Defaults.Exposed › रिपोर्ट
पूरी तरह से सुरक्षित कुछ: वे 3.87% जिन्होंने पूरा किया
प्रकाशित 2026-07-03 · अपडेट किया गया 2026-07-03
2026-06-29 तक के आंकड़े · कार्यप्रणाली v7। 261 मिलियन ग्रेड किए गए डोमेन में प्रति-डोमेन जाँचें जोड़ने वाला जनगणना डेटा। इस लेख में “पूरी तरह से सुरक्षित” का मतलब है पूर्ण ईमेल-प्रमाणीकरण स्टैक, लागू: SPF मौजूद, DKIM मौजूद, और
quarantineयाrejectकी DMARC नीति। एक्सपोज़र पिरामिड प्रति डोमेन पाँच मुख्य सुरक्षाएं गिनता है — SPF, लागू DMARC, DNSSEC, HTTPS, HSTS। यहाँ ओवरलैप आंकड़े प्रति-डोमेन जोड़ से आते हैं, जिसका dedup अनाज DAMMM पृष्ठों पर उद्धृत नीति-विभाजन गिनती (27,640,987 बनाम 27,639,358 लागू डोमेन) से थोड़ा भिन्न है — प्रत्येक पृष्ठ अपना स्रोत उद्धृत करता है, और दोनों को कभी मिश्रित नहीं किया जाता। सभी आंकड़े समग्र हैं — हम कभी किसी व्यक्तिगत व्यवसाय का ग्रेड प्रकाशित नहीं करते।
पूरी तरह से सुरक्षित डोमेन अलग तरह से क्या करते हैं: वे पूरा करते हैं
इंटरनेट के 261 मिलियन ग्रेड किए गए डोमेन के केवल 3.87% — 10,092,481 — पूर्ण, लागू ईमेल-सुरक्षा स्टैक चलाते हैं: SPF और DKIM मौजूद, DMARC quarantine या reject पर। इस समूह के बारे में दिलचस्प बात यह है कि यह क्या नहीं है। यह बड़े बजट वाली सुरक्षा टीमों का क्लब नहीं है — इसमें शामिल हर नियंत्रण एक मुफ्त DNS या वेब-सर्वर सेटिंग है। 3.87% बाकी सभी से अधिक चतुर नहीं हैं; वे व्यवस्थित हैं। उन्होंने सुरक्षाओं को पाँच अलग परियोजनाओं के बजाय पूरा करने वाले एक स्टैक के रूप में माना, और इस लेख का बाकी हिस्सा जनगणना डेटा में देखा गया है।
यह देखने के लिए कि पूरा करना कितना असामान्य है, उससे शुरू करें जहाँ बाकी सभी खड़े हैं।
एक्सपोज़र पिरामिड: पाँच सुरक्षाएं, छह मंजिलें
प्रत्येक डोमेन को पाँच सर्वोत्तम-अभ्यास सुरक्षाओं पर स्कोर करें — SPF, लागू DMARC, DNSSEC, HTTPS, HSTS — प्रत्येक एक अंक, और इंटरनेट खुद को एक पिरामिड में व्यवस्थित करता है (एक्सपोज़र वक्र, मंजिल दर मंजिल देखा गया)। 2026-06-29 तक:
| मंजिल | मौजूद सुरक्षाएं | डोमेन का हिस्सा | डोमेन |
|---|---|---|---|
| 0 | कोई नहीं — पूरी तरह से उजागर | 8.8% | 23,105,485 |
| 1 | एक (आमतौर पर केवल HTTPS) | 37.2% | 97,206,153 |
| 2 | दो (आमतौर पर HTTPS + SPF) | 39.7% | 103,527,371 |
| 3 | तीन | 12.0% | 31,424,343 |
| 4 | चार | 2.1% | 5,575,826 |
| 5 | सभी पाँच — पूरी तरह से बंद | 0.09% | 247,054 |
आकार किसी भी एकल संख्या से पहले कहानी बताता है। 76.9% सभी डोमेन — 201 मिलियन — मंजिल 1 और 2 पर बैठते हैं, ठीक वे सुरक्षाएं रखते हैं जो डिफ़ॉल्ट रूप से आईं और कुछ नहीं। HTTPS वहाँ है क्योंकि होस्ट और CDN ने इसे स्वचालित रूप से चालू किया; SPF वहाँ है क्योंकि हर मेल प्रदाता की ऑनबोर्डिंग गाइड इससे शुरू होती है। मंजिल 2 से ऊपर की हर चीज़ के लिए एक मालिक को निर्णय लेने की आवश्यकता है — और प्रत्येक निर्णय पर, इंटरनेट का अधिकांश रुक जाता है। मंजिल 4 और 5 मिलकर केवल 2.2% डोमेन रखते हैं।
पिरामिड इस बात की रैंकिंग नहीं है कि कौन परवाह करता है। यह नक्शा है जहाँ डिफ़ॉल्ट समाप्त होते हैं और जानबूझकरता शुरू होती है।
वह फ़नल जिसे 3.87% ने चढ़ा
ईमेल स्टैक के आधे हिस्से को चरण दर चरण ट्रेस करें और वही पैटर्न दोहराता है — प्रत्येक चरण पर उस चरण तक पहुँचने वाले डोमेन के आधे से अधिक निकल जाते हैं:
- 53.21% डोमेन SPF प्रकाशित करते हैं — वह चरण जिसे सभी गाइड कवर करते हैं।
- 24.89% कोई भी DMARC रिकॉर्ड प्रकाशित करते हैं।
- 10.59% इसे लागू करते हैं (
quarantineयाreject)। - 3.87% इसे नीचे पूर्ण स्टैक के साथ लागू करते हैं — SPF और DKIM दोनों मौजूद, ताकि प्रवर्तन पूर्ण प्रमाणीकरण पर खड़ा हो।
वह आखिरी कट रुकने योग्य है। लगभग 28 मिलियन डोमेन में से जो DMARC लागू करते हैं, केवल 36.5% नीति के नीचे SPF और DKIM दोनों रखते हैं। शेष में से कुछ ठीक वही कर रहे हैं जो सही है — एक डोमेन जो कोई मेल नहीं भेजता उसे p=reject पर होना चाहिए बेअर -all SPF के साथ और DKIM की आवश्यकता नहीं। लेकिन अंतर में ऐसे लागू करने वाले डोमेन भी हैं जिनका प्रमाणीकरण अधूरा है, जो छत से बना स्टैक है। 3.87% विपरीत आदत द्वारा परिभाषित हैं: पहले मंजिल, हर परत, फिर ऊपर नीति।
SPF अकेले 139 मिलियन डोमेन को कवर करता है और उनमें से लगभग किसी की भी रक्षा नहीं करता — बिना पूरा किए शुरू करना क्या खरीदता है इसका जनगणना का सबसे स्पष्ट उदाहरण।
एक स्टैक, पाँच परियोजनाएं नहीं
यहाँ वह आदत है जो 3.87% को अलग करती है, और यह संगठनात्मक है, तकनीकी नहीं।
अधिकांश डोमेन सुरक्षाएं उस तरह जमा करते हैं जैसा पिरामिड सुझाता है: एक समय में एक, प्रत्येक को एक अलग प्रेरणा से ट्रिगर किया जाता है — एक ब्राउज़र चेतावनी, एक वितरणीयता समस्या, एक अनुपालन चेकलिस्ट — प्रत्येक को अपनी छोटी परियोजना के रूप में माना जाता है। उस मोड में पूर्ण का मतलब है रिकॉर्ड मौजूद है। यही तरह से इंटरनेट मंजिल 1-2 पर 201 मिलियन डोमेन के साथ समाप्त होता है: पाँच हरे टिक उपलब्ध, एक या दो एकत्रित, यात्रा खत्म।
पूरी तरह से सुरक्षित पाँच को एक परिभाषा के साथ एक सिस्टम के रूप में मानते हैं: हमला अब काम नहीं करता। जाली मेल अस्वीकार होती है, न कि केवल देखी जाती है; सत्र डाउनग्रेड नहीं किए जा सकते, क्योंकि HSTS पिन किया गया है; उत्तर चुपचाप बदले नहीं जा सकते, जहाँ DNSSEC हस्ताक्षरित है। DMARC Adoption Maturity Model में, यह चरण 6 मानसिकता है — सुरक्षा एक अनुशासन के रूप में जो निगरानी और बनाए रखी जाती है, न कि एक बैज जो एक बार अर्जित हुई। इसमें बाकी 96% में जो विशेषज्ञता है उससे अधिक कुछ नहीं चाहिए। इसके लिए पूरा करने की आवश्यकता है — सही क्रम में, यह जाँचते हुए कि प्रत्येक परत वास्तव में टिकती है, और “कॉन्फ़िगर किया” को गंतव्य के बजाय मध्यबिंदु के रूप में मानते हुए।
ऊपर की शिखर: पाँचों एक साथ
पूरी तरह से ईमेल-सुरक्षित के ऊपर एक बहुत छोटी आबादी है: 247,054 डोमेन — 0.09% — जो एक साथ सभी पाँच सुरक्षाएं रखते हैं, DMARC, DNSSEC और HSTS एक साथ SPF और HTTPS के ऊपर तैनात। द्वार DNSSEC है: केवल 1.99% डोमेन पर वैध, यह पाँच में सबसे दुर्लभ है, इसलिए पिरामिड की शीर्ष मंजिल जरूरी रूप से छोटी है। यदि मंजिल 5 आपकी महत्वाकांक्षाओं का वर्णन करती है, तो क्रम अभी भी मायने रखता है — पहले ईमेल प्रमाणीकरण लागू करें (यह दैनिक आधार पर वास्तव में आने वाले हमलों को रोकता है), फिर HSTS से परिवहन पिन करें, फिर ज़ोन हस्ताक्षरित करें।
3.87% में कैसे शामिल हों
हर चरण एक कॉन्फ़िगरेशन परिवर्तन है, और हर एक मुफ्त है:
- SPF प्रकाशित करें अपने वास्तविक प्रेषकों को सूचीबद्ध करते हुए,
-allमें समाप्त। (SPF ठीक करें →) - DKIM सक्षम करें हर उस सेवा के साथ जो आपके रूप में भेजती है — अधिकांश प्रदाता इसे एक टॉगल बनाते हैं। (DKIM ठीक करें →)
- DMARC को रिपोर्टिंग के साथ प्रकाशित करें, अवलोकन करें, फिर लागू करें — पहले
p=noneसाथrua=, हर वैध प्रेषक की पहचान करें, फिरquarantineऔरrejectपर जाएं। यह वह दीवार है जिस पर अधिकांश डोमेन कभी नहीं चढ़ते, और यह अन्वेषण कार्य है, पैसा नहीं। (DMARC ठीक करें →) - फिर वेब टियर: आपकी HTTPS साइट पर HSTS, और DNSSEC यदि आपका DNS प्रदाता आपके लिए हस्ताक्षर प्रबंधित करता है।
एक डोमेन जो कोई मेल नहीं भेजता, अवलोकन चरण पूरी तरह से छोड़ सकता है: SPF -all और आज p=reject, एक DNS परिवर्तन, दीवार के पार सीधे।
अक्सर पूछे जाने वाले प्रश्न
एक पूरी तरह से सुरक्षित डोमेन कैसा दिखता है? SPF और DKIM मौजूद और ऊपर quarantine या reject की DMARC नीति — पूर्ण ईमेल-प्रमाणीकरण स्टैक, लागू। 10,092,481 डोमेन (3.87%) उस मानदंड को पूरा करते हैं। सबसे सख्त संस्करण DNSSEC, HTTPS और HSTS जोड़ता है: एक साथ सभी पाँच पिरामिड का 0.09% है।
कितने डोमेन में DMARC, DNSSEC और HSTS एक साथ तैनात हैं? जनगणना प्रत्येक जोड़ीवार क्रॉस-टैब के बजाय पाँच-सुरक्षा स्कोर प्रकाशित करती है, इसलिए ईमानदार उत्तर एक बाध्य है: कम से कम सभी पाँच रखने वाले 247,054 डोमेन में वे तीन एक साथ हैं, और अधिकतम 2.2% डोमेन (मंजिल 4-5) कर सकते थे। किसी भी तरह: चालीस में से बहुत कम एक से।
क्या पूरा स्टैक महंगा है? नहीं। SPF, DKIM, DMARC, HSTS और DNSSEC सभी कॉन्फ़िगरेशन हैं — DNS रिकॉर्ड और सर्वर हेडर, कोई लाइसेंस नहीं। असली लागत ध्यान और अनुक्रम हैं: DMARC प्रवर्तन से पहले प्रेषक-पहचान कार्य एकमात्र चरण है जिसमें निरंतर प्रयास लगता है, और यह वह है जो अधिकांश डोमेन इसके सामने रुकते हैं।
पहले कौन सी सुरक्षा आनी चाहिए? लागू ईमेल प्रमाणीकरण, क्योंकि ईमेल प्रतिरूपण वह हमला है जिसका सामान्य व्यवसाय वास्तव में करते हैं। HTTPS आपके पास लगभग निश्चित रूप से है; HSTS एक-लाइन का अनुसरण है; DNSSEC अंत में, और केवल उस प्रदाता के माध्यम से जो हस्ताक्षर प्रबंधित करता है। मंजिल दर मंजिल चढ़ना एक साथ पाँच परियोजनाएं शुरू करने से बेहतर है — यही तो बात है।
जाँचें आप पाँच में से कितनी रखते हैं
मंजिल 1-2 पर 76.9% और 3.87% जिन्होंने पूरा किया, के बीच का अंतर प्रतिभा या बजट नहीं है — यह एक अनुक्रम है, और इसका हर चरण मुफ्त है। आप निजी और मुफ्त में जाँच सकते हैं, और देख सकते हैं कि आप 34 जाँचों में से कौन सी पास करते हैं और जो नहीं करते उन्हें कैसे ठीक करें।
अपना डोमेन जाँचें → · DMARC परिपक्वता के 6 चरण → · DMARC पिलर → · केवल समग्र डेटा। डेटा EU में संग्रहीत और संसाधित।