Defaults.Exposed › گزارشها
شاخص جعلپذیری ایمیل: چند دامنه را هر کسی میتواند جعل کند؟ (۲۰۲۶)
منتشرشده 2026-07-03
ارقام تا تاریخ 2026-06-29 · روششناسی نسخه ۷. سرشماری تجمیعی روی 261 میلیون دامنه درجهبندیشده — اینترنت آنگونه که ما اندازهگیری میکنیم — که بهازای هر دامنه به هم پیوند خورده است. همه ارقام تجمیعی هستند؛ هرگز درجه یک کسبوکار مشخص نیستند. ببینید چگونه درجهبندی میکنیم.
چند دامنه را میتوان جعل کرد؟
9 از هر ۱۰. 89.4٪ از اینترنت — 233,445,245 دامنه — هیچ سیاستی منتشر نمیکند که به گیرندگان بگوید ایمیلی را که در احراز هویت شکست میخورد رد یا به پوشه اسپم بفرستند. این چیزی است که ما آن را جعلپذیر میشماریم، و این نگاه از دیدگاه مهاجم به سرشماری است: نه «چه کسی امنسازی ایمیل را آغاز کرده»، بلکه «چه کسی هنوز میتواند جعل هویت شود». بیشتر دامنهها آغاز کردهاند — آنها SPF منتشر میکنند. تعداد بسیار کمتری کار را به پایان رساندهاند، و فاصله میان این دو فعل همان شاخص است.
«جعلپذیر» اینجا به چه معناست؟
یک تعریف دقیق، چون این عدد نقلقول میشود: یک دامنه زمانی جعلپذیر است که هیچ سیاست DMARC با p=quarantine یا p=reject منتشر نکند — تنها دستورالعمل استانداردشدهای که هر گیرنده بزرگی را وادار میکند پیامی را که شکست میخورد رد یا به پوشه اسپم بفرستد. برخی گیرندگان به یک SPF سختگیرانه -all بهتنهایی واکنش نشان میدهند، اما این رفتار اختیاری است و در میان صندوقهای ورودی سراسر جهان ناهماهنگ؛ اجرای DMARC همان دستورالعملی است که همه به آن احترام میگذارند. پس یک دامنه جعلپذیر لزوماً همهجا بیدفاع نیست — بلکه از نظر سیاست بیدفاع است، وابسته به حسن نیت هر گیرنده.
به همین دلیل هم انتشار SPF بهتنهایی یک دامنه را از این شاخص خارج نمیکند: SPF ایمیل واقعی شما را شناسایی میکند، اما بدون اجرا هیچ چیز به گیرندگان دستور نمیدهد که در برابر جعلها اقدامی کنند.
کدام پسوندهای دامنه بیشترین جعلپذیری را دارند؟
سهم دامنههای درجهبندیشدهای که فاقد DMARC اجرایی هستند، به تفکیک پسوند:
| TLD | سهم جعلپذیر |
|---|---|
| .xyz | 94.9% |
| .de | 78.6% |
| .com | 90.5% |
| .org | 90.0% |
| .uk | 86.6% |
| .nl | 70.6% |
هیچ محلهای در اینترنت امن نیست — تفاوت میان پسوندها درجهای از میزان در معرض بودن است، نه دستههای جداگانهای از آن. حدهای افراطی در سطح کشور داستان خودشان را دارند: برای لیگ کشور به کشوری که این شاخص خلاصهاش میکند، جعلپذیرترین کشورها را ببینید.
برش سرور ایمیل: صندوقهای ورودی فعال، بدون هیچ محافظت
تیزترین برش شاخص: 42.7٪ از همه دامنههای درجهبندیشده یک سرور ایمیل فعال را اجرا میکنند در حالی که هیچگونه احراز هویتی منتشر نمیکنند — 111,369,509 دامنه که هم ایمیل واقعی دریافت میکنند و هم یک نام بیمحافظ را به جاعلان عرضه میدارند. اینها پوستههای راکد نیستند؛ دامنههای ایمیلیِ در حال کار هستند که صاحبانشان هرگز قفلها را نصب نکردند.
چرا این عددی است که اهمیت دارد
آمار پذیرش، اینترنت را زیبا جلوه میدهد؛ جعلپذیری آنچه را که یک مهاجم هنوز میتواند انجام دهد اندازه میگیرد. راهحل در هر گام رایگان است — SPF، DKIM، و سپس یک سیاست DMARC با p=reject — و هر دامنهای که کار را به پایان میرساند از 9-از-۱۰ به معدود محافظتشدگان نقل مکان میکند. این دو مقاله یک مجموعهداده واحد هستند که از دو سوی مخالف خوانده میشوند: این یکی درهای باز را میشمارد؛ آن یکی درهای قفلشده را.
پرسشهای پرتکرار
چه چیزی یک دامنه را جعلپذیر میکند؟
نبود یک سیاست DMARC اجرایی (p=quarantine یا p=reject). بدون آن، هیچ دستورالعمل استانداردشدهای به گیرندگان نمیگوید که ایمیلی را که در بررسیهای SPF/DKIM شکست میخورد رد یا به پوشه اسپم بفرستند. 89.4٪ از دامنهها — 9 از هر ۱۰ — تا تاریخ 2026-06-29 در این وضعیت هستند.
من SPF منتشر میکنم — آیا دامنهام همچنان میتواند جعل شود؟ اگر چیزی اجرا نکند، بله. SPF ثابت میکند کدام ایمیل واقعی است؛ اما به گیرندگان دستور نمیدهد که بقیه را رد کنند. سازوکار و راهحل در SPF بدون DMARC پوشش داده شده است.
آیا DMARC p=quarantine دامنهام را امن میکند؟
شما را از این شاخص خارج میکند: ایمیل ناموفق بهجای تحویل به صندوق ورودی، به پوشه اسپم فرستاده میشود. p=reject یک گام فراتر میرود و آن را یکسره رد میکند — قویترین تنظیم، و مقصد توصیهشده.
چگونه دامنهام را غیرقابلجعل کنم؟
هر سه قفل را نصب کنید — SPF، DKIM، و DMARC با p=reject — که هر کدام یک تغییر رایگان DNS است. سیاست DMARC خود را اصلاح کنید گام اجرایی است که شما را از این شاخص خارج میکند.
بررسی کنید که آیا دامنه شما یکی از آن 9 است
دامنه شما یا روی این شاخص است یا خارج از آن، و پاسخ رایگان بهدست میآید و رایگان قابل تغییر است.
دامنه خود را بررسی کنید ← · اصلاح DMARC ← · اصلاح SPF ← · جعلپذیرترین کشورها ← · معدود محافظتشدگان ← · فقط دادههای تجمیعی. دادهها در اتحادیه اروپا ذخیره و پردازش میشوند.