Defaults.Exposed › דוחות
המעטים המוגנים לחלוטין: 3.87% שסיימו את המשימה
פורסם 2026-07-03 · עודכן 2026-07-03
הנתונים נכונים ל-2026-06-29 · מתודולוגיה v7. נתוני מפקד המחברים בדיקות לכל דומיין על פני 261 מיליון דומיינים מדורגים. “מוגן לחלוטין” במאמר זה פירושו ערכת אימות הדוא”ל המלאה, באכיפה: SPF קיים, DKIM קיים, ומדיניות DMARC של
quarantineאוreject. פירמידת החשיפה סופרת חמש הגנות ליבה לכל דומיין — SPF, DMARC אוכף, DNSSEC, HTTPS, HSTS. נתוני החפיפה כאן מגיעים מהחיבור ברמת הדומיין, שגרעין הדדופ שלו שונה במקצת מספירות פיצול המדיניות המצוטטות בעמודי ה-DAMMM (27,640,987 לעומת 27,639,358 דומיינים אוכפים) — כל עמוד מצטט את המקור שלו, ושני המקורות לעולם אינם מעורבבים. כל הנתונים הם מצטברים — לעולם איננו מפרסמים את הדירוג של עסק בודד.
מה דומיינים מוגנים לחלוטין עושים אחרת: הם מסיימים
רק 3.87% מ-261 מיליון הדומיינים המדורגים של האינטרנט — 10,092,481 מתוכם — מפעילים את ערכת הגנת הדוא”ל המלאה והאכיפה: SPF ו-DKIM במקומם, DMARC ברמת quarantine או reject. הדבר המעניין בקבוצה הזו הוא מה שהיא אינה. היא אינה מועדון של צוותי אבטחה עם תקציבים גדולים יותר — כל בקרה מעורבת היא הגדרת DNS או שרת אינטרנט חינמית. ה-3.87% אינם חכמים יותר מכולם; הם שיטתיים. הם התייחסו להגנות כאל ערכה אחת שיש לסיים ולא כאל חמישה פרויקטים נפרדים שיש להתחיל, ושאר המאמר עוסק בכיצד זה נראה בנתוני המפקד.
כדי לראות עד כמה סיום הוא נדיר, נתחיל היכן עומדים כל השאר.
פירמידת החשיפה: חמש הגנות, שש קומות
נקד כל דומיין על חמש הגנות מיטביות — SPF, DMARC אוכף, DNSSEC, HTTPS, HSTS — נקודה אחת לכל אחת, והאינטרנט מסתדר לפירמידה (עקומת החשיפה, הנצפית קומה אחר קומה). נכון ל-2026-06-29:
| קומה | הגנות במקומן | חלק מהדומיינים | דומיינים |
|---|---|---|---|
| 0 | אף אחת — חשוף לחלוטין | 8.8% | 23,105,485 |
| 1 | אחת (בדרך כלל HTTPS בלבד) | 37.2% | 97,206,153 |
| 2 | שתיים (בדרך כלל HTTPS + SPF) | 39.7% | 103,527,371 |
| 3 | שלוש | 12.0% | 31,424,343 |
| 4 | ארבע | 2.1% | 5,575,826 |
| 5 | כל החמש — נעול לחלוטין | 0.09% | 247,054 |
הצורה מספרת את הסיפור עוד לפני שמספר בודד עושה זאת. 76.9% מכל הדומיינים — 201 מיליון — יושבים על קומות 1 ו-2, ומחזיקים בדיוק את ההגנות שהגיעו כברירת מחדל ותו לא. HTTPS נמצא שם משום שמארחים ורשתות CDN הפעילו אותו אוטומטית; SPF נמצא שם משום שמדריך ההצטרפות של כל ספק דוא”ל מתחיל בו. כל דבר מעל קומה 2 דורש מבעלים להחליט — ובכל החלטה, רוב האינטרנט עוצר. קומות 4 ו-5 יחד מחזיקות רק 2.2% מהדומיינים.
הפירמידה אינה דירוג של מי אכפת לו. היא מפה של היכן ברירות המחדל נגמרות והכוונה מתחילה.
המשפך שה-3.87% טיפסו בו
עקבו אחר חצי הדוא”ל של הערכה שלב אחר שלב ואותה תבנית חוזרת — כל שלב משיל יותר ממחצית הדומיינים שהגיעו לשלב שלפניו:
- 53.21% מהדומיינים מפרסמים SPF — השלב שכל המדריכים מכסים.
- 24.89% מפרסמים רשומת DMARC כלשהי בכלל.
- 10.59% אוכפים אותה (
quarantineאוreject). - 3.87% אוכפים אותה כשהערכה המלאה מתחתיה — SPF ו-DKIM שניהם קיימים, כך שהאכיפה עומדת על אימות שלם.
כדאי לעצור על החיתוך האחרון הזה. מתוך כ-28 מיליון הדומיינים שאוכפים DMARC, רק 36.5% נושאים גם SPF וגם DKIM מתחת למדיניות. חלק מהיתר עושים בדיוק את הדבר הנכון — דומיין שאינו שולח דוא”ל צריך להיות ב-p=reject עם SPF חשוף של -all ואינו זקוק ל-DKIM. אך הפער מכיל גם דומיינים אוכפים שהאימות שלהם לא שלם, וזוהי הערכה הבנויה מהגג כלפי מטה. ה-3.87% מוגדרים על ידי ההרגל ההפוך: רצפה לפני גג, כל שכבה, ואז המדיניות מלמעלה.
SPF לבדו מכסה 139 מיליון דומיינים ומגן על כמעט אף אחד מהם — ההמחשה הבוטה ביותר של המפקד למה קונה התחלה ללא סיום.
ערכה אחת, לא חמישה פרויקטים
הנה ההרגל שמפריד את ה-3.87%, והוא ארגוני, לא טכני.
רוב הדומיינים צוברים הגנות באופן שהפירמידה מרמזת עליו: אחת בכל פעם, כל אחת מופעלת על ידי גירוי שונה — אזהרת דפדפן, בעיית מסירה, רשימת תיוג לעמידה בדרישות — כל אחת מטופלת כפרויקט קטן משלה עם ה”סיום” שלו. סיום, במצב הזה, פירושו הרשומה קיימת. כך האינטרנט מסתיים עם 201 מיליון דומיינים על קומות 1–2: חמישה סימני וי ירוקים זמינים, אחד או שניים נאספו, המסע נגמר.
המוגנים לחלוטין מתייחסים לחמש כאל מערכת אחת עם הגדרה אחת של סיום: ההתקפה כבר לא עובדת. דוא”ל מזויף נדחה, לא רק נצפה; לא ניתן להוריד את דרגת החיבורים, כי HSTS מוצמד; לא ניתן להחליף תשובות בשקט, במקום שבו DNSSEC חתום. במודל בגרות אימוץ ה-DMARC, זוהי גישת שלב 6 — הגנה כמשמעת שמנוטרת ומתוחזקת, לא תג שהושג פעם אחת. שום דבר בכך אינו דורש מומחיות שחסרה ל-96% האחרים. הוא דורש סיום — בסדר הנכון, בבדיקה שכל שכבה אכן מחזיקה, ובהתייחסות ל”מוגדר” כאל נקודת האמצע ולא כאל היעד.
הפסגה שמעל: כל החמש יחד
מעל המוגנים לחלוטין בדוא”ל יושבת אוכלוסייה קטנה בהרבה: ה**247,054 דומיינים — 0.09%** — שמחזיקים בכל חמש ההגנות בבת אחת, DMARC, DNSSEC ו-HSTS פרוסים יחד מעל SPF ו-HTTPS. השער הוא DNSSEC: תקף על 1.99% מהדומיינים בלבד, הוא הנדיר מבין החמש, ולכן הקומה העליונה של הפירמידה קטנה בהכרח. אם קומה 5 מתארת את שאיפותיכם, הסדר עדיין חשוב — אכפו תחילה אימות דוא”ל (הוא עוצר את ההתקפות שאכן מגיעות מדי יום), אז הצמידו את התעבורה עם HSTS, ואז חתמו על האזור.
כיצד להצטרף ל-3.87%
כל שלב הוא שינוי הגדרה, וכל אחד מהם חינמי:
- פרסמו SPF המפרט את השולחים האמיתיים שלכם, המסתיים ב-
-all. (תקנו SPF ←) - הפעילו DKIM עם כל שירות ששולח בשמכם — רוב הספקים הופכים זאת למתג. (תקנו DKIM ←)
- פרסמו DMARC עם דיווח, צפו, ואז אכפו —
p=noneבתוספתrua=תחילה, זהו כל שולח לגיטימי, ואז עברו ל-quarantineו-reject. זהו הקיר שרוב הדומיינים לעולם אינם מטפסים עליו, וזוהי עבודה חוקרת, לא כסף. (תקנו DMARC ←) - ואז שכבת האינטרנט: HSTS באתר ה-HTTPS שלכם, ו-DNSSEC אם ספק ה-DNS שלכם מנהל עבורכם את החתימה.
דומיין שאינו שולח דוא”ל יכול לדלג לחלוטין על שלב הצפייה: SPF -all ו-p=reject היום, שינוי DNS אחד, ישר מעבר לקיר.
שאלות נפוצות
כיצד נראה דומיין מוגן לחלוטין? SPF ו-DKIM במקומם ומדיניות DMARC של quarantine או reject מעליהם — ערכת אימות הדוא”ל המלאה, באכיפה. 10,092,481 דומיינים (3.87%) עומדים ברף הזה. הגרסה המחמירה ביותר מוסיפה DNSSEC, HTTPS ו-HSTS: כל החמש יחד הם ה-0.09% של הפירמידה.
כמה דומיינים פרסו DMARC, DNSSEC ו-HSTS יחד? המפקד מפרסם את ניקוד חמש-ההגנות ולא כל טבלת הצלבה זוגית, כך שהתשובה הכנה היא גבול: לפחות ל-247,054 הדומיינים המחזיקים בכל החמש יש את שלוש אלה יחד, ולכל היותר 2.2% מהדומיינים (קומות 4–5) יכולים. כך או כך: הרבה פחות מאחד מכל ארבעים.
האם הערכה המלאה יקרה? לא. SPF, DKIM, DMARC, HSTS ו-DNSSEC כולם הגדרה — רשומות DNS וכותרות שרת, ללא רישיונות. העלויות האמיתיות הן תשומת לב ורצף: עבודת זיהוי השולחים לפני אכיפת DMARC היא השלב היחיד שדורש מאמץ מתמשך, והוא זה שרוב הדומיינים נתקעים מולו.
איזו הגנה צריכה לבוא ראשונה? אימות דוא”ל אכיף, כי התחזות לדוא”ל היא ההתקפה שעסקים רגילים באמת ניצבים מולה. HTTPS כמעט בוודאות כבר יש לכם; HSTS הוא המשך של שורה אחת; DNSSEC אחרון, ורק דרך ספק שמנהל חתימה. טיפוס קומה אחר קומה עדיף על התחלת חמישה פרויקטים בבת אחת — זוהי בערך כל הנקודה.
בדקו כמה מהחמש אתם מחזיקים
הפער בין ה-76.9% שעל קומות 1–2 לבין ה-3.87% שסיימו אינו כישרון או תקציב — הוא רצף, וכל שלב בו חינמי. אתם יכולים לבדוק באופן פרטי וחינם, ולראות באילו מ-34 הבדיקות אתם עוברים וכיצד לתקן את אלה שאינכם.
בדקו את הדומיין שלכם ← · ששת שלבי בגרות ה-DMARC ← · עמוד ה-DMARC ← · נתונים מצטברים בלבד. נתונים מאוחסנים ומעובדים באיחוד האירופי.