Defaults.Exposed › Rapports
Les rares pleinement protégés : les 3,87 % qui ont terminé
Publié 2026-07-03 · mis à jour 2026-07-03
Chiffres arrêtés au 2026-06-29 · méthodologie v7. Données du recensement croisant les contrôles par domaine sur 261 millions de domaines évalués. « Pleinement protégé » signifie dans cet article la pile complète d’authentification de courrier, appliquée : SPF présent, DKIM présent, et une politique DMARC de
quarantineoureject. La pyramide d’exposition compte cinq protections fondamentales par domaine — SPF, DMARC appliqué, DNSSEC, HTTPS, HSTS. Les chiffres de recoupement présentés ici proviennent de la jointure par domaine, dont le grain de déduplication diffère légèrement des décomptes par répartition de politique cités sur les pages DAMMM (27 640 987 contre 27 639 358 domaines appliquant l’authentification) — chaque page cite sa propre source, et les deux ne sont jamais mélangées. Tous les chiffres sont agrégés — nous ne publions jamais la note d’une entreprise particulière.
Ce que les domaines pleinement protégés font différemment : ils terminent
Seuls 3,87 % des 261 millions de domaines évalués sur Internet — soit 10 092 481 d’entre eux — font tourner la pile de protection de courrier complète et appliquée : SPF et DKIM en place, DMARC en quarantine ou reject. Ce qui est intéressant avec ce groupe, c’est ce qu’il n’est pas. Ce n’est pas un club d’équipes de sécurité aux budgets plus généreux — chaque contrôle concerné est un réglage DNS ou de serveur web gratuit. Les 3,87 % ne sont pas plus intelligents que les autres ; ils sont méthodiques. Ils ont traité les protections comme une seule pile à terminer plutôt que comme cinq projets distincts à démarrer, et le reste de cet article porte sur ce à quoi cela ressemble dans les données du recensement.
Pour mesurer à quel point terminer est inhabituel, commençons par voir où en sont tous les autres.
La pyramide d’exposition : cinq protections, six étages
Notez chaque domaine sur cinq protections de bonne pratique — SPF, DMARC appliqué, DNSSEC, HTTPS, HSTS — un point chacune, et Internet s’organise en pyramide (la courbe d’exposition, examinée étage par étage). Au 2026-06-29 :
| Étage | Protections en place | Part des domaines | Domaines |
|---|---|---|---|
| 0 | Aucune — pleinement exposé | 8,8 % | 23 105 485 |
| 1 | Une (généralement HTTPS seul) | 37,2 % | 97 206 153 |
| 2 | Deux (typiquement HTTPS + SPF) | 39,7 % | 103 527 371 |
| 3 | Trois | 12,0 % | 31 424 343 |
| 4 | Quatre | 2,1 % | 5 575 826 |
| 5 | Les cinq — pleinement verrouillé | 0,09 % | 247 054 |
La forme raconte l’histoire avant qu’aucun chiffre isolé ne le fasse. 76,9 % de tous les domaines — soit 201 millions — se trouvent aux étages 1 et 2, détenant exactement les protections arrivées par défaut et rien de plus. HTTPS est là parce que les hébergeurs et les CDN l’ont activé automatiquement ; SPF est là parce que le guide d’accueil de chaque fournisseur de messagerie commence par lui. Tout ce qui se situe au-dessus de l’étage 2 exige qu’un propriétaire décide — et à chaque décision, la majeure partie d’Internet s’arrête. Les étages 4 et 5 réunis ne détiennent que 2,2 % des domaines.
La pyramide n’est pas un classement de ceux qui se soucient de la sécurité. C’est une carte de l’endroit où finissent les valeurs par défaut et où commence l’intention délibérée.
L’entonnoir que les 3,87 % ont gravi
Suivez pas à pas la moitié « courrier » de la pile et le même schéma se répète — chaque étape perd plus de la moitié des domaines parvenus à la précédente :
- 53,21 % des domaines publient SPF — l’étape que tous les guides couvrent.
- 24,89 % publient un enregistrement DMARC, quel qu’il soit.
- 10,59 % l’appliquent (
quarantineoureject). - 3,87 % l’appliquent avec la pile complète en dessous — SPF et DKIM tous deux présents, de sorte que l’application repose sur une authentification complète.
Cette dernière coupe mérite qu’on s’y arrête. Sur les quelque 28 millions de domaines qui appliquent DMARC, seuls 36,5 % portent à la fois SPF et DKIM sous la politique. Certains des restants font exactement ce qu’il faut — un domaine qui n’envoie aucun courrier devrait être en p=reject avec un SPF -all minimal et n’a besoin d’aucun DKIM. Mais l’écart contient aussi des domaines appliquant DMARC dont l’authentification est incomplète, c’est-à-dire la pile bâtie du toit vers le bas. Les 3,87 % se définissent par l’habitude inverse : le plancher avant le toit, chaque couche, puis la politique par-dessus.
SPF seul couvre 139 millions de domaines et n’en protège presque aucun — l’illustration la plus brutale du recensement de ce qu’achète le fait de commencer sans terminer.
Une seule pile, et non cinq projets
Voici l’habitude qui distingue les 3,87 %, et elle est organisationnelle, pas technique.
La plupart des domaines accumulent les protections à la manière que suggère la pyramide : une à la fois, chacune déclenchée par un signal différent — un avertissement de navigateur, un problème de délivrabilité, une liste de conformité — chacune traitée comme son propre petit projet avec son propre « terminé ». Terminé, dans ce mode, signifie l’enregistrement existe. C’est ainsi qu’Internet se retrouve avec 201 millions de domaines aux étages 1 et 2 : cinq coches vertes disponibles, une ou deux récoltées, parcours terminé.
Les pleinement protégés traitent les cinq comme un seul système avec une seule définition de « terminé » : l’attaque ne fonctionne plus. Le courrier falsifié est refusé, pas seulement observé ; les sessions ne peuvent pas être rétrogradées, parce que HSTS est épinglé ; les réponses ne peuvent pas être discrètement substituées, là où DNSSEC est signé. Dans le modèle de maturité d’adoption DMARC, c’est l’état d’esprit de l’étape 6 — la protection comme une discipline surveillée et entretenue, et non un badge gagné une fois pour toutes. Rien là-dedans n’exige une expertise qui manquerait aux 96 % restants. Cela exige de terminer — dans le bon ordre, en vérifiant que chaque couche tient réellement, et en traitant « configuré » comme le point médian plutôt que la destination.
Le sommet au-dessus : les cinq réunis
Au-dessus des domaines pleinement protégés côté courrier se trouve une population bien plus réduite : les 247 054 domaines — 0,09 % — qui détiennent les cinq protections à la fois, DMARC, DNSSEC et HSTS déployés ensemble par-dessus SPF et HTTPS. Le verrou, c’est DNSSEC : valide sur seulement 1,99 % des domaines, c’est la plus rare des cinq, si bien que l’étage supérieur de la pyramide est nécessairement minuscule. Si l’étage 5 correspond à vos ambitions, l’ordre importe toujours — appliquez d’abord l’authentification de courrier (elle stoppe les attaques qui arrivent réellement chaque jour), puis épinglez le transport avec HSTS, puis signez la zone.
Comment rejoindre les 3,87 %
Chaque étape est un changement de configuration, et chacune est gratuite :
- Publiez SPF en listant vos véritables expéditeurs, en terminant par
-all. (Corriger SPF →) - Activez DKIM avec chaque service qui envoie en votre nom — la plupart des fournisseurs en font un simple interrupteur. (Corriger DKIM →)
- Publiez DMARC avec les rapports, observez, puis appliquez —
p=noneplusrua=d’abord, identifiez chaque expéditeur légitime, puis passez àquarantineetreject. C’est le mur que la plupart des domaines ne franchissent jamais, et c’est un travail d’enquête, pas d’argent. (Corriger DMARC →) - Puis la couche web : HSTS sur votre site HTTPS, et DNSSEC si votre fournisseur DNS gère la signature pour vous.
Un domaine qui n’envoie aucun courrier peut sauter entièrement la phase d’observation : SPF -all et p=reject dès aujourd’hui, un seul changement DNS, et le mur est franchi d’un coup.
Foire aux questions
À quoi ressemble un domaine pleinement protégé ? SPF et DKIM en place et une politique DMARC de quarantine ou reject par-dessus — la pile complète d’authentification de courrier, appliquée. 10 092 481 domaines (3,87 %) atteignent ce seuil. La version la plus stricte y ajoute DNSSEC, HTTPS et HSTS : les cinq réunis, ce sont les 0,09 % de la pyramide.
Combien de domaines ont DMARC, DNSSEC et HSTS déployés ensemble ? Le recensement publie le score sur cinq protections plutôt que chaque tableau croisé par paires, si bien que la réponse honnête est un encadrement : au moins les 247 054 domaines détenant les cinq ont ces trois-là ensemble, et au plus 2,2 % des domaines (étages 4 et 5) le pourraient. Dans tous les cas : bien moins d’un sur quarante.
La pile complète coûte-t-elle cher ? Non. SPF, DKIM, DMARC, HSTS et DNSSEC relèvent tous de la configuration — des enregistrements DNS et des en-têtes de serveur, aucune licence. Les vrais coûts sont l’attention et l’ordre : le travail d’identification des expéditeurs avant l’application de DMARC est la seule étape qui demande un effort soutenu, et c’est celle devant laquelle la plupart des domaines calent.
Quelle protection devrait venir en premier ? L’authentification de courrier appliquée, parce que l’usurpation par courrier est l’attaque que les entreprises ordinaires affrontent réellement. HTTPS, vous l’avez presque certainement ; HSTS est un suivi d’une seule ligne ; DNSSEC en dernier, et uniquement via un fournisseur qui gère la signature. Grimper étage par étage vaut mieux que démarrer cinq projets d’un coup — c’est bien là tout le propos.
Vérifiez combien des cinq vous détenez
L’écart entre les 76,9 % des étages 1 et 2 et les 3,87 % qui ont terminé n’est ni du talent ni du budget — c’est une séquence, et chacune de ses étapes est gratuite. Vous pouvez vérifier en privé et gratuitement, voir lesquels des 34 contrôles vous passez et comment corriger ceux que vous échouez.
Vérifiez votre domaine → · Les 6 étapes de la maturité DMARC → · Le pilier DMARC → · Données agrégées uniquement. Données stockées et traitées dans l’UE.