Defaults.Exposed

Defaults.Exposedرفع اشکال‌هاGuides

پرسشنامه امنیتی مشتری درباره احراز هویت ایمیل می‌پرسد — در یک نیمه‌روز پاسخ دهید (و شکاف‌ها را رفع کنید) (۲۰۲۶)

منتشرشده 2026-07-08

ارقام تا 2026-06-29 · روش‌شناسی v7. داده‌های آماری کل در 261 میلیون دامنه درجه‌بندی‌شده — نتایج یک دامنه را هرگز منتشر نمی‌کنیم. ببینید چگونه درجه‌بندی می‌کنیم.

مشتریتان می‌پرسد چون قوانین امنیت زنجیره تأمین اروپا الان از آن‌ها می‌خواهد تأمین‌کنندگانشان را بررسی کنند. سوالات یک نقطه شروع دو دقیقه‌ای دارند: یک اسکن رایگان دقیقاً همان چیزی را که بررسی می‌کنند درجه‌بندی می‌کند. تنها 7.4٪ از دامنه‌ها احراز هویت ایمیل کاملاً هم‌راستا و اعمال شده دارند، طبق سرشماری Defaults.Exposed از 261,086,232 دامنه (تا 2026-06-29) — اکثر تأمین‌کنندگان هنوز هم نمی‌توانند “بله” پاسخ دهند.

برنامه نیمه‌روز اینجاست: اسکن رایگان را اجرا کنید، گزارش درجه‌بندی‌شده یک صفحه‌ای را بخوانید، صادقانه آنچه از قبل درست است را پاسخ دهید، و همان روز موفقیت‌های سریع رایگان را رفع کنید. برای موارد عمیق‌تر، یک گزارش به‌تاریخ به علاوه یک یادداشت اصلاح کوتاه یک پاسخ میانی قابل قبول است — و بهتر از یک “بله” بدون پشتوانه.

چرا بزرگ‌ترین مشتریمان ناگهان درباره امنیت ایمیل ما می‌پرسد؟

شخصی نیست. اگر مشتریتان در محدوده NIS2 — دستورالعمل امنیت شبکه و اطلاعات EU — قرار دارد، ماده ۲۱(۲)(d) آن‌ها را ملزم می‌کند امنیت زنجیره تأمین خود را مدیریت کنند، و آیین‌نامه اجرایی کمیسیون (EU) 2024/2690 اقدامات را مشخص می‌کند، امنیت ایمیل را به طور خاص نام می‌برد. بنابراین تهیه‌خرید برای هر تأمین‌کننده‌ای پرسشنامه می‌فرستد؛ شاید شما خودتان تحت NIS2 نباشید، اما این نحوه سرازیر شدن تعهد به پایین است. ضرب‌الاجل و پیامد — ماندن در لیست تأمین‌کنندگان تأیید شده — وجود دارند چون مشتریتان باید به یک ناظر نشان دهد بررسی را انجام داده. (آنچه NIS2 واقعاً درباره احراز هویت ایمیل می‌گوید را نوشتیم.) بیمه‌گران الان همان سوالات را می‌پرسند — اگر فرم تمدید شما هم شروع کرده، آن نسخه بیمه این نیمه‌روز است.

سوالات واقعاً چه معنایی دارند؟

بخش امنیت ایمیل یک پرسشنامه تأمین‌کننده معمولی چهار سوال با مخفف است. یک بار ترجمه شدند، سپس رهایشان می‌کنیم.

پرسشنامه چه می‌پرسدبه زبان ساده چه معنایی داردگزارش اسکن چطور پاسخ می‌دهد
”آیا سیاست DMARC اعمال می‌کنید؟” (DMARC — Domain-based Message Authentication, Reporting and Conformance)آیا به سرورهای ایمیل جهان گفته‌اید ایمیلی که دامنه شما را جعل می‌کند را رد کنند؟ ردیفی که اکثر تأمین‌کنندگان شکست می‌خورند: تنها 7.4٪ از 261,086,232 دامنه درجه‌بندی‌شده این را هم‌راستا و اعمال شده دارند (سرشماری تا 2026-06-29).سیاستتان را بیان و درجه‌بندی می‌کند. “اعمال شده” یعنی reject یا quarantine؛ “فقط نظارت” هنوز هیچ چیز را مسدود نمی‌کند — کدام را صادقانه بگویید.
”آیا SPF با سیاست محدودکننده پیکربندی شده؟” (SPF — Sender Policy Framework)آیا فهرست سرورهای مجاز به ارسال ایمیل به عنوان شرکتتان را منتشر کرده‌اید — و آیا محکم پایان می‌یابد (“نه کس دیگری”) یا با یک شانه خالی کردن (“و شاید دیگران”)؟نشان می‌دهد آیا فهرست وجود دارد، معتبر است، و محکم یا نرم پایان می‌یابد.
”آیا ایمیل‌های خروجی به صورت دیجیتال امضا شده‌اند (DKIM)؟” (DKIM — DomainKeys Identified Mail)آیا ایمیل شما یک امضای ضد دستکاری دارد که ثابت می‌کند از دامنه شما آمده — به اسم شما، نه پیش‌فرض ارائه‌دهنده؟نشان می‌دهد آیا یک امضا به نام دامنه شما وجود دارد — تله پیش‌فرض ارائه‌دهنده رایج‌ترین شکافی است که اسکن پیدا می‌کند.
”آیا جعل هویت دامنه را نظارت می‌کنید؟“اگر کسی ایمیل تقلبی به عنوان شما می‌فرستاد، می‌فهمیدید — یا اولین علامت یک تماس تلفنی عصبانی بود؟نشان می‌دهد آیا آدرس گزارش روشن است، تا تلاش‌های جعل هویت به شما برسند.

همه این‌ها از تنظیمات عمومی دامنه پاسخ داده می‌شوند — بدون ممیزی، بدون آژانس، بدون دسترسی به سیستم‌هایتان. به همین دلیل برنامه نیمه‌روزه کار می‌کند. این چهار مورد هم فقط ردیف‌های ایمیل یک لیست طولانی‌تر هستند: بیمه سایبری و پرسشنامه‌های فروشنده چه چیزی از دامنه شما بررسی می‌کنند هر کنترلی که بررسی می‌کنند را با نرخ pass اینترنتی برای هر کدام جدول‌بندی می‌کند. این صفحه با نیمه‌روز شما می‌ماند — چه پاسخ دهید، و چه چیزی را اول رفع کنید.

چطور قبل از ضرب‌الاجل پاسخ دهیم؟ برنامه یک نیمه‌روزه

  1. اسکن رایگان را در defaults.exposed اجرا کنید — دو دقیقه، قبل از اینکه کسی به چیزی دست بزند. تنظیمات عمومی دامنه‌تان را می‌خواند و دقیقاً چهار حوزه بالا را درجه‌بندی می‌کند. بدون ثبت‌نام، بدون دسترسی به ایمیلتان.
  2. گزارش درجه‌بندی‌شده را بخوانید. یک صفحه، به زبان ساده، به‌تاریخ — هر درجه به یک سوال پرسشنامه نقشه می‌شود، بنابراین پاسخ‌های واقعی‌تان را می‌دانید به جای حدس.
  3. آنچه از قبل درست است را پاسخ دهید. جایی که گزارش pass نشان می‌دهد، بله بگویید و توضیح دهید (“تأیید شده توسط اسکن مستقل” با تاریخ).
  4. همان روز موفقیت‌های سریع رایگان را رفع کنید. شکاف‌های رایج تنظیمات هستند، نه خریدها: فهرست فرستنده که نرم پایان می‌یابد (رفع SPF)، قانون جعل هویت گمشده یا گیر کرده در حالت نظارت (رفع DMARC)، امضا به نام پیش‌فرض ارائه‌دهنده. همه رایگان، اکثراً یک رکورد DNS برای هر کدام — صفحه رفع را برای کسی که دامنه‌تان را مدیریت می‌کند بفرستید، و چند پاسخ “نه” قبل از بازگشت فرم به “بله” تبدیل می‌شوند.
  5. برای موارد عمیق‌تر، گزارش به‌تاریخ را با یادداشت اصلاح بفرستید. انتقال به سیاست کاملاً اعمال شده به درستی نیاز به هفته‌ها نظارت ابتدا دارد — هرگز ادعا نکنید انجام شده وقتی نشده. “اسکن مستقل ضمیمه؛ rollout اعمال در حال پیشرفت، هدف سپتامبر” یک پاسخ میانی قابل قبول به هر تیم تهیه‌خرید ماهر است. یک “بله” کاذب قابل قبول نیست: تیم‌های تهیه‌خرید دوباره بررسی می‌کنند، اغلب دقیقاً با همین نوع اسکن.

آیا این پرسشنامه می‌تواند به نفع ما کار کند؟

بله — به خاطر آنچه بقیه برمی‌گردانند. اکثر تأمین‌کنندگان با یک “بله” بدون پشتوانه پاسخ می‌دهند، در حالی که تنها 7.4٪ از 261,086,232 دامنه درجه‌بندی‌شده واقعاً موضع هم‌راستا و اعمال شده‌ای که بررسی می‌شود دارند (سرشماری تا 2026-06-29). یک گزارش به‌تاریخ و مستقلاً درجه‌بندی‌شده — حتی یکی که شکاف و تاریخ اصلاح را نشان می‌دهد — از یک “بله” بدون پشتوانه بهتر است، چون یکی قابل تأیید است و دیگری امید. از شما نمی‌خواهند کامل باشید؛ می‌خواهند قابل بررسی باشید. تعداد کمی از رقبایتان در آن لیست خواهند بود.

و اگر آنچه واقعاً آزارتان می‌دهد داستان کلاهبرداری فاکتور از رویداد شبکه‌سازی است — همان تنظیمات، همان بررسی دو دقیقه‌ای.

پرسش‌های متداول

اگر نتوانم همه چیز را قبل از ضرب‌الاجل رفع کنم چی؟ آنچه درست است بفرستید: گزارش به‌تاریخ، آنچه این هفته رفع کردید، و یک برنامه به‌تاریخ برای بقیه. بررسی‌کنندگان زنجیره تأمین NIS2 ارزیابی می‌کنند که آیا تأمین‌کنندگان ریسک را مدیریت می‌کنند، نه اینکه آیا بی‌نقص هستند — یک گزارش درجه‌بندی‌شده با یادداشت اصلاح هست مدیریت ریسک، به صورت کتبی. آنچه در بررسی‌ها شکست می‌خورد سکوت است، یا ادعایی که در یک بررسی مجدد دوام نمی‌آورد.

آیا پیمانکار IT من می‌تواند این را مدیریت کند؟ تنظیمات رایگان، بله — فهرست فرستنده، امضای خودتان، قانون جعل هویت کارهای DNS معمولی هستند، و صفحات رفع بالا برای آن تحویل نوشته شده‌اند. آنچه پیمانکاران به حق فراتر از حوزه خود می‌خوانند لایه قضاوت است: کدام سیاست اعمال شود، چه زمانی امن است سخت‌گیرانه‌تر شوند، در این مدت به مشتری چه بگویید. گزارش درجه‌بندی‌شده آن تصمیم‌ها را به یک سند تبدیل می‌کند، بنابراین هیچ‌کدامتان بداهه‌سازی نمی‌کنید.

آیا واقعاً ما را به عنوان تأمین‌کننده حذف می‌کنند؟ برای یک پاسخ خالی یا یک ادعای کاذب که کشف شود — در نهایت، بله؛ مشتری باید به یک ناظر جواب پس بدهد. برای یک شکاف صادقانه با تاریخ اصلاح — خیلی بعید: در تمام 261,086,232 دامنه درجه‌بندی‌شده، تنها 10.59٪ سیاست جعل هویتی را که این پرسشنامه‌ها درباره‌اش می‌پرسند اعمال می‌کنند (سرشماری تا 2026-06-29). صادق-با-برنامه شما را در لیست نگه می‌دارد.

ما تحت NIS2 نیستیم — می‌توانیم پرسشنامه را نادیده بگیریم؟ تعهد متعلق به مشتریتان است، و آن را با انتخاب تأمین‌کنندگان قابل بررسی انجام می‌دهند. فضا برای متمایز شدن عظیم است: تنها 7.4٪ از تمام 261,086,232 دامنه درجه‌بندی‌شده احراز هویت ایمیل هم‌راستا و اعمال شده دارند (سرشماری تا 2026-06-29). یک نیمه‌روز شما را از تقریباً هر اسم دیگری در آن لیست تأمین‌کنندگان جلوتر می‌اندازد.

گزارش را برای مخاطب IT‌تان بفرستید

هیچ‌کدام از این‌ها را بازنویسی نکنید. اسکن رایگان را اجرا کنید، سپس دو چیز برای کسی که دامنه‌تان را مدیریت می‌کند بفرستید: گزارش درجه‌بندی‌شده و این مقاله. گزارش دقیقاً می‌گوید کدام تنظیمات را تغییر دهند؛ صفحات رفع مراحل را می‌دهند. وقتی گزارش تصحیح شده برگردد، پاسخ‌های پرسشنامه خودشان می‌نویسند — درجه به درجه. سپس آن را بایگانی کنید: مشتری بعدی همان چهار چیز را خواهد پرسید، تمدید بیمه‌تان از قبل می‌پرسد، و یک گزارش به‌تاریخ که می‌توانید در پنج دقیقه ضمیمه کنید تفاوت بین یک نیمه‌روز و یک مانور آتش است.

دامنه‌تان را بررسی کنید ← · پرسشنامه‌ها چه چیزی از دامنه شما بررسی می‌کنند ← · آن داستان کلاهبرداری فاکتور که شنیدید ← · فقط داده‌های جمعی. داده‌ها در اتحادیه اروپا ذخیره و پردازش می‌شوند.