Defaults.Exposed › Rapporter
De få fuldt beskyttede: de 3.87% der gjorde det færdigt
Udgivet 2026-07-03 · opdateret 2026-07-03
Tal pr. 2026-06-29 · metode v7. Folketællingsdata, der sammenkobler checks pr. domæne på tværs af 261 millioner bedømte domæner. “Fuldt beskyttet” betyder i denne artikel den komplette e-mailautentificeringsstak, håndhævet: SPF til stede, DKIM til stede, og en DMARC-politik på
quarantineellerreject. Eksponeringspyramiden tæller fem kernebeskyttelser pr. domæne — SPF, håndhævende DMARC, DNSSEC, HTTPS, HSTS. Overlapstallene her kommer fra sammenkoblingen pr. domæne, hvis dedup-granularitet adskiller sig marginalt fra de politik-opdelte optællinger, der citeres på DAMMM-siderne (27,640,987 vs. 27,639,358 håndhævende domæner) — hver side citerer sin egen kilde, og de to blandes aldrig. Alle tal er aggregerede — vi offentliggør aldrig en enkelt virksomheds bedømmelse.
Hvad fuldt beskyttede domæner gør anderledes: de gør det færdigt
Kun 3.87% af internettets 261 millioner bedømte domæner — 10,092,481 af dem — kører den komplette, håndhævede e-mailbeskyttelsesstak: SPF og DKIM på plads, DMARC på quarantine eller reject. Det interessante ved denne gruppe er, hvad den ikke er. Det er ikke en klub af sikkerhedsteams med større budgetter — hver eneste kontrol involveret er en gratis DNS- eller webserverindstilling. De 3.87% er ikke klogere end alle andre; de er systematiske. De behandlede beskyttelserne som én stak, der skulle gøres færdig, i stedet for fem separate projekter, der skulle startes, og resten af denne artikel handler om, hvordan det ser ud i folketællingsdataene.
For at se, hvor usædvanligt det er at gøre det færdigt, så start med, hvor alle andre står.
Eksponeringspyramiden: fem beskyttelser, seks etager
Bedøm hvert domæne på fem best practice-beskyttelser — SPF, håndhævende DMARC, DNSSEC, HTTPS, HSTS — ét point hver, og internettet arrangerer sig selv i en pyramide (eksponeringskurven, set etage for etage). Pr. 2026-06-29:
| Etage | Beskyttelser på plads | Andel af domæner | Domæner |
|---|---|---|---|
| 0 | Ingen — fuldt eksponeret | 8.8% | 23,105,485 |
| 1 | Én (som regel HTTPS alene) | 37.2% | 97,206,153 |
| 2 | To (typisk HTTPS + SPF) | 39.7% | 103,527,371 |
| 3 | Tre | 12.0% | 31,424,343 |
| 4 | Fire | 2.1% | 5,575,826 |
| 5 | Alle fem — fuldt låst | 0.09% | 247,054 |
Formen fortæller historien, før noget enkelt tal gør det. 76.9% af alle domæner — 201 millioner — sidder på etage 1 og 2, hvor de har præcis de beskyttelser, der kom som standard, og intet mere. HTTPS er der, fordi hosts og CDN’er slog det til automatisk; SPF er der, fordi enhver e-mailudbyders onboarding-guide starter med det. Alt over etage 2 kræver, at en ejer beslutter sig — og ved hver beslutning stopper det meste af internettet. Etage 4 og 5 rummer tilsammen blot 2.2% af domænerne.
Pyramiden er ikke en rangliste over, hvem der bekymrer sig. Det er et kort over, hvor standardindstillingerne slutter, og hvor det bevidste begynder.
Tragten, som de 3.87% klatrede op ad
Følg e-mailhalvdelen af stakken trin for trin, og det samme mønster gentager sig — hvert trin taber mere end halvdelen af de domæner, der nåede det foregående:
- 53.21% af domænerne publicerer SPF — det trin, som alle guiderne dækker.
- 24.89% publicerer overhovedet nogen DMARC-record.
- 10.59% håndhæver den (
quarantineellerreject). - 3.87% håndhæver den med den fulde stak nedenunder — både SPF og DKIM til stede, så håndhævelsen står på komplet autentificering.
Det sidste snit er værd at dvæle ved. Af de omtrent 28 millioner domæner, der håndhæver DMARC, bærer kun 36.5% både SPF og DKIM under politikken. Nogle af resten gør præcis det rigtige — et domæne, der ikke sender e-mail, bør være på p=reject med et bart -all SPF og har ikke brug for DKIM. Men gabet indeholder også håndhævende domæner, hvis autentificering er ufuldstændig, hvilket er stakken bygget fra taget og ned. De 3.87% er defineret ved den modsatte vane: fundament før tag, hvert lag, og så politikken øverst.
SPF alene dækker 139 millioner domæner og beskytter næsten ingen af dem — folketællingens mest kontante illustration af, hvad det giver at starte uden at gøre det færdigt.
Én stak, ikke fem projekter
Her er den vane, der adskiller de 3.87%, og den er organisatorisk, ikke teknisk.
De fleste domæner akkumulerer beskyttelser på den måde, pyramiden antyder: én ad gangen, hver udløst af en forskellig anledning — en browseradvarsel, et leveringsproblem, en compliance-tjekliste — hver behandlet som sit eget lille projekt med sit eget “færdig”. Færdig betyder i den tilstand, at recorden findes. Sådan ender internettet med 201 millioner domæner på etage 1-2: fem grønne flueben tilgængelige, ét eller to indsamlet, rejse forbi.
De fuldt beskyttede behandler de fem som ét system med én definition af færdig: angrebet virker ikke længere. Forfalsket e-mail afvises, ikke bare observeres; sessioner kan ikke nedgraderes, fordi HSTS er fastlåst; svar kan ikke stilfærdigt byttes ud, hvor DNSSEC er signeret. I DMARC-modenhedsmodellen (DMARC Adoption Maturity Model) er det Stage 6-tankegangen — beskyttelse som en disciplin, der overvåges og vedligeholdes, ikke et badge, man optjente én gang. Intet ved den kræver ekspertise, som de øvrige 96% mangler. Den kræver, at man gør det færdigt — i den rigtige rækkefølge, tjekker at hvert lag faktisk holder, og behandler “konfigureret” som midtvejspunktet snarere end destinationen.
Toppen ovenover: alle fem sammen
Over de fuldt e-mailbeskyttede sidder en langt mindre population: de 247,054 domæner — 0.09% — der har alle fem beskyttelser på én gang, DMARC, DNSSEC og HSTS udrullet sammen oven på SPF og HTTPS. Porten er DNSSEC: gyldig på blot 1.99% af domænerne er den den sjældneste af de fem, så pyramidens øverste etage er nødvendigvis lillebitte. Hvis etage 5 beskriver dine ambitioner, betyder rækkefølgen stadig noget — håndhæv e-mailautentificering først (den stopper de angreb, der faktisk ankommer dagligt), fastlås så transporten med HSTS, og signér derefter zonen.
Sådan slutter du dig til de 3.87%
Hvert trin er en konfigurationsændring, og hvert enkelt er gratis:
- Publicér SPF med dine reelle afsendere, afsluttet med
-all. (Ret SPF →) - Aktivér DKIM hos enhver tjeneste, der sender som dig — de fleste udbydere gør det til en enkelt kontakt. (Ret DKIM →)
- Publicér DMARC med rapportering, observér, håndhæv så —
p=noneplusrua=først, identificér hver legitim afsender, gå så videre tilquarantineogreject. Dette er muren, som de fleste domæner aldrig klatrer over, og det er efterforskningsarbejde, ikke penge. (Ret DMARC →) - Så weblaget: HSTS på dit HTTPS-websted, og DNSSEC, hvis din DNS-udbyder håndterer signeringen for dig.
Et domæne, der ikke sender e-mail, kan springe observationsfasen helt over: SPF -all og p=reject i dag, én DNS-ændring, direkte forbi muren.
Ofte stillede spørgsmål
Hvordan ser et fuldt beskyttet domæne ud? SPF og DKIM på plads og en DMARC-politik på quarantine eller reject ovenpå — den komplette e-mailautentificeringsstak, håndhævet. 10,092,481 domæner (3.87%) når den tærskel. Den strengeste version tilføjer DNSSEC, HTTPS og HSTS: alle fem sammen er pyramidens 0.09%.
Hvor mange domæner har DMARC, DNSSEC og HSTS udrullet sammen? Folketællingen offentliggør fem-beskyttelses-scoren snarere end hver parvis krydstabel, så det ærlige svar er en grænse: mindst de 247,054 domæner, der har alle fem, har de tre sammen, og højst 2.2% af domænerne (etage 4-5) kunne have det. Under alle omstændigheder: et godt stykke under ét ud af fyrre.
Er den fulde stak dyr? Nej. SPF, DKIM, DMARC, HSTS og DNSSEC er alle konfiguration — DNS-records og serverheadere, ingen licenser. De reelle omkostninger er opmærksomhed og rækkefølge: afsenderidentifikationsarbejdet før DMARC-håndhævelse er det eneste trin, der kræver vedvarende indsats, og det er det, de fleste domæner går i stå foran.
Hvilken beskyttelse bør komme først? Håndhævet e-mailautentificering, fordi e-mailimitation er det angreb, almindelige virksomheder faktisk står over for. HTTPS har du næsten helt sikkert; HSTS er en enkeltlinjes opfølgning; DNSSEC til sidst, og kun via en udbyder, der håndterer signering. At klatre etage for etage slår at starte fem projekter på én gang — det er egentlig hele pointen.
Tjek, hvor mange af de fem du har
Gabet mellem de 76.9% på etage 1-2 og de 3.87%, der gjorde det færdigt, er ikke talent eller budget — det er en rækkefølge, og hvert eneste trin af den er gratis. Du kan tjekke privat og gratis og se, hvilke af de 34 checks du består, og hvordan du retter dem, du ikke består.
Tjek dit domæne → · De 6 stadier af DMARC-modenhed → · DMARC-søjlen → · Kun aggregerede data. Data lagres og behandles i EU.