zónu.
Jak se přidat k těm 3.87 %
Každý krok je změna konfigurace a každý je zdarma:
- Publikujte SPF se seznamem vašich skutečných odesílatelů, zakončené
-all. (Opravit SPF →) - Zapněte DKIM u každé služby, která odesílá vaším jménem — u většiny poskytovatelů je to přepínač. (Opravit DKIM →)
- Publikujte DMARC s reportingem, pozorujte, pak vynucujte — nejprve
p=noneplusrua=, identifikujte každého legitimního odesílatele, pak přejděte naquarantineareject. To je zeď, na kterou většina domén nikdy nevyšplhá, a je to pátrací práce, ne peníze. (Opravit DMARC →) - Pak webová vrstva: HSTS na vašem HTTPS webu a DNSSEC, pokud za vás váš poskytovatel DNS spravuje podepisování.
Doména, která neposílá žádnou poštu, může fázi pozorování zcela přeskočit: SPF -all a p=reject ještě dnes, jedna změna DNS, rovnou za zeď.
Často kladené otázky
Jak vypadá plně chráněná doména? Zavedené SPF a DKIM a zásada DMARC nastavená na quarantine nebo reject navrch — kompletní, vynucený stack e-mailové autentizace. Tuto laťku splňuje 10,092,481 domén (3.87 %). Nejpřísnější verze přidává DNSSEC, HTTPS a HSTS: všech pět dohromady je 0.09 % pyramidy.
Kolik domén má DMARC, DNSSEC a HSTS nasazené společně? Cenzus publikuje skóre pěti ochran, nikoli každou párovou křížovou tabulku, takže poctivou odpovědí je mez: alespoň těch 247,054 domén, které drží všech pět, má tyto tři pohromadě, a nejvýše by mohlo mít 2.2 % domén (patra 4–5). Tak či onak: hluboko pod jednou ze čtyřiceti.
Je kompletní stack drahý? Ne. SPF, DKIM, DMARC, HSTS a DNSSEC jsou všechno konfigurace — záznamy DNS a hlavičky serveru, žádné licence. Skutečnými náklady jsou pozornost a posloupnost: práce na identifikaci odesílatelů před vynucením DMARC je jediný krok, který vyžaduje trvalé úsilí, a je to ten, před kterým většina domén uvázne.
Která ochrana by měla přijít jako první? Vynucená e-mailová autentizace, protože impersonace e-mailem je útok, kterému běžné firmy skutečně čelí. HTTPS téměř jistě máte; HSTS je jednořádkové doplnění; DNSSEC nakonec, a jen prostřednictvím poskytovatele, který spravuje podepisování. Šplhat patro po patru poráží zahájení pěti projektů najednou — o to právě jde.
Zkontrolujte, kolik z těch pěti držíte
Rozdíl mezi 76.9 % na patrech 1–2 a 3.87 %, kteří to dokončili, není talent ani rozpočet — je to posloupnost a každý její krok je zdarma. Můžete se zkontrolovat soukromě a zdarma a zjistit, kterými z 34 kontrol projdete a jak opravit ty, kterými neprojdete.
Zkontrolujte svou doménu → · 6 fází zralosti DMARC → · Pilíř DMARC → · Pouze souhrnná data. Data ukládána a zpracovávána v EU.