Defaults.Exposed

Defaults.Exposed › דוחות

מדד יכולת הזיוף של דוא"ל: כמה דומיינים יכול כל אחד לזייף? (2026)

פורסם 2026-07-03

נתונים נכון ל-2026-06-29 · מתודולוגיה v7. מפקד מצרפי על פני 261 מיליון דומיינים מדורגים — האינטרנט כפי שאנו מודדים אותו — מאוחד לכל דומיין. כל הנתונים מצרפיים; לעולם לא הדירוג של עסק מסוים. ראו כיצד אנו מדרגים.

כמה דומיינים ניתן לזייף?

9 מתוך 10. 89.4% מהאינטרנט — 233,445,245 דומיינים — אינם מפרסמים שום מדיניות שמורה למקבלים לדחות או לסמן כזבל דואר שנכשל באימות. זה מה שאנו סופרים כניתן לזיוף, וזוהי מבטו של התוקף על המפקד: לא “מי התחיל לאבטח דוא”ל”, אלא “אחר מי עדיין ניתן להתחזות”. רוב הדומיינים התחילו — הם מפרסמים SPF. הרבה פחות סיימו, והפער בין שני הפעלים האלה הוא המדד.

מה פירוש “ניתן לזיוף” כאן?

הגדרה מדויקת, מפני שהמספר הזה מצוטט: דומיין ניתן לזיוף כאשר הוא אינו מפרסם שום מדיניות DMARC ב-p=quarantine או p=reject — ההוראה המתוקננת היחידה שגורמת לכל מקבל מרכזי לדחות או לסמן כזבל הודעה שנכשלה. חלק מהמקבלים אכן פועלים לפי SPF -all מחמיר בפני עצמו, אך התנהגות זו נתונה לשיקול דעת ואינה עקבית בין תיבות הדואר בעולם; אכיפת DMARC היא ההוראה שכולם מכבדים. אז דומיין ניתן לזיוף אינו בהכרח חסר הגנה בכל מקום — הוא חסר הגנה מבחינת מדיניות, תלוי ברצונו הטוב של כל מקבל.

זו גם הסיבה שפרסום SPF לבדו אינו מזיז דומיין ממדד זה: SPF מזהה את הדואר האותנטי שלכם, אך ללא אכיפה שום דבר אינו מורה למקבלים לפעול נגד הזיופים.

אילו סיומות דומיין ניתנות לזיוף ביותר?

חלקם של הדומיינים המדורגים שחסרים DMARC אוכף, לפי סיומת:

TLDחלק ניתן לזיוף
.xyz94.9%
.de78.6%
.com90.5%
.org90.0%
.uk86.6%
.nl70.6%

אף שכונה באינטרנט אינה בטוחה — ההפרש בין הסיומות הוא דרגות של חשיפה, לא קטגוריות שלה. הקצוות ברמת המדינה הם סיפור בפני עצמו: ראו המדינות הניתנות לזיוף ביותר לטבלת הליגה לפי מדינה שמדד זה מסכם.

חתך שרתי הדואר: תיבות דואר פעילות, ללא הגנה

הפרוסה החדה ביותר של המדד: 42.7% מכלל הדומיינים המדורגים מפעילים שרת דואר פעיל בעודם אינם מפרסמים שום אימות כלל — 111,369,509 דומיינים שגם מקבלים דואר אמיתי וגם מציעים למזייפים שם לא שמור. אלה אינם קליפות חונות; אלה דומייני דואר פעילים שבעליהם מעולם לא התקינו את המנעולים.

מדוע זה המספר שחשוב

סטטיסטיקות אימוץ מחמיאות לאינטרנט; יכולת הזיוף מודדת מה תוקף עדיין יכול לעשות. התיקון חינם בכל שלב — SPF, DKIM, ואז מדיניות DMARC ב-p=reject — וכל דומיין שמסיים עובר מ-9-מתוך-10 למעטים המוגנים. שני המאמרים הם אותו מערך נתונים הנקרא משני קצוות מנוגדים: זה סופר את הדלתות הפתוחות; זה סופר את הנעולות.

שאלות נפוצות

מה הופך דומיין לניתן לזיוף? היעדר מדיניות DMARC אוכפת (p=quarantine או p=reject). בלעדיה, שום הוראה מתוקננת אינה מורה למקבלים לדחות או לסמן כזבל דואר שנכשל בבדיקות SPF/DKIM. 89.4% מהדומיינים — 9 מתוך 10 — נמצאים במצב זה נכון ל-2026-06-29.

אני מפרסם SPF — האם עדיין ניתן לזייף את הדומיין שלי? אם שום דבר אינו אוכף, כן. SPF מוכיח איזה דואר אותנטי; הוא אינו מורה למקבלים לדחות את השאר. המנגנון והתיקון מכוסים ב-SPF ללא DMARC.

האם DMARC p=quarantine הופך את הדומיין שלי לבטוח? זה מזיז אתכם ממדד זה: דואר שנכשל מסומן כזבל במקום להימסר לתיבת הדואר. p=reject הולך רחוק יותר ומסרב לו לחלוטין — ההגדרה החזקה ביותר, והיעד המומלץ.

כיצד אני הופך את הדומיין שלי לבלתי ניתן לזיוף? התקינו את כל שלושת המנעולים — SPF, DKIM, ו-DMARC ב-p=reject — כל אחד שינוי DNS חינמי. תקנו את מדיניות ה-DMARC שלכם הוא שלב האכיפה שמוציא אתכם מהמדד.

בדקו האם שלכם הוא אחד מבין ה-9

הדומיין שלכם נמצא במדד זה או מחוצה לו, והתשובה חינמית להשגה וחינמית לשינוי.

בדקו את הדומיין שלכם → · תקנו DMARC → · תקנו SPF → · המדינות הניתנות לזיוף ביותר → · המעטים המוגנים → · נתונים מצרפיים בלבד. הנתונים מאוחסנים ומעובדים באיחוד האירופי.