Defaults.Exposed

Defaults.Exposed › گزارش‌ها

معدود دامنه‌های کاملاً محافظت‌شده: آن 3.87٪ که کار را به پایان رساندند

منتشرشده 2026-07-03 · به‌روزرسانی‌شده 2026-07-03

ارقام تا تاریخ 2026-06-29 · متدولوژی نسخهٔ v7. داده‌های سرشماری که بررسی‌ها را به‌ازای هر دامنه در میان 261 میلیون دامنهٔ نمره‌گذاری‌شده به‌هم پیوند می‌دهد. «کاملاً محافظت‌شده» در این مقاله به معنای پشتهٔ کامل احراز هویت ایمیل، اجراشده، است: وجود SPF، وجود DKIM، و یک سیاست DMARC از نوع quarantine یا reject. هرم مواجهه پنج محافظت اصلی را به‌ازای هر دامنه می‌شمارد — SPF، DMARC اجراشده، DNSSEC، HTTPS، HSTS. ارقام هم‌پوشانی در اینجا از پیوند به‌ازای هر دامنه به دست می‌آیند که دانه‌بندی حذف تکراری آن اندکی با شمارش‌های تفکیک‌شده بر اساس سیاست که در صفحات DAMMM ذکر شده تفاوت دارد (27,640,987 در برابر 27,639,358 دامنهٔ اجراکننده) — هر صفحه منبع خودش را ذکر می‌کند و این دو هرگز با هم مخلوط نمی‌شوند. تمام ارقام تجمیعی هستند — ما هرگز نمرهٔ یک کسب‌وکار منفرد را منتشر نمی‌کنیم.

کاری که دامنه‌های کاملاً محافظت‌شده متفاوت انجام می‌دهند: کار را تمام می‌کنند

تنها 3.87٪ از 261 میلیون دامنهٔ نمره‌گذاری‌شدهٔ اینترنت — 10,092,481 از آن‌ها — پشتهٔ کامل و اجراشدهٔ محافظت از ایمیل را دارند: SPF و DKIM مستقر، و DMARC در حالت quarantine یا reject. نکتهٔ جالب دربارهٔ این گروه چیزی است که نیست. این باشگاهی از تیم‌های امنیتی با بودجه‌های بزرگ‌تر نیست — هر کنترلی که در آن دخیل است یک تنظیم رایگان DNS یا وب‌سرور است. آن 3.87٪ باهوش‌تر از دیگران نیستند؛ آن‌ها روشمند هستند. آن‌ها با محافظت‌ها همچون یک پشته که باید تمام شود برخورد کردند، نه پنج پروژهٔ جداگانه که باید شروع شوند، و باقی این مقاله دربارهٔ این است که این کار در داده‌های سرشماری چه شکلی دارد.

برای دیدن اینکه تمام‌کردن چقدر غیرمعمول است، از جایی که همهٔ دیگران قرار دارند شروع کنید.

هرم مواجهه: پنج محافظت، شش طبقه

هر دامنه را بر اساس پنج محافظت بهترین‌عملکرد نمره‌گذاری کنید — SPF، DMARC اجراشده، DNSSEC، HTTPS، HSTS — هر کدام یک امتیاز، و اینترنت خود را به شکل یک هرم مرتب می‌کند (منحنی مواجهه، که طبقه به طبقه دیده می‌شود). تا تاریخ 2026-06-29:

طبقهمحافظت‌های مستقرسهم از دامنه‌هادامنه‌ها
0هیچ‌کدام — کاملاً در معرض8.8٪23,105,485
1یکی (معمولاً فقط HTTPS)37.2٪97,206,153
2دو (معمولاً HTTPS + SPF)39.7٪103,527,371
3سه12.0٪31,424,343
4چهار2.1٪5,575,826
5هر پنج — کاملاً قفل‌شده0.09٪247,054

شکل هرم داستان را پیش از هر عدد منفردی روایت می‌کند. 76.9٪ از تمام دامنه‌ها — 201 میلیون — روی طبقات ۱ و ۲ قرار دارند، دقیقاً همان محافظت‌هایی را دارند که به‌صورت پیش‌فرض آمده‌اند و هیچ چیز بیشتری ندارند. HTTPS آنجاست چون میزبان‌ها و CDNها آن را به‌طور خودکار روشن کردند؛ SPF آنجاست چون راهنمای راه‌اندازی هر ارائه‌دهندهٔ ایمیل با آن آغاز می‌شود. هر چیزی بالاتر از طبقهٔ ۲ نیازمند آن است که یک مالک تصمیم بگیرد — و در هر تصمیم، بیشتر اینترنت متوقف می‌شود. طبقات ۴ و ۵ روی هم فقط 2.2٪ از دامنه‌ها را در بر می‌گیرند.

هرم رتبه‌بندی این نیست که چه کسی اهمیت می‌دهد. این نقشه‌ای است از جایی که پیش‌فرض‌ها پایان می‌یابند و آگاهی و اراده آغاز می‌شود.

قیفی که آن 3.87٪ از آن بالا رفتند

نیمهٔ ایمیلی پشته را گام‌به‌گام دنبال کنید و همان الگو تکرار می‌شود — هر مرحله بیش از نیمی از دامنه‌هایی را که به مرحلهٔ قبل رسیده بودند از دست می‌دهد:

آن برش آخر ارزش درنگ‌کردن دارد. از حدود 28 میلیون دامنه‌ای که DMARC را اجرا می‌کنند، تنها 36.5٪ هر دو SPF و DKIM را در زیر این سیاست دارند. برخی از باقی‌مانده دقیقاً کار درست را انجام می‌دهند — دامنه‌ای که هیچ ایمیلی ارسال نمی‌کند باید در حالت p=reject با یک SPF ساده -all باشد و به DKIM نیازی ندارد. اما این شکاف همچنین شامل دامنه‌های اجراکننده‌ای است که احراز هویتشان ناقص است، و این یعنی پشته‌ای که از سقف به پایین ساخته شده. آن 3.87٪ با عادت مقابل تعریف می‌شوند: کف پیش از سقف، هر لایه، و سپس سیاست در بالای همه.

SPF به‌تنهایی 139 میلیون دامنه را پوشش می‌دهد و تقریباً هیچ‌کدام را محافظت نمی‌کند — صریح‌ترین نمایش سرشماری از آنچه شروع‌کردن بدون تمام‌کردن برای شما به همراه دارد.

یک پشته، نه پنج پروژه

اینجا عادتی است که آن 3.87٪ را متمایز می‌کند، و این عادت سازمانی است، نه فنی.

بیشتر دامنه‌ها محافظت‌ها را همان‌طور که هرم نشان می‌دهد جمع می‌کنند: یکی در هر بار، هر کدام با یک محرک متفاوت — یک هشدار مرورگر، یک مشکل تحویل‌پذیری، یک چک‌لیست انطباق — و هر کدام همچون پروژهٔ کوچک خودش با «انجام‌شدهٔ» خودش تلقی می‌شود. «انجام‌شده» در آن حالت یعنی رکورد وجود دارد. این‌طور است که اینترنت با 201 میلیون دامنه روی طبقات ۱ تا ۲ به پایان می‌رسد: پنج تیک سبز در دسترس، یکی یا دو تا جمع‌آوری‌شده، سفر تمام.

دامنه‌های کاملاً محافظت‌شده با آن پنج مورد همچون یک سیستم واحد با یک تعریف واحد از «انجام‌شده» برخورد می‌کنند: حمله دیگر کار نمی‌کند. ایمیل جعلی رد می‌شود، نه فقط مشاهده می‌شود؛ نشست‌ها را نمی‌توان تنزل داد، چون HSTS پین شده است؛ پاسخ‌ها را نمی‌توان بی‌سروصدا جابه‌جا کرد، جایی که DNSSEC امضا شده است. در مدل بلوغ پذیرش DMARC، این همان طرز فکر مرحلهٔ ۶ است — محافظت به‌عنوان یک انضباط که پایش و نگهداری می‌شود، نه نشانی که یک بار به دست آمده. هیچ چیز آن نیازمند تخصصی نیست که آن ۹۶٪ دیگر فاقد آن باشند. نیازمند تمام‌کردن است — به ترتیب درست، بررسی اینکه هر لایه واقعاً پابرجاست، و برخورد با «پیکربندی‌شده» به‌عنوان نقطهٔ میانی نه مقصد.

قلهٔ بالاتر: هر پنج با هم

بالاتر از دامنه‌های کاملاً محافظت‌شده در ایمیل، جمعیت بسیار کوچک‌تری قرار دارد: آن 247,054 دامنه — 0.09٪ — که هر پنج محافظت را همزمان دارند، DMARC، DNSSEC و HSTS که همراه با هم روی SPF و HTTPS مستقر شده‌اند. دروازه DNSSEC است: که تنها روی 1.99٪ از دامنه‌ها معتبر است، نادرترین مورد از میان این پنج، بنابراین طبقهٔ فوقانی هرم به‌ناچار بسیار کوچک است. اگر طبقهٔ ۵ توصیف‌گر آرزوهای شماست، ترتیب همچنان اهمیت دارد — ابتدا احراز هویت ایمیل را اجرا کنید (که حملاتی را که واقعاً هر روز می‌رسند متوقف می‌کند)، سپس انتقال را با HSTS پین کنید، و سپس ناحیه (zone) را امضا کنید.

چگونه به آن 3.87٪ بپیوندید

هر گام یک تغییر پیکربندی است، و هر کدام رایگان است:

  1. SPF را منتشر کنید که فرستندگان واقعی شما را فهرست می‌کند و با -all پایان می‌یابد. (اصلاح SPF ←)
  2. DKIM را فعال کنید با هر سرویسی که به‌نام شما ارسال می‌کند — بیشتر ارائه‌دهندگان آن را به یک کلید تبدیل می‌کنند. (اصلاح DKIM ←)
  3. DMARC را با گزارش‌دهی منتشر کنید، مشاهده کنید، سپس اجرا کنید — ابتدا p=none به‌همراه rua=، هر فرستندهٔ مشروع را شناسایی کنید، سپس به quarantine و reject بروید. این دیواری است که بیشتر دامنه‌ها هرگز از آن بالا نمی‌روند، و کاری تحقیقاتی است، نه پولی. (اصلاح DMARC ←)
  4. سپس لایهٔ وب: HSTS روی سایت HTTPS شما، و DNSSEC اگر ارائه‌دهندهٔ DNS شما امضا را برایتان مدیریت می‌کند.

دامنه‌ای که هیچ ایمیلی ارسال نمی‌کند می‌تواند مرحلهٔ مشاهده را کاملاً رد کند: امروز SPF -all و p=reject، یک تغییر DNS، مستقیم از دیوار عبور می‌کند.

پرسش‌های پرتکرار

یک دامنهٔ کاملاً محافظت‌شده چه شکلی است؟ SPF و DKIM مستقر و یک سیاست DMARC از نوع quarantine یا reject در بالای آن‌ها — پشتهٔ کامل احراز هویت ایمیل، اجراشده. 10,092,481 دامنه (3.87٪) به آن سطح می‌رسند. سخت‌گیرانه‌ترین نسخه DNSSEC، HTTPS و HSTS را نیز اضافه می‌کند: هر پنج با هم همان 0.09٪ هرم است.

چند دامنه DMARC، DNSSEC و HSTS را با هم مستقر کرده‌اند؟ سرشماری نمرهٔ پنج‌محافظتی را منتشر می‌کند نه هر جدول متقاطع دوبه‌دو را، بنابراین پاسخ صادقانه یک کران است: دست‌کم آن 247,054 دامنه‌ای که هر پنج را دارند این سه را با هم دارند، و حداکثر 2.2٪ از دامنه‌ها (طبقات ۴ تا ۵) می‌توانستند داشته باشند. در هر صورت: به‌خوبی کمتر از یک در چهل.

آیا پشتهٔ کامل گران است؟ خیر. SPF، DKIM، DMARC، HSTS و DNSSEC همگی پیکربندی هستند — رکوردهای DNS و هدرهای سرور، بدون هیچ مجوزی. هزینه‌های واقعی توجه و توالی هستند: کار شناسایی فرستنده پیش از اجرای DMARC تنها گامی است که تلاش پیوسته می‌طلبد، و همان است که بیشتر دامنه‌ها در برابر آن متوقف می‌مانند.

کدام محافظت باید اول بیاید؟ احراز هویت اجراشدهٔ ایمیل، چون جعل هویت ایمیل حمله‌ای است که کسب‌وکارهای معمولی واقعاً با آن روبه‌رو می‌شوند. HTTPS را تقریباً به‌طور قطع دارید؛ HSTS یک پیگیری یک‌خطی است؛ DNSSEC در آخر، و فقط از طریق ارائه‌دهنده‌ای که امضا را مدیریت می‌کند. بالارفتن طبقه‌به‌طبقه بهتر از شروع پنج پروژه به‌طور همزمان است — و دقیقاً همین نکته است.

بررسی کنید که چند تا از این پنج را دارید

شکاف میان آن 76.9٪ روی طبقات ۱ تا ۲ و آن 3.87٪ که کار را تمام کردند استعداد یا بودجه نیست — یک توالی است، و هر گام آن رایگان است. می‌توانید به‌صورت خصوصی و رایگان بررسی کنید و ببینید کدام یک از ۳۴ بررسی را قبول می‌شوید و چگونه آن‌هایی را که رد می‌شوید اصلاح کنید.

دامنهٔ خود را بررسی کنید ← · ۶ مرحلهٔ بلوغ DMARC ← · ستون DMARC ← · فقط داده‌های تجمیعی. داده‌ها در اتحادیهٔ اروپا ذخیره و پردازش می‌شوند.