Defaults.Exposed

Defaults.Exposed › گزارش‌ها

شاخص جعل‌پذیری ایمیل: چند دامنه را هر کسی می‌تواند جعل کند؟ (۲۰۲۶)

منتشرشده 2026-07-03

ارقام تا تاریخ 2026-06-29 · روش‌شناسی نسخه ۷. سرشماری تجمیعی روی 261 میلیون دامنه درجه‌بندی‌شده — اینترنت آن‌گونه که ما اندازه‌گیری می‌کنیم — که به‌ازای هر دامنه به هم پیوند خورده است. همه ارقام تجمیعی هستند؛ هرگز درجه یک کسب‌وکار مشخص نیستند. ببینید چگونه درجه‌بندی می‌کنیم.

چند دامنه را می‌توان جعل کرد؟

9 از هر ۱۰. 89.4٪ از اینترنت — 233,445,245 دامنه — هیچ سیاستی منتشر نمی‌کند که به گیرندگان بگوید ایمیلی را که در احراز هویت شکست می‌خورد رد یا به پوشه اسپم بفرستند. این چیزی است که ما آن را جعل‌پذیر می‌شماریم، و این نگاه از دیدگاه مهاجم به سرشماری است: نه «چه کسی امن‌سازی ایمیل را آغاز کرده»، بلکه «چه کسی هنوز می‌تواند جعل هویت شود». بیشتر دامنه‌ها آغاز کرده‌اند — آن‌ها SPF منتشر می‌کنند. تعداد بسیار کمتری کار را به پایان رسانده‌اند، و فاصله میان این دو فعل همان شاخص است.

«جعل‌پذیر» اینجا به چه معناست؟

یک تعریف دقیق، چون این عدد نقل‌قول می‌شود: یک دامنه زمانی جعل‌پذیر است که هیچ سیاست DMARC با p=quarantine یا p=reject منتشر نکند — تنها دستورالعمل استانداردشده‌ای که هر گیرنده بزرگی را وادار می‌کند پیامی را که شکست می‌خورد رد یا به پوشه اسپم بفرستد. برخی گیرندگان به یک SPF سخت‌گیرانه -all به‌تنهایی واکنش نشان می‌دهند، اما این رفتار اختیاری است و در میان صندوق‌های ورودی سراسر جهان ناهماهنگ؛ اجرای DMARC همان دستورالعملی است که همه به آن احترام می‌گذارند. پس یک دامنه جعل‌پذیر لزوماً همه‌جا بی‌دفاع نیست — بلکه از نظر سیاست بی‌دفاع است، وابسته به حسن نیت هر گیرنده.

به همین دلیل هم انتشار SPF به‌تنهایی یک دامنه را از این شاخص خارج نمی‌کند: SPF ایمیل واقعی شما را شناسایی می‌کند، اما بدون اجرا هیچ چیز به گیرندگان دستور نمی‌دهد که در برابر جعل‌ها اقدامی کنند.

کدام پسوندهای دامنه بیشترین جعل‌پذیری را دارند؟

سهم دامنه‌های درجه‌بندی‌شده‌ای که فاقد DMARC اجرایی هستند، به تفکیک پسوند:

TLDسهم جعل‌پذیر
.xyz94.9%
.de78.6%
.com90.5%
.org90.0%
.uk86.6%
.nl70.6%

هیچ محله‌ای در اینترنت امن نیست — تفاوت میان پسوندها درجه‌ای از میزان در معرض بودن است، نه دسته‌های جداگانه‌ای از آن. حدهای افراطی در سطح کشور داستان خودشان را دارند: برای لیگ کشور به کشوری که این شاخص خلاصه‌اش می‌کند، جعل‌پذیرترین کشورها را ببینید.

برش سرور ایمیل: صندوق‌های ورودی فعال، بدون هیچ محافظت

تیزترین برش شاخص: 42.7٪ از همه دامنه‌های درجه‌بندی‌شده یک سرور ایمیل فعال را اجرا می‌کنند در حالی که هیچ‌گونه احراز هویتی منتشر نمی‌کنند — 111,369,509 دامنه که هم ایمیل واقعی دریافت می‌کنند و هم یک نام بی‌محافظ را به جاعلان عرضه می‌دارند. این‌ها پوسته‌های راکد نیستند؛ دامنه‌های ایمیلیِ در حال کار هستند که صاحبانشان هرگز قفل‌ها را نصب نکردند.

چرا این عددی است که اهمیت دارد

آمار پذیرش، اینترنت را زیبا جلوه می‌دهد؛ جعل‌پذیری آنچه را که یک مهاجم هنوز می‌تواند انجام دهد اندازه می‌گیرد. راه‌حل در هر گام رایگان است — SPF، DKIM، و سپس یک سیاست DMARC با p=reject — و هر دامنه‌ای که کار را به پایان می‌رساند از 9-از-۱۰ به معدود محافظت‌شدگان نقل مکان می‌کند. این دو مقاله یک مجموعه‌داده واحد هستند که از دو سوی مخالف خوانده می‌شوند: این یکی درهای باز را می‌شمارد؛ آن یکی درهای قفل‌شده را.

پرسش‌های پرتکرار

چه چیزی یک دامنه را جعل‌پذیر می‌کند؟ نبود یک سیاست DMARC اجرایی (p=quarantine یا p=reject). بدون آن، هیچ دستورالعمل استانداردشده‌ای به گیرندگان نمی‌گوید که ایمیلی را که در بررسی‌های SPF/DKIM شکست می‌خورد رد یا به پوشه اسپم بفرستند. 89.4٪ از دامنه‌ها — 9 از هر ۱۰ — تا تاریخ 2026-06-29 در این وضعیت هستند.

من SPF منتشر می‌کنم — آیا دامنه‌ام همچنان می‌تواند جعل شود؟ اگر چیزی اجرا نکند، بله. SPF ثابت می‌کند کدام ایمیل واقعی است؛ اما به گیرندگان دستور نمی‌دهد که بقیه را رد کنند. سازوکار و راه‌حل در SPF بدون DMARC پوشش داده شده است.

آیا DMARC p=quarantine دامنه‌ام را امن می‌کند؟ شما را از این شاخص خارج می‌کند: ایمیل ناموفق به‌جای تحویل به صندوق ورودی، به پوشه اسپم فرستاده می‌شود. p=reject یک گام فراتر می‌رود و آن را یکسره رد می‌کند — قوی‌ترین تنظیم، و مقصد توصیه‌شده.

چگونه دامنه‌ام را غیرقابل‌جعل کنم؟ هر سه قفل را نصب کنید — SPF، DKIM، و DMARC با p=reject — که هر کدام یک تغییر رایگان DNS است. سیاست DMARC خود را اصلاح کنید گام اجرایی است که شما را از این شاخص خارج می‌کند.

بررسی کنید که آیا دامنه شما یکی از آن 9 است

دامنه شما یا روی این شاخص است یا خارج از آن، و پاسخ رایگان به‌دست می‌آید و رایگان قابل تغییر است.

دامنه خود را بررسی کنید ← · اصلاح DMARC ← · اصلاح SPF ← · جعل‌پذیرترین کشورها ← · معدود محافظت‌شدگان ← · فقط داده‌های تجمیعی. داده‌ها در اتحادیه اروپا ذخیره و پردازش می‌شوند.