Defaults.Exposed

Defaults.ExposedसुधारGuides

Client का Security Questionnaire Email Authentication के बारे में पूछ रहा है — एक दोपहर में जवाब दें (और Gaps Fix करें) (2026)

प्रकाशित 2026-07-08

आंकड़े 2026-06-29 तक के · methodology v7. 261 मिलियन ग्रेडेड डोमेन में कुल जनगणना डेटा — हम कभी किसी individual domain के results publish नहीं करते। देखें हम ग्रेड कैसे करते हैं

आपका client पूछ रहा है क्योंकि European supply-chain security rules अब उन्हें अपने suppliers check करने की require करती हैं। Questions का एक दो-minute starting point है: एक free scan exactly वह grade करता है जो वे probe कर रहे हैं। Defaults.Exposed census of 261,086,232 domains (2026-06-29 तक) के अनुसार केवल 7.4% domains में email authentication fully aligned और enforced है — अधिकांश suppliers अभी “yes” answer नहीं कर सकते।

दोपहर का plan यह है: free scan run करें, एक-page graded report पढ़ें, honestly जवाब दें जो पहले से true है, और same day free quick wins fix करें। कुछ भी deeper के लिए, एक dated report plus short remediation note एक acceptable interim answer है — और unsupported “yes” से बेहतर।

हमारा biggest client suddenly हमारी email security के बारे में क्यों पूछ रहा है?

यह personal नहीं है। यदि आपका client NIS2 — EU के network and information security directive — scope में है, Article 21(2)(d) उन्हें अपनी supply chain की security manage करने की oblige करती है, और Commission Implementing Regulation (EU) 2024/2690 measures spell out करती है, email security specifically naming करते हुए। इसलिए procurement हर supplier को questionnaire भेजता है; आप खुद NIS2 से cover नहीं हो सकते, लेकिन यही obligation का cascade down आप तक आने का तरीका है। Deadline और consequence — approved-supplier list पर रहना — exist करते हैं क्योंकि आपके client को regulator को दिखाना है कि उन्होंने checking की। (हमने NIS2 actually email authentication के बारे में क्या कहता है write up किया है।) Insurers अब same questions पूछते हैं — यदि आपके renewal form में start हो गया, वह इस दोपहर का insurance version है।

Questions actually क्या mean करते हैं?

एक typical supplier questionnaire का email-security section acronyms पहने चार questions हैं। एक बार translate हो जाएं, फिर हम उन्हें drop करें।

Questionnaire क्या पूछता हैPlain English में इसका मतलबScan report इसे कैसे answer करता है
”क्या आप DMARC policy enforce करते हैं?” (DMARC — Domain-based Message Authentication, Reporting and Conformance)क्या आपने दुनिया के mail servers को बताया है कि आपके domain को fake करने वाली email refuse करें? Row जिस पर अधिकांश suppliers fail: केवल 7.4% of 261,086,232 graded domains में यह aligned और enforced है (census 2026-06-29 तक।)आपकी policy state और grade करता है। “Enforced” का मतलब reject या quarantine; “monitoring only” अभी कुछ block नहीं करता — honestly बताएं कौन सा।
“क्या SPF restrictive policy के साथ configured है?” (SPF — Sender Policy Framework)क्या आपने उन servers की list publish की है जो आपकी company के रूप में email send करने के लिए allowed हैं — और क्या यह firmly end होती है (“कोई और नहीं”) या shrug के साथ (“और शायद अन्य”)?दिखाता है कि क्या list exist करती है, valid है, और firmly या softly end होती है।
“क्या outbound emails digitally signed हैं (DKIM)?” (DKIM — DomainKeys Identified Mail)क्या आपकी email एक tamper-evident signature carry करती है जो prove करती है यह आपके domain से आई — आपके name में, आपके provider के default में नहीं?दिखाता है कि signature exist करती है आपके domain के name में — provider-default trap वह सबसे common gap है जो scan find करता है
“क्या आप domain spoofing के लिए monitor करते हैं?”यदि कोई fake email आपके रूप में भेजे, क्या आपको पता चलेगा — या पहला sign एक angry phone call होगा?दिखाता है कि reporting address switched on है या नहीं, ताकि impersonation attempts आप तक पहुँचें।

इनमें से हर एक आपके domain की public settings से answered है — कोई audit नहीं, कोई agency नहीं, आपके systems तक कोई access नहीं। इसीलिए दोपहर का plan काम करता है। ये चार भी एक longer list के बस email rows हैं: cyber-insurance और vendor questionnaires आपके domain पर क्या check करते हैं हर control को table करता है जो वे probe करते हैं, हर एक के लिए internet-wide pass rate के साथ। यह page आपकी दोपहर के साथ रहती है — क्या answer करना है, और पहले क्या fix करना है।

हम deadline से पहले इसका जवाब कैसे दें? एक-दोपहर का plan

  1. defaults.exposed पर free scan run करें — दो मिनट, कोई भी touch करने से पहले। यह आपके domain की public settings read करता है और exactly ऊपर दिए चार areas grade करता है। Signup नहीं, आपके email तक कोई access नहीं।
  2. Graded report पढ़ें। एक page, plain language, dated — हर grade एक questionnaire question पर map होती है, इसलिए आप guess करने की बजाय अपने real answers जानते हैं।
  3. जो पहले से true है उसका जवाब दें। जहाँ report pass दिखाए, हाँ कहें और क्यों बताएं (“independent scan से verified,” date के साथ)।
  4. Same day free quick wins fix करें। Common gaps settings हैं, purchases नहीं: softly end होने वाली sender list (SPF fix), missing या monitoring mode में stuck spoofing rule (DMARC fix), provider के default name में signature। सब free, mostly एक DNS record each — fix page को जो आपका domain manage करता है उसे forward करें, और कई “no” answers form वापस जाने से पहले “yes” बन जाते हैं।
  5. कुछ भी deeper के लिए, dated report remediation note के साथ भेजें। Fully enforced policy पर properly move करने में पहले weeks of monitoring लगती है — कभी claim न करें यह done है जब नहीं है। “Independent scan attached; enforcement rollout in progress, target September” किसी competent procurement team के लिए acceptable interim answer है। False “yes” नहीं है: procurement teams re-check करती हैं, अक्सर exactly इस तरह के scan से।

क्या यह questionnaire actually हमारे favour में काम कर सकता है?

हाँ — इस वजह से कि बाकी सभी क्या वापस भेजते हैं। अधिकांश suppliers bare “yes” के साथ जवाब देते हैं और इसके पीछे कुछ नहीं, जबकि केवल 7.4% of 261,086,232 graded domains में actually aligned-and-enforced posture है जो probed हो रही है (census 2026-06-29 तक)। एक dated, independently graded report — यहाँ तक कि gap और remediation date दिखाने वाला — unsupported “yes” को beat करता है, क्योंकि एक verifiable है और दूसरी hope है। आपसे perfect होने के लिए नहीं कहा जा रहा; आपसे checkable होने के लिए कहा जा रहा है। उस list पर आपके competitors में से कम ही होंगे।

और यदि जो चीज़ really आपको परेशान कर रही है वह networking event से invoice-fraud story है — same settings, same two-minute check

अक्सर पूछे जाने वाले सवाल

यदि deadline से पहले सब कुछ fix नहीं हो सका तो? जो true है वह भेजें: dated report, इस week आपने क्या fix किया, और बाकी के लिए dated plan। NIS2 supply-chain reviewers assess करते हैं कि suppliers risk manage करते हैं या नहीं, whether they’re flawless नहीं — writing में remediation note वाला graded report है risk management। जो reviews fail करता है वह silence है, या वह claim जो re-check survive नहीं करता।

क्या मेरा IT contractor इसे handle कर सकता है? Free settings, हाँ — sender list, आपकी own signature, spoofing rule routine DNS work हैं, और ऊपर दिए fix pages उस hand-off के लिए written हैं। जो contractors reasonably अपने remit से beyond call करते हैं वह judgment layer है: कौन सी policy enforce करनी है, safe कब है tighten करना, client को meanwhile क्या बताना है। Graded report उन calls को एक document बनाता है, इसलिए आप में से कोई भी improvise नहीं कर रहा।

क्या वे हमें supplier के रूप में drop करेंगे? Blank response या caught false claim के लिए — eventually, हाँ; client के पास regulator है जिसे जवाब देना है। Remediation date के साथ honest gap के लिए — very unlikely: सभी 261,086,232 graded domains में, केवल 10.59% spoofing policy enforce करते हैं जिसके बारे में ये questionnaires पूछते हैं (census 2026-06-29 तक)। Plan-के-साथ-honest आपको list पर रखता है।

हम NIS2 से cover नहीं हैं — क्या हम questionnaire ignore कर सकते हैं? Obligation आपके client की है, और वे checkable suppliers choose करके इसे discharge करते हैं। Stand out करने की room enormous है: केवल 7.4% of all 261,086,232 graded domains में email authentication aligned और enforced है (census 2026-06-29 तक)। एक दोपहर आपको उस supplier list पर लगभग हर दूसरे name से आगे रखती है।

Report अपने IT contact को forward करें

इसमें से कुछ भी retype न करें। Free scan run करें, फिर जो आपका domain देखता है उसे दो चीज़ें forward करें: graded report और यह article। Report कहता है exactly कौन से settings change करनी हैं; fix pages steps देते हैं। जब corrected report वापस आए, questionnaire answers खुद लिख जाते हैं — grade by grade। फिर file करें: अगला client same चार चीज़ें पूछेगा, आपका insurance renewal already पूछता है, और एक dated report जो आप पाँच मिनट में attach कर सकते हैं एक दोपहर और एक fire drill के बीच का अंतर है।

अपना डोमेन जांचें → · Questionnaires आपके domain पर क्या check करते हैं → · वह invoice-fraud story जो आपने सुनी → · केवल समग्र डेटा। डेटा EU में संग्रहीत और संसाधित।