Defaults.Exposed › رفع اشکالها › Guides
پرسشنامه امنیتی مشتری درباره احراز هویت ایمیل میپرسد — در یک نیمهروز پاسخ دهید (و شکافها را رفع کنید) (۲۰۲۶)
منتشرشده 2026-07-08
ارقام تا 2026-06-29 · روششناسی v7. دادههای آماری کل در 261 میلیون دامنه درجهبندیشده — نتایج یک دامنه را هرگز منتشر نمیکنیم. ببینید چگونه درجهبندی میکنیم.
مشتریتان میپرسد چون قوانین امنیت زنجیره تأمین اروپا الان از آنها میخواهد تأمینکنندگانشان را بررسی کنند. سوالات یک نقطه شروع دو دقیقهای دارند: یک اسکن رایگان دقیقاً همان چیزی را که بررسی میکنند درجهبندی میکند. تنها 7.4٪ از دامنهها احراز هویت ایمیل کاملاً همراستا و اعمال شده دارند، طبق سرشماری Defaults.Exposed از 261,086,232 دامنه (تا 2026-06-29) — اکثر تأمینکنندگان هنوز هم نمیتوانند “بله” پاسخ دهند.
برنامه نیمهروز اینجاست: اسکن رایگان را اجرا کنید، گزارش درجهبندیشده یک صفحهای را بخوانید، صادقانه آنچه از قبل درست است را پاسخ دهید، و همان روز موفقیتهای سریع رایگان را رفع کنید. برای موارد عمیقتر، یک گزارش بهتاریخ به علاوه یک یادداشت اصلاح کوتاه یک پاسخ میانی قابل قبول است — و بهتر از یک “بله” بدون پشتوانه.
چرا بزرگترین مشتریمان ناگهان درباره امنیت ایمیل ما میپرسد؟
شخصی نیست. اگر مشتریتان در محدوده NIS2 — دستورالعمل امنیت شبکه و اطلاعات EU — قرار دارد، ماده ۲۱(۲)(d) آنها را ملزم میکند امنیت زنجیره تأمین خود را مدیریت کنند، و آییننامه اجرایی کمیسیون (EU) 2024/2690 اقدامات را مشخص میکند، امنیت ایمیل را به طور خاص نام میبرد. بنابراین تهیهخرید برای هر تأمینکنندهای پرسشنامه میفرستد؛ شاید شما خودتان تحت NIS2 نباشید، اما این نحوه سرازیر شدن تعهد به پایین است. ضربالاجل و پیامد — ماندن در لیست تأمینکنندگان تأیید شده — وجود دارند چون مشتریتان باید به یک ناظر نشان دهد بررسی را انجام داده. (آنچه NIS2 واقعاً درباره احراز هویت ایمیل میگوید را نوشتیم.) بیمهگران الان همان سوالات را میپرسند — اگر فرم تمدید شما هم شروع کرده، آن نسخه بیمه این نیمهروز است.
سوالات واقعاً چه معنایی دارند؟
بخش امنیت ایمیل یک پرسشنامه تأمینکننده معمولی چهار سوال با مخفف است. یک بار ترجمه شدند، سپس رهایشان میکنیم.
| پرسشنامه چه میپرسد | به زبان ساده چه معنایی دارد | گزارش اسکن چطور پاسخ میدهد |
|---|---|---|
| ”آیا سیاست DMARC اعمال میکنید؟” (DMARC — Domain-based Message Authentication, Reporting and Conformance) | آیا به سرورهای ایمیل جهان گفتهاید ایمیلی که دامنه شما را جعل میکند را رد کنند؟ ردیفی که اکثر تأمینکنندگان شکست میخورند: تنها 7.4٪ از 261,086,232 دامنه درجهبندیشده این را همراستا و اعمال شده دارند (سرشماری تا 2026-06-29). | سیاستتان را بیان و درجهبندی میکند. “اعمال شده” یعنی reject یا quarantine؛ “فقط نظارت” هنوز هیچ چیز را مسدود نمیکند — کدام را صادقانه بگویید. |
| ”آیا SPF با سیاست محدودکننده پیکربندی شده؟” (SPF — Sender Policy Framework) | آیا فهرست سرورهای مجاز به ارسال ایمیل به عنوان شرکتتان را منتشر کردهاید — و آیا محکم پایان مییابد (“نه کس دیگری”) یا با یک شانه خالی کردن (“و شاید دیگران”)؟ | نشان میدهد آیا فهرست وجود دارد، معتبر است، و محکم یا نرم پایان مییابد. |
| ”آیا ایمیلهای خروجی به صورت دیجیتال امضا شدهاند (DKIM)؟” (DKIM — DomainKeys Identified Mail) | آیا ایمیل شما یک امضای ضد دستکاری دارد که ثابت میکند از دامنه شما آمده — به اسم شما، نه پیشفرض ارائهدهنده؟ | نشان میدهد آیا یک امضا به نام دامنه شما وجود دارد — تله پیشفرض ارائهدهنده رایجترین شکافی است که اسکن پیدا میکند. |
| ”آیا جعل هویت دامنه را نظارت میکنید؟“ | اگر کسی ایمیل تقلبی به عنوان شما میفرستاد، میفهمیدید — یا اولین علامت یک تماس تلفنی عصبانی بود؟ | نشان میدهد آیا آدرس گزارش روشن است، تا تلاشهای جعل هویت به شما برسند. |
همه اینها از تنظیمات عمومی دامنه پاسخ داده میشوند — بدون ممیزی، بدون آژانس، بدون دسترسی به سیستمهایتان. به همین دلیل برنامه نیمهروزه کار میکند. این چهار مورد هم فقط ردیفهای ایمیل یک لیست طولانیتر هستند: بیمه سایبری و پرسشنامههای فروشنده چه چیزی از دامنه شما بررسی میکنند هر کنترلی که بررسی میکنند را با نرخ pass اینترنتی برای هر کدام جدولبندی میکند. این صفحه با نیمهروز شما میماند — چه پاسخ دهید، و چه چیزی را اول رفع کنید.
چطور قبل از ضربالاجل پاسخ دهیم؟ برنامه یک نیمهروزه
- اسکن رایگان را در defaults.exposed اجرا کنید — دو دقیقه، قبل از اینکه کسی به چیزی دست بزند. تنظیمات عمومی دامنهتان را میخواند و دقیقاً چهار حوزه بالا را درجهبندی میکند. بدون ثبتنام، بدون دسترسی به ایمیلتان.
- گزارش درجهبندیشده را بخوانید. یک صفحه، به زبان ساده، بهتاریخ — هر درجه به یک سوال پرسشنامه نقشه میشود، بنابراین پاسخهای واقعیتان را میدانید به جای حدس.
- آنچه از قبل درست است را پاسخ دهید. جایی که گزارش pass نشان میدهد، بله بگویید و توضیح دهید (“تأیید شده توسط اسکن مستقل” با تاریخ).
- همان روز موفقیتهای سریع رایگان را رفع کنید. شکافهای رایج تنظیمات هستند، نه خریدها: فهرست فرستنده که نرم پایان مییابد (رفع SPF)، قانون جعل هویت گمشده یا گیر کرده در حالت نظارت (رفع DMARC)، امضا به نام پیشفرض ارائهدهنده. همه رایگان، اکثراً یک رکورد DNS برای هر کدام — صفحه رفع را برای کسی که دامنهتان را مدیریت میکند بفرستید، و چند پاسخ “نه” قبل از بازگشت فرم به “بله” تبدیل میشوند.
- برای موارد عمیقتر، گزارش بهتاریخ را با یادداشت اصلاح بفرستید. انتقال به سیاست کاملاً اعمال شده به درستی نیاز به هفتهها نظارت ابتدا دارد — هرگز ادعا نکنید انجام شده وقتی نشده. “اسکن مستقل ضمیمه؛ rollout اعمال در حال پیشرفت، هدف سپتامبر” یک پاسخ میانی قابل قبول به هر تیم تهیهخرید ماهر است. یک “بله” کاذب قابل قبول نیست: تیمهای تهیهخرید دوباره بررسی میکنند، اغلب دقیقاً با همین نوع اسکن.
آیا این پرسشنامه میتواند به نفع ما کار کند؟
بله — به خاطر آنچه بقیه برمیگردانند. اکثر تأمینکنندگان با یک “بله” بدون پشتوانه پاسخ میدهند، در حالی که تنها 7.4٪ از 261,086,232 دامنه درجهبندیشده واقعاً موضع همراستا و اعمال شدهای که بررسی میشود دارند (سرشماری تا 2026-06-29). یک گزارش بهتاریخ و مستقلاً درجهبندیشده — حتی یکی که شکاف و تاریخ اصلاح را نشان میدهد — از یک “بله” بدون پشتوانه بهتر است، چون یکی قابل تأیید است و دیگری امید. از شما نمیخواهند کامل باشید؛ میخواهند قابل بررسی باشید. تعداد کمی از رقبایتان در آن لیست خواهند بود.
و اگر آنچه واقعاً آزارتان میدهد داستان کلاهبرداری فاکتور از رویداد شبکهسازی است — همان تنظیمات، همان بررسی دو دقیقهای.
پرسشهای متداول
اگر نتوانم همه چیز را قبل از ضربالاجل رفع کنم چی؟ آنچه درست است بفرستید: گزارش بهتاریخ، آنچه این هفته رفع کردید، و یک برنامه بهتاریخ برای بقیه. بررسیکنندگان زنجیره تأمین NIS2 ارزیابی میکنند که آیا تأمینکنندگان ریسک را مدیریت میکنند، نه اینکه آیا بینقص هستند — یک گزارش درجهبندیشده با یادداشت اصلاح هست مدیریت ریسک، به صورت کتبی. آنچه در بررسیها شکست میخورد سکوت است، یا ادعایی که در یک بررسی مجدد دوام نمیآورد.
آیا پیمانکار IT من میتواند این را مدیریت کند؟ تنظیمات رایگان، بله — فهرست فرستنده، امضای خودتان، قانون جعل هویت کارهای DNS معمولی هستند، و صفحات رفع بالا برای آن تحویل نوشته شدهاند. آنچه پیمانکاران به حق فراتر از حوزه خود میخوانند لایه قضاوت است: کدام سیاست اعمال شود، چه زمانی امن است سختگیرانهتر شوند، در این مدت به مشتری چه بگویید. گزارش درجهبندیشده آن تصمیمها را به یک سند تبدیل میکند، بنابراین هیچکدامتان بداههسازی نمیکنید.
آیا واقعاً ما را به عنوان تأمینکننده حذف میکنند؟ برای یک پاسخ خالی یا یک ادعای کاذب که کشف شود — در نهایت، بله؛ مشتری باید به یک ناظر جواب پس بدهد. برای یک شکاف صادقانه با تاریخ اصلاح — خیلی بعید: در تمام 261,086,232 دامنه درجهبندیشده، تنها 10.59٪ سیاست جعل هویتی را که این پرسشنامهها دربارهاش میپرسند اعمال میکنند (سرشماری تا 2026-06-29). صادق-با-برنامه شما را در لیست نگه میدارد.
ما تحت NIS2 نیستیم — میتوانیم پرسشنامه را نادیده بگیریم؟ تعهد متعلق به مشتریتان است، و آن را با انتخاب تأمینکنندگان قابل بررسی انجام میدهند. فضا برای متمایز شدن عظیم است: تنها 7.4٪ از تمام 261,086,232 دامنه درجهبندیشده احراز هویت ایمیل همراستا و اعمال شده دارند (سرشماری تا 2026-06-29). یک نیمهروز شما را از تقریباً هر اسم دیگری در آن لیست تأمینکنندگان جلوتر میاندازد.
گزارش را برای مخاطب ITتان بفرستید
هیچکدام از اینها را بازنویسی نکنید. اسکن رایگان را اجرا کنید، سپس دو چیز برای کسی که دامنهتان را مدیریت میکند بفرستید: گزارش درجهبندیشده و این مقاله. گزارش دقیقاً میگوید کدام تنظیمات را تغییر دهند؛ صفحات رفع مراحل را میدهند. وقتی گزارش تصحیح شده برگردد، پاسخهای پرسشنامه خودشان مینویسند — درجه به درجه. سپس آن را بایگانی کنید: مشتری بعدی همان چهار چیز را خواهد پرسید، تمدید بیمهتان از قبل میپرسد، و یک گزارش بهتاریخ که میتوانید در پنج دقیقه ضمیمه کنید تفاوت بین یک نیمهروز و یک مانور آتش است.
دامنهتان را بررسی کنید ← · پرسشنامهها چه چیزی از دامنه شما بررسی میکنند ← · آن داستان کلاهبرداری فاکتور که شنیدید ← · فقط دادههای جمعی. دادهها در اتحادیه اروپا ذخیره و پردازش میشوند.