Defaults.Exposed › Raportit
Täysin suojattu vähemmistö: ne 3.87 %, jotka veivät sen loppuun
Julkaistu 2026-07-03 · päivitetty 2026-07-03
Luvut ajankohdalta 2026-06-29 · menetelmä v7. Väestölaskennan data yhdistää verkkotunnuskohtaiset tarkistukset 261 miljoonan arvioidun verkkotunnuksen joukossa. “Täysin suojattu” tarkoittaa tässä artikkelissa täydellistä ja pakotettua sähköpostin tunnistautumispinoa: SPF on julkaistu, DKIM on julkaistu ja DMARC-käytäntönä on
quarantinetaireject. Altistumispyramidi laskee verkkotunnusta kohti viisi ydinsuojausta — SPF, pakottava DMARC, DNSSEC, HTTPS ja HSTS. Tässä esitetyt päällekkäisyysluvut tulevat verkkotunnuskohtaisesta yhdistelystä, jonka deduplikointitarkkuus poikkeaa hieman DAMMM-sivuilla mainituista käytäntöjaon luvuista (27,640,987 vs. 27,639,358 pakottavaa verkkotunnusta) — kukin sivu viittaa omaan lähteeseensä, eikä näitä koskaan sekoiteta. Kaikki luvut ovat kokonaislukuja — emme koskaan julkaise yksittäisen yrityksen arviota.
Mitä täysin suojatut verkkotunnukset tekevät toisin: ne vievät sen loppuun
Vain 3.87 % internetin 261 miljoonasta arvioidusta verkkotunnuksesta — 10,092,481 niistä — käyttää täydellistä, pakotettua sähköpostisuojauspinoa: SPF ja DKIM ovat kunnossa ja DMARC tilassa quarantine tai reject. Kiinnostavaa tässä ryhmässä on se, mitä se ei ole. Se ei ole isommilla budjeteilla varustettujen tietoturvatiimien kerho — jokainen mukana oleva suojaus on ilmainen DNS- tai verkkopalvelinasetus. Nämä 3.87 % eivät ole muita fiksumpia; he ovat järjestelmällisiä. He kohtelivat suojauksia yhtenä loppuun vietävänä pinona eivätkä viitenä erillisenä aloitettavana projektina, ja tämän artikkelin loppuosa käsittelee sitä, miltä se näyttää väestölaskennan datassa.
Nähdäksesi, kuinka epätavallista loppuun vieminen on, aloita siitä, missä kaikki muut ovat.
Altistumispyramidi: viisi suojausta, kuusi kerrosta
Pisteytä jokainen verkkotunnus viiden parhaan käytännön suojauksen mukaan — SPF, pakottava DMARC, DNSSEC, HTTPS ja HSTS — piste kustakin, ja internet järjestyy pyramidiksi (altistumiskäyrä kerros kerrokselta tarkasteltuna). Ajankohtana 2026-06-29:
| Kerros | Käytössä olevat suojaukset | Osuus verkkotunnuksista | Verkkotunnukset |
|---|---|---|---|
| 0 | Ei yhtään — täysin altistunut | 8.8 % | 23,105,485 |
| 1 | Yksi (yleensä pelkkä HTTPS) | 37.2 % | 97,206,153 |
| 2 | Kaksi (tyypillisesti HTTPS + SPF) | 39.7 % | 103,527,371 |
| 3 | Kolme | 12.0 % | 31,424,343 |
| 4 | Neljä | 2.1 % | 5,575,826 |
| 5 | Kaikki viisi — täysin lukittu | 0.09 % | 247,054 |
Muoto kertoo tarinan ennen kuin yksikään luku ehtii. 76.9 % kaikista verkkotunnuksista — 201 miljoonaa — sijaitsee kerroksissa 1 ja 2 ja pitää hallussaan täsmälleen ne suojaukset, jotka tulivat oletuksena, eikä mitään muuta. HTTPS on paikallaan, koska palvelimet ja CDN:t kytkivät sen päälle automaattisesti; SPF on paikallaan, koska jokaisen sähköpostipalveluntarjoajan käyttöönotto-opas alkaa siitä. Kaikki kerroksen 2 yläpuolella edellyttää, että omistaja päättää — ja jokaisen päätöksen kohdalla suurin osa internetistä pysähtyy. Kerrokset 4 ja 5 yhteensä pitävät hallussaan vain 2.2 % verkkotunnuksista.
Pyramidi ei ole ranking siitä, kuka välittää. Se on kartta siitä, missä oletukset päättyvät ja harkittu toiminta alkaa.
Suppilo, jonka nuo 3.87 % kiipesivät
Seuraa pinon sähköpostipuoliskoa vaihe vaiheelta, ja sama kaava toistuu — jokainen vaihe karsii yli puolet niistä verkkotunnuksista, jotka pääsivät edelliseen:
- 53.21 % verkkotunnuksista julkaisee SPF:n — vaiheen, jonka kaikki oppaat kattavat.
- 24.89 % julkaisee ylipäätään minkäänlaisen DMARC-tietueen.
- 10.59 % pakottaa sen (
quarantinetaireject). - 3.87 % pakottaa sen täydellisen pinon päällä — sekä SPF että DKIM ovat läsnä, joten pakotus nojaa täydelliseen tunnistautumiseen.
Tuota viimeistä karsintaa kannattaa pysähtyä miettimään. Niistä noin 28 miljoonasta verkkotunnuksesta, jotka pakottavat DMARC:n, vain 36.5 % kantaa sekä SPF:ää että DKIM:iä käytännön alla. Osa lopuista tekee juuri oikein — verkkotunnus, joka ei lähetä sähköpostia, kuuluu tilaan p=reject paljaalla -all SPF:llä eikä tarvitse DKIM:iä. Mutta tässä välissä on myös pakottavia verkkotunnuksia, joiden tunnistautuminen on epätäydellinen, mikä on pino, joka on rakennettu katosta alaspäin. Nuo 3.87 % määrittyvät päinvastaisen tavan kautta: perustus ennen kattoa, jokainen kerros, ja vasta sitten käytäntö päälle.
Pelkkä SPF kattaa 139 miljoonaa verkkotunnusta eikä suojaa niistä juuri yhtäkään — väestölaskennan tylyin havainnollistus siitä, mitä aloittaminen ilman loppuun viemistä tuottaa.
Yksi pino, ei viittä projektia
Tässä on tapa, joka erottaa nuo 3.87 %, ja se on organisatorinen, ei tekninen.
Useimmat verkkotunnukset keräävät suojauksia pyramidin ehdottamalla tavalla: yksi kerrallaan, kukin eri kimmokkeen laukaisemana — selainvaroitus, toimitettavuusongelma, vaatimustenmukaisuuslista — ja kutakin kohdellaan omana pikkuprojektinaan, jolla on oma “valmis”. Valmis tarkoittaa siinä tilassa sitä, että tietue on olemassa. Näin internetiin päätyy 201 miljoonaa verkkotunnusta kerroksiin 1–2: viisi vihreää ruksia tarjolla, yksi tai kaksi kerätty, matka ohi.
Täysin suojatut kohtelevat näitä viittä yhtenä järjestelmänä, jolla on yksi määritelmä valmiille: hyökkäys ei enää toimi. Väärennetty posti torjutaan, ei vain havaita; istuntoja ei voi alentaa, koska HSTS on kiinnitetty; vastauksia ei voi hiljaa vaihtaa, kun DNSSEC on allekirjoitettu. DMARC:n käyttöönoton kypsyysmallissa tämä on vaiheen 6 ajattelutapa — suojaus kurinalaisuutena, jota valvotaan ja ylläpidetään, ei kertaalleen ansaittuna merkkinä. Mikään siinä ei vaadi asiantuntemusta, jota noilta muilta 96 %:lta puuttuisi. Se vaatii loppuun viemistä — oikeassa järjestyksessä, tarkistaen että kukin kerros todella pitää, ja kohdellen “konfiguroitua” välivaiheena eikä päämääränä.
Huippu yläpuolella: kaikki viisi yhdessä
Täysin sähköpostisuojattujen yläpuolella on paljon pienempi joukko: 247,054 verkkotunnusta — 0.09 % — jotka pitävät hallussaan kaikkia viittä suojausta yhtä aikaa, DMARC, DNSSEC ja HSTS otettu käyttöön yhdessä SPF:n ja HTTPS:n päälle. Portti on DNSSEC: se on voimassa vain 1.99 %:lla verkkotunnuksista, joten se on näistä viidestä harvinaisin, ja siksi pyramidin ylin kerros on väistämättä pieni. Jos kerros 5 kuvaa tavoitteitasi, järjestyksellä on silti väliä — pakota ensin sähköpostin tunnistautuminen (se pysäyttää hyökkäykset, jotka todella saapuvat päivittäin), kiinnitä sitten kuljetus HSTS:llä ja allekirjoita lopuksi vyöhyke.
Miten liittyä noihin 3.87 %:iin
Jokainen vaihe on konfiguraatiomuutos, ja jokainen on ilmainen:
- Julkaise SPF, joka luettelee todelliset lähettäjäsi ja päättyy merkintään
-all. (Korjaa SPF →) - Ota DKIM käyttöön jokaisessa palvelussa, joka lähettää sinun nimissäsi — useimmilla tarjoajilla se on kytkin. (Korjaa DKIM →)
- Julkaise DMARC raportoinnilla, havainnoi ja pakota sitten — ensin
p=nonesekärua=, tunnista jokainen laillinen lähettäjä ja siirry sitten tilaanquarantinejareject. Tämä on muuri, jota useimmat verkkotunnukset eivät koskaan kiipeä, ja se on selvitystyötä, ei rahaa. (Korjaa DMARC →) - Sitten verkkotaso: HSTS HTTPS-sivustollasi, ja DNSSEC, jos DNS-tarjoajasi hoitaa allekirjoituksen puolestasi.
Verkkotunnus, joka ei lähetä sähköpostia, voi ohittaa havainnointivaiheen kokonaan: SPF -all ja p=reject jo tänään, yksi DNS-muutos, suoraan muurin ohi.
Usein kysytyt kysymykset
Miltä täysin suojattu verkkotunnus näyttää? SPF ja DKIM ovat kunnossa ja DMARC-käytäntönä on quarantine tai reject päällä — täydellinen ja pakotettu sähköpostin tunnistautumispino. 10,092,481 verkkotunnusta (3.87 %) täyttää tämän riman. Tiukin versio lisää DNSSEC:n, HTTPS:n ja HSTS:n: kaikki viisi yhdessä on pyramidin 0.09 %.
Kuinka monella verkkotunnuksella on DMARC, DNSSEC ja HSTS käytössä yhdessä? Väestölaskenta julkaisee viiden suojauksen pistemäärän eikä jokaista parittaista ristiintaulukointia, joten rehellinen vastaus on rajaus: vähintään noilla 247,054 verkkotunnuksella, joilla on kaikki viisi, on nuo kolme yhdessä, ja enintään 2.2 %:lla verkkotunnuksista (kerrokset 4–5) voisi olla. Kummin päin tahansa: reilusti alle yksi neljästäkymmenestä.
Onko täysi pino kallis? Ei. SPF, DKIM, DMARC, HSTS ja DNSSEC ovat kaikki konfiguraatiota — DNS-tietueita ja palvelinotsakkeita, ei lisenssejä. Todelliset kustannukset ovat huomio ja järjestys: lähettäjien tunnistustyö ennen DMARC-pakotusta on ainoa vaihe, joka vaatii pitkäjänteistä ponnistusta, ja se on se, jonka edessä useimmat verkkotunnukset jämähtävät.
Minkä suojauksen pitäisi tulla ensin? Pakotettu sähköpostin tunnistautuminen, koska sähköpostin väärentäminen on hyökkäys, jota tavalliset yritykset todella kohtaavat. HTTPS sinulla lähes varmasti jo on; HSTS on yhden rivin jatkotoimenpide; DNSSEC viimeisenä ja vain sellaisen tarjoajan kautta, joka hoitaa allekirjoituksen. Kerros kerrokselta kiipeäminen voittaa viiden projektin yhtäaikaisen aloittamisen — sehän tässä on koko pointti.
Tarkista, montako viidestä sinulla on
Kuilu kerroksissa 1–2 olevien 76.9 %:n ja sen loppuun vieneiden 3.87 %:n välillä ei ole lahjakkuutta tai budjettia — se on järjestys, ja jokainen sen vaihe on ilmainen. Voit tarkistaa yksityisesti ja ilmaiseksi, nähdä mitkä 34 tarkistuksesta läpäiset ja miten korjata ne, joita et.
Tarkista verkkotunnuksesi → · DMARC-kypsyyden 6 vaihetta → · DMARC-pilari → · Vain koostettua dataa. Data tallennetaan ja käsitellään EU:ssa.