Defaults.Exposed › گزارشها
معدود دامنههای کاملاً محافظتشده: آن 3.87٪ که کار را به پایان رساندند
منتشرشده 2026-07-03 · بهروزرسانیشده 2026-07-03
ارقام تا تاریخ 2026-06-29 · متدولوژی نسخهٔ v7. دادههای سرشماری که بررسیها را بهازای هر دامنه در میان 261 میلیون دامنهٔ نمرهگذاریشده بههم پیوند میدهد. «کاملاً محافظتشده» در این مقاله به معنای پشتهٔ کامل احراز هویت ایمیل، اجراشده، است: وجود SPF، وجود DKIM، و یک سیاست DMARC از نوع
quarantineیاreject. هرم مواجهه پنج محافظت اصلی را بهازای هر دامنه میشمارد — SPF، DMARC اجراشده، DNSSEC، HTTPS، HSTS. ارقام همپوشانی در اینجا از پیوند بهازای هر دامنه به دست میآیند که دانهبندی حذف تکراری آن اندکی با شمارشهای تفکیکشده بر اساس سیاست که در صفحات DAMMM ذکر شده تفاوت دارد (27,640,987 در برابر 27,639,358 دامنهٔ اجراکننده) — هر صفحه منبع خودش را ذکر میکند و این دو هرگز با هم مخلوط نمیشوند. تمام ارقام تجمیعی هستند — ما هرگز نمرهٔ یک کسبوکار منفرد را منتشر نمیکنیم.
کاری که دامنههای کاملاً محافظتشده متفاوت انجام میدهند: کار را تمام میکنند
تنها 3.87٪ از 261 میلیون دامنهٔ نمرهگذاریشدهٔ اینترنت — 10,092,481 از آنها — پشتهٔ کامل و اجراشدهٔ محافظت از ایمیل را دارند: SPF و DKIM مستقر، و DMARC در حالت quarantine یا reject. نکتهٔ جالب دربارهٔ این گروه چیزی است که نیست. این باشگاهی از تیمهای امنیتی با بودجههای بزرگتر نیست — هر کنترلی که در آن دخیل است یک تنظیم رایگان DNS یا وبسرور است. آن 3.87٪ باهوشتر از دیگران نیستند؛ آنها روشمند هستند. آنها با محافظتها همچون یک پشته که باید تمام شود برخورد کردند، نه پنج پروژهٔ جداگانه که باید شروع شوند، و باقی این مقاله دربارهٔ این است که این کار در دادههای سرشماری چه شکلی دارد.
برای دیدن اینکه تمامکردن چقدر غیرمعمول است، از جایی که همهٔ دیگران قرار دارند شروع کنید.
هرم مواجهه: پنج محافظت، شش طبقه
هر دامنه را بر اساس پنج محافظت بهترینعملکرد نمرهگذاری کنید — SPF، DMARC اجراشده، DNSSEC، HTTPS، HSTS — هر کدام یک امتیاز، و اینترنت خود را به شکل یک هرم مرتب میکند (منحنی مواجهه، که طبقه به طبقه دیده میشود). تا تاریخ 2026-06-29:
| طبقه | محافظتهای مستقر | سهم از دامنهها | دامنهها |
|---|---|---|---|
| 0 | هیچکدام — کاملاً در معرض | 8.8٪ | 23,105,485 |
| 1 | یکی (معمولاً فقط HTTPS) | 37.2٪ | 97,206,153 |
| 2 | دو (معمولاً HTTPS + SPF) | 39.7٪ | 103,527,371 |
| 3 | سه | 12.0٪ | 31,424,343 |
| 4 | چهار | 2.1٪ | 5,575,826 |
| 5 | هر پنج — کاملاً قفلشده | 0.09٪ | 247,054 |
شکل هرم داستان را پیش از هر عدد منفردی روایت میکند. 76.9٪ از تمام دامنهها — 201 میلیون — روی طبقات ۱ و ۲ قرار دارند، دقیقاً همان محافظتهایی را دارند که بهصورت پیشفرض آمدهاند و هیچ چیز بیشتری ندارند. HTTPS آنجاست چون میزبانها و CDNها آن را بهطور خودکار روشن کردند؛ SPF آنجاست چون راهنمای راهاندازی هر ارائهدهندهٔ ایمیل با آن آغاز میشود. هر چیزی بالاتر از طبقهٔ ۲ نیازمند آن است که یک مالک تصمیم بگیرد — و در هر تصمیم، بیشتر اینترنت متوقف میشود. طبقات ۴ و ۵ روی هم فقط 2.2٪ از دامنهها را در بر میگیرند.
هرم رتبهبندی این نیست که چه کسی اهمیت میدهد. این نقشهای است از جایی که پیشفرضها پایان مییابند و آگاهی و اراده آغاز میشود.
قیفی که آن 3.87٪ از آن بالا رفتند
نیمهٔ ایمیلی پشته را گامبهگام دنبال کنید و همان الگو تکرار میشود — هر مرحله بیش از نیمی از دامنههایی را که به مرحلهٔ قبل رسیده بودند از دست میدهد:
- 53.21٪ از دامنهها SPF منتشر میکنند — مرحلهای که همهٔ راهنماها آن را پوشش میدهند.
- 24.89٪ اصلاً هر نوع رکورد DMARC منتشر میکنند.
- 10.59٪ آن را اجرا میکنند (
quarantineیاreject). - 3.87٪ آن را همراه با پشتهٔ کامل زیر آن اجرا میکنند — SPF و DKIM هر دو مستقر، تا اجرا بر پایهٔ احراز هویت کامل بایستد.
آن برش آخر ارزش درنگکردن دارد. از حدود 28 میلیون دامنهای که DMARC را اجرا میکنند، تنها 36.5٪ هر دو SPF و DKIM را در زیر این سیاست دارند. برخی از باقیمانده دقیقاً کار درست را انجام میدهند — دامنهای که هیچ ایمیلی ارسال نمیکند باید در حالت p=reject با یک SPF ساده -all باشد و به DKIM نیازی ندارد. اما این شکاف همچنین شامل دامنههای اجراکنندهای است که احراز هویتشان ناقص است، و این یعنی پشتهای که از سقف به پایین ساخته شده. آن 3.87٪ با عادت مقابل تعریف میشوند: کف پیش از سقف، هر لایه، و سپس سیاست در بالای همه.
SPF بهتنهایی 139 میلیون دامنه را پوشش میدهد و تقریباً هیچکدام را محافظت نمیکند — صریحترین نمایش سرشماری از آنچه شروعکردن بدون تمامکردن برای شما به همراه دارد.
یک پشته، نه پنج پروژه
اینجا عادتی است که آن 3.87٪ را متمایز میکند، و این عادت سازمانی است، نه فنی.
بیشتر دامنهها محافظتها را همانطور که هرم نشان میدهد جمع میکنند: یکی در هر بار، هر کدام با یک محرک متفاوت — یک هشدار مرورگر، یک مشکل تحویلپذیری، یک چکلیست انطباق — و هر کدام همچون پروژهٔ کوچک خودش با «انجامشدهٔ» خودش تلقی میشود. «انجامشده» در آن حالت یعنی رکورد وجود دارد. اینطور است که اینترنت با 201 میلیون دامنه روی طبقات ۱ تا ۲ به پایان میرسد: پنج تیک سبز در دسترس، یکی یا دو تا جمعآوریشده، سفر تمام.
دامنههای کاملاً محافظتشده با آن پنج مورد همچون یک سیستم واحد با یک تعریف واحد از «انجامشده» برخورد میکنند: حمله دیگر کار نمیکند. ایمیل جعلی رد میشود، نه فقط مشاهده میشود؛ نشستها را نمیتوان تنزل داد، چون HSTS پین شده است؛ پاسخها را نمیتوان بیسروصدا جابهجا کرد، جایی که DNSSEC امضا شده است. در مدل بلوغ پذیرش DMARC، این همان طرز فکر مرحلهٔ ۶ است — محافظت بهعنوان یک انضباط که پایش و نگهداری میشود، نه نشانی که یک بار به دست آمده. هیچ چیز آن نیازمند تخصصی نیست که آن ۹۶٪ دیگر فاقد آن باشند. نیازمند تمامکردن است — به ترتیب درست، بررسی اینکه هر لایه واقعاً پابرجاست، و برخورد با «پیکربندیشده» بهعنوان نقطهٔ میانی نه مقصد.
قلهٔ بالاتر: هر پنج با هم
بالاتر از دامنههای کاملاً محافظتشده در ایمیل، جمعیت بسیار کوچکتری قرار دارد: آن 247,054 دامنه — 0.09٪ — که هر پنج محافظت را همزمان دارند، DMARC، DNSSEC و HSTS که همراه با هم روی SPF و HTTPS مستقر شدهاند. دروازه DNSSEC است: که تنها روی 1.99٪ از دامنهها معتبر است، نادرترین مورد از میان این پنج، بنابراین طبقهٔ فوقانی هرم بهناچار بسیار کوچک است. اگر طبقهٔ ۵ توصیفگر آرزوهای شماست، ترتیب همچنان اهمیت دارد — ابتدا احراز هویت ایمیل را اجرا کنید (که حملاتی را که واقعاً هر روز میرسند متوقف میکند)، سپس انتقال را با HSTS پین کنید، و سپس ناحیه (zone) را امضا کنید.
چگونه به آن 3.87٪ بپیوندید
هر گام یک تغییر پیکربندی است، و هر کدام رایگان است:
- SPF را منتشر کنید که فرستندگان واقعی شما را فهرست میکند و با
-allپایان مییابد. (اصلاح SPF ←) - DKIM را فعال کنید با هر سرویسی که بهنام شما ارسال میکند — بیشتر ارائهدهندگان آن را به یک کلید تبدیل میکنند. (اصلاح DKIM ←)
- DMARC را با گزارشدهی منتشر کنید، مشاهده کنید، سپس اجرا کنید — ابتدا
p=noneبههمراهrua=، هر فرستندهٔ مشروع را شناسایی کنید، سپس بهquarantineوrejectبروید. این دیواری است که بیشتر دامنهها هرگز از آن بالا نمیروند، و کاری تحقیقاتی است، نه پولی. (اصلاح DMARC ←) - سپس لایهٔ وب: HSTS روی سایت HTTPS شما، و DNSSEC اگر ارائهدهندهٔ DNS شما امضا را برایتان مدیریت میکند.
دامنهای که هیچ ایمیلی ارسال نمیکند میتواند مرحلهٔ مشاهده را کاملاً رد کند: امروز SPF -all و p=reject، یک تغییر DNS، مستقیم از دیوار عبور میکند.
پرسشهای پرتکرار
یک دامنهٔ کاملاً محافظتشده چه شکلی است؟ SPF و DKIM مستقر و یک سیاست DMARC از نوع quarantine یا reject در بالای آنها — پشتهٔ کامل احراز هویت ایمیل، اجراشده. 10,092,481 دامنه (3.87٪) به آن سطح میرسند. سختگیرانهترین نسخه DNSSEC، HTTPS و HSTS را نیز اضافه میکند: هر پنج با هم همان 0.09٪ هرم است.
چند دامنه DMARC، DNSSEC و HSTS را با هم مستقر کردهاند؟ سرشماری نمرهٔ پنجمحافظتی را منتشر میکند نه هر جدول متقاطع دوبهدو را، بنابراین پاسخ صادقانه یک کران است: دستکم آن 247,054 دامنهای که هر پنج را دارند این سه را با هم دارند، و حداکثر 2.2٪ از دامنهها (طبقات ۴ تا ۵) میتوانستند داشته باشند. در هر صورت: بهخوبی کمتر از یک در چهل.
آیا پشتهٔ کامل گران است؟ خیر. SPF، DKIM، DMARC، HSTS و DNSSEC همگی پیکربندی هستند — رکوردهای DNS و هدرهای سرور، بدون هیچ مجوزی. هزینههای واقعی توجه و توالی هستند: کار شناسایی فرستنده پیش از اجرای DMARC تنها گامی است که تلاش پیوسته میطلبد، و همان است که بیشتر دامنهها در برابر آن متوقف میمانند.
کدام محافظت باید اول بیاید؟ احراز هویت اجراشدهٔ ایمیل، چون جعل هویت ایمیل حملهای است که کسبوکارهای معمولی واقعاً با آن روبهرو میشوند. HTTPS را تقریباً بهطور قطع دارید؛ HSTS یک پیگیری یکخطی است؛ DNSSEC در آخر، و فقط از طریق ارائهدهندهای که امضا را مدیریت میکند. بالارفتن طبقهبهطبقه بهتر از شروع پنج پروژه بهطور همزمان است — و دقیقاً همین نکته است.
بررسی کنید که چند تا از این پنج را دارید
شکاف میان آن 76.9٪ روی طبقات ۱ تا ۲ و آن 3.87٪ که کار را تمام کردند استعداد یا بودجه نیست — یک توالی است، و هر گام آن رایگان است. میتوانید بهصورت خصوصی و رایگان بررسی کنید و ببینید کدام یک از ۳۴ بررسی را قبول میشوید و چگونه آنهایی را که رد میشوید اصلاح کنید.
دامنهٔ خود را بررسی کنید ← · ۶ مرحلهٔ بلوغ DMARC ← · ستون DMARC ← · فقط دادههای تجمیعی. دادهها در اتحادیهٔ اروپا ذخیره و پردازش میشوند.