Defaults.Exposed › Aruanded
Täielikult kaitstud vähesed: need 3.87%, kes lõpuni jõudsid
Avaldatud 2026-07-03 · uuendatud 2026-07-03
Arvud seisuga 2026-06-29 · metoodika v7. Loendusandmed, mis ühendavad iga domeeni kontrollid 261 miljoni hinnatud domeeni lõikes. “Täielikult kaitstud” tähendab selles artiklis täielikku jõustatud e-posti autentimise virna: SPF olemas, DKIM olemas ja DMARC-poliitika
quarantinevõireject. Kaitstuse püramiid loeb iga domeeni kohta viit põhikaitset — SPF, jõustav DMARC, DNSSEC, HTTPS, HSTS. Siinsed kattuvusarvud tulenevad iga domeeni ühendusest, mille dedupliker-teralisus erineb marginaalselt DAMMM-lehtedel toodud poliitikate jaotuse arvudest (27,640,987 vs 27,639,358 jõustavat domeeni) — iga leht viitab omaenda allikale ja neid kaht ei segata kunagi. Kõik arvud on koondarvud — me ei avalda kunagi üksiku ettevõtte hinnet.
Mida täielikult kaitstud domeenid teevad teisiti: nad jõuavad lõpuni
Vaid 3.87% interneti 261 miljonist hinnatud domeenist — 10,092,481 neist — kasutab täielikku, jõustatud e-posti kaitsevirna: SPF ja DKIM paigas, DMARC režiimil quarantine või reject. Selle rühma juures on huvitav see, mis ta ei ole. See ei ole suuremate eelarvetega turbetiimide klubi — iga asjaomane kaitse on tasuta DNS- või veebiserveri säte. Need 3.87% ei ole teistest targemad; nad on süsteemsed. Nad käsitlesid kaitseid ühe virnana, mis tuleb lõpuni viia, mitte viie eraldi projektina, mida alustada, ja ülejäänud artikkel räägibki sellest, kuidas see loendusandmetes välja näeb.
Et näha, kui ebatavaline on lõpuni jõudmine, alustage sellest, kus kõik teised seisavad.
Kaitstuse püramiid: viis kaitset, kuus korrust
Hinnake iga domeeni viie parima praktika kaitse järgi — SPF, jõustav DMARC, DNSSEC, HTTPS, HSTS — üks punkt igaühe eest, ja internet reastub püramiidiks (kaitstuse kõver, vaadatuna korrus korruse haaval). Seisuga 2026-06-29:
| Korrus | Kaitsed paigas | Osakaal domeenidest | Domeenid |
|---|---|---|---|
| 0 | Ükski — täielikult avatud | 8.8% | 23,105,485 |
| 1 | Üks (tavaliselt ainult HTTPS) | 37.2% | 97,206,153 |
| 2 | Kaks (tüüpiliselt HTTPS + SPF) | 39.7% | 103,527,371 |
| 3 | Kolm | 12.0% | 31,424,343 |
| 4 | Neli | 2.1% | 5,575,826 |
| 5 | Kõik viis — täielikult lukustatud | 0.09% | 247,054 |
Kuju räägib loo enne, kui ükski üksik number seda teeb. 76.9% kõigist domeenidest — 201 miljonit — asub korrustel 1 ja 2, hoides täpselt neid kaitseid, mis saabusid vaikimisi, ja mitte midagi enamat. HTTPS on olemas, sest hostid ja CDN-id lülitasid selle automaatselt sisse; SPF on olemas, sest iga e-posti teenusepakkuja liitumisjuhend algab sellest. Kõik, mis on korrusest 2 kõrgemal, nõuab, et omanik otsustaks — ja igal otsusel jääb suurem osa internetist seisma. Korrused 4 ja 5 hoiavad koos vaid 2.2% domeenidest.
Püramiid ei ole edetabel selle kohta, kes hoolib. See on kaart sellest, kus lõpevad vaikeseaded ja algab sihikindlus.
Lehter, mille 3.87% läbisid
Jälgige virna e-posti poolt samm-sammult ja sama muster kordub — iga etapp kaotab rohkem kui poole domeenidest, mis eelmisse jõudsid:
- 53.21% domeenidest avaldab SPF-i — samm, mida kõik juhendid katavad.
- 24.89% avaldab üldse mis tahes DMARC-kirje.
- 10.59% jõustab selle (
quarantinevõireject). - 3.87% jõustab selle koos täieliku virnaga all — SPF ja DKIM mõlemad olemas, nii et jõustamine tugineb täielikule autentimisele.
Sellel viimasel lõikel tasub peatuda. Umbes 28 miljonist DMARC-i jõustavast domeenist kannab vaid 36.5% poliitika all nii SPF-i kui ka DKIM-i. Osa ülejäänutest teeb täpselt õiget asja — domeen, mis ei saada posti, peakski olema režiimil p=reject paljaste -all SPF-iga ega vaja DKIM-i. Kuid see lõhe sisaldab ka jõustavaid domeene, mille autentimine on puudulik, mis on virn, mis on ehitatud katusest allapoole. 3.87% on määratletud vastupidise harjumusega: vundament enne katust, iga kiht, seejärel poliitika peale.
Ainuüksi SPF katab 139 miljonit domeeni ega kaitse peaaegu ühtegi neist — loenduse kõige jõhkram illustratsioon sellest, mida ostab alustamine ilma lõpuni jõudmiseta.
Üks virn, mitte viis projekti
Siin on harjumus, mis eristab 3.87%, ja see on organisatsiooniline, mitte tehniline.
Enamik domeene kogub kaitseid nii, nagu püramiid vihjab: ükshaaval, iga vallandatud eri ajendist — brauseri hoiatus, kättetoimetatavuse probleem, vastavuse kontrollnimekiri — igaüht käsitletakse omaenda väikese projektina omaenda “tehtud” mõistega. “Tehtud” tähendab selles režiimis, et kirje on olemas. Nii jõuab internet 201 miljoni domeenini korrustel 1–2: viis rohelist linnukest saadaval, üks või kaks kogutud, teekond läbi.
Täielikult kaitstud käsitlevad neid viit ühe süsteemina, millel on üks “tehtud” definitsioon: rünnak enam ei toimi. Võltsitud post lükatakse tagasi, mitte ainult ei vaadelda; sessioone ei saa alandada, sest HSTS on kinnistatud; vastuseid ei saa vaikselt vahetada, kus DNSSEC on allkirjastatud. DMARC-i kasutuselevõtu küpsusmudelis on see 6. etapi mõtteviis — kaitse kui distsipliin, mida jälgitakse ja hoitakse, mitte kui märk, mis kord teeniti. Miski selle juures ei nõua asjatundlikkust, mida ülejäänud 96% napiks jääb. See nõuab lõpuni jõudmist — õiges järjekorras, iga kihi tegeliku toimimise kontrollimist ja “seadistatud” käsitlemist keskpunktina, mitte sihtpunktina.
Tipp kõrgemal: kõik viis koos
E-posti poolelt täielikult kaitstute kohal asub palju väiksem hulk: need 247,054 domeeni — 0.09% — mis hoiavad korraga kõiki viit kaitset, DMARC, DNSSEC ja HSTS koos SPF-i ja HTTPS-i peale paigaldatud. Värav on DNSSEC: kehtiv vaid 1.99% domeenidest, on see viiest kõige haruldasem, nii et püramiidi tippkorrus on paratamatult pisike. Kui korrus 5 kirjeldab teie ambitsioone, on järjekord ikkagi oluline — jõustage kõigepealt e-posti autentimine (see peatab rünnakud, mis päriselt iga päev saabuvad), seejärel kinnistage transport HSTS-iga, seejärel allkirjastage tsoon.
Kuidas liituda 3.87%-ga
Iga samm on konfiguratsioonimuudatus ja iga neist on tasuta:
- Avaldage SPF, mis loetleb teie tegelikud saatjad ja lõpeb
-all-iga. (Paranda SPF →) - Lubage DKIM iga teenusega, mis saadab teie nimel — enamiku pakkujate juures on see lülitusnupp. (Paranda DKIM →)
- Avaldage DMARC koos aruandlusega, vaadelge, seejärel jõustage — kõigepealt
p=noneplussrua=, tuvastage iga õiguspärane saatja, seejärel liikuge režiimilequarantinejareject. See on müür, millest enamik domeene kunagi üle ei roni, ja see on uuriv töö, mitte raha. (Paranda DMARC →) - Seejärel veebikiht: HSTS teie HTTPS-saidil ja DNSSEC, kui teie DNS-pakkuja haldab allkirjastamist teie eest.
Domeen, mis ei saada posti, võib vaatlusfaasi täielikult vahele jätta: SPF -all ja p=reject juba täna, üks DNS-muudatus, otse müürist mööda.
Korduma kippuvad küsimused
Milline näeb välja täielikult kaitstud domeen? SPF ja DKIM paigas ning DMARC-poliitika quarantine või reject peal — täielik jõustatud e-posti autentimise virn. 10,092,481 domeeni (3.87%) vastavad sellele lävele. Rangeim versioon lisab DNSSEC-i, HTTPS-i ja HSTS-i: kõik viis koos on püramiidi 0.09%.
Kui paljudel domeenidel on DMARC, DNSSEC ja HSTS koos kasutusele võetud? Loendus avaldab viie kaitse skoori, mitte iga paaripõhise ristandmestiku, nii et aus vastus on piir: vähemalt need 247,054 domeeni, mis hoiavad kõiki viit, hoiavad neid kolme koos, ja kõige rohkem võiks neid hoida 2.2% domeenidest (korrused 4–5). Igal juhul: kõvasti alla ühe neljakümnest.
Kas täielik virn on kallis? Ei. SPF, DKIM, DMARC, HSTS ja DNSSEC on kõik konfiguratsioon — DNS-kirjed ja serveri päised, mingeid litsentse. Tegelikud kulud on tähelepanu ja järjestus: saatjate tuvastamise töö enne DMARC-i jõustamist on ainus samm, mis nõuab püsivat pingutust, ja see on see, mille ees enamik domeene seiskub.
Milline kaitse peaks tulema esimesena? Jõustatud e-posti autentimine, sest e-posti isikustamine on rünnak, millega tavalised ettevõtted päriselt silmitsi seisavad. HTTPS on teil peaaegu kindlasti olemas; HSTS on üherealine järgsamm; DNSSEC viimasena ja ainult sellise pakkuja kaudu, kes allkirjastamist haldab. Korrus korruse haaval ronimine on parem kui viie projekti korraga alustamine — see ongi õieti mõte.
Kontrollige, kui paljusid viiest te hoiate
Lõhe 76.9% vahel korrustel 1–2 ja nende 3.87% vahel, kes lõpuni jõudsid, ei ole anne ega eelarve — see on järjestus ja iga selle samm on tasuta. Saate kontrollida privaatselt ja tasuta ning näha, millised 34 kontrolli te läbite ja kuidas parandada need, mida ei läbi.
Kontrollige oma domeeni → · DMARC-i küpsuse 6 etappi → · DMARC-i sammas → · Ainult koondandmed. Andmeid säilitatakse ja töödeldakse EL-is.