Defaults.Exposed › Izvještaji
Rijetki potpuno zaštićeni: onih 3.87% koji su dovršili posao
Objavljeno 2026-07-03 · ažurirano 2026-07-03
Brojke na dan 2026-06-29 · metodologija v7. Podaci popisa spajaju provjere po domeni na 261 milijuna ocijenjenih domena. “Potpuno zaštićeno” u ovom članku znači potpun, proveden slog za autentifikaciju e-pošte: prisutan SPF, prisutan DKIM te DMARC politika
quarantineilireject. Piramida izloženosti broji pet ključnih zaštita po domeni — SPF, provedeni DMARC, DNSSEC, HTTPS, HSTS. Brojke o preklapanju ovdje dolaze iz spajanja po domeni, čija se granulacija deduplikacije neznatno razlikuje od brojki podjele po politici navedenih na stranicama DAMMM (27,640,987 naspram 27,639,358 domena koje provode) — svaka stranica navodi vlastiti izvor, a ta se dva nikad ne miješaju. Sve su brojke skupne — nikad ne objavljujemo ocjenu pojedinačnog poduzeća.
Što potpuno zaštićene domene rade drukčije: dovršavaju posao
Samo 3.87% od 261 milijuna ocijenjenih domena na internetu — njih 10,092,481 — pokreće potpun, proveden slog zaštite e-pošte: postavljen SPF i DKIM, DMARC na quarantine ili reject. Zanimljivo kod ove skupine jest ono što ona nije. Nije klub sigurnosnih timova s većim proračunima — svaka uključena kontrola besplatna je postavka u DNS-u ili web poslužitelju. Tih 3.87% nisu pametniji od svih ostalih; oni su sustavni. Zaštite su tretirali kao jedan slog koji treba dovršiti, a ne kao pet zasebnih projekata koje treba započeti, a ostatak ovog članka govori o tome kako to izgleda u podacima popisa.
Da vidimo koliko je neuobičajeno dovršiti posao, počnimo od toga gdje stoje svi ostali.
Piramida izloženosti: pet zaštita, šest katova
Ocijenite svaku domenu prema pet zaštita najbolje prakse — SPF, provedeni DMARC, DNSSEC, HTTPS, HSTS — po jedan bod za svaku, i internet se sam slaže u piramidu (krivulja izloženosti, promatrana kat po kat). Na dan 2026-06-29:
| Kat | Postavljene zaštite | Udio domena | Domene |
|---|---|---|---|
| 0 | Nijedna — potpuno izložena | 8.8% | 23,105,485 |
| 1 | Jedna (obično samo HTTPS) | 37.2% | 97,206,153 |
| 2 | Dvije (tipično HTTPS + SPF) | 39.7% | 103,527,371 |
| 3 | Tri | 12.0% | 31,424,343 |
| 4 | Četiri | 2.1% | 5,575,826 |
| 5 | Svih pet — potpuno zaključana | 0.09% | 247,054 |
Oblik priča priču prije bilo kojeg pojedinačnog broja. 76.9% svih domena — 201 milijuna — smjestilo se na katovima 1 i 2, držeći točno one zaštite koje su stigle po zadanim postavkama i ništa više. HTTPS je tu jer su ga davatelji usluga smještaja i CDN-ovi automatski uključili; SPF je tu jer svaki vodič za uvođenje kod davatelja e-pošte počinje upravo njime. Sve iznad kata 2 zahtijeva da vlasnik odluči — a pri svakoj odluci većina interneta stane. Katovi 4 i 5 zajedno drže tek 2.2% domena.
Piramida nije rang-lista onih kojima je stalo. To je karta koja pokazuje gdje završavaju zadane postavke, a gdje počinje namjera.
Lijevak uz koji su se popeli onih 3.87%
Pratite polovicu sloga vezanu za e-poštu korak po korak i isti se obrazac ponavlja — svaka faza odbacuje više od polovice domena koje su stigle do prethodne:
- 53.21% domena objavljuje SPF — korak koji svi vodiči pokrivaju.
- 24.89% objavljuje bilo kakav DMARC zapis.
- 10.59% ga provodi (
quarantineilireject). - 3.87% ga provodi s potpunim slogom ispod — i SPF i DKIM prisutni, tako da provedba stoji na potpunoj autentifikaciji.
Kod tog posljednjeg reza vrijedi zastati. Od otprilike 28 milijuna domena koje provode DMARC, samo 36.5% nosi i SPF i DKIM ispod politike. Neke od preostalih rade upravo ono što je ispravno — domena koja ne šalje poštu trebala bi biti na p=reject s golim -all SPF-om i ne treba joj DKIM. Ali taj jaz sadrži i domene koje provode politiku, a čija je autentifikacija nepotpuna, što je slog izgrađen od krova prema dolje. Onih 3.87% definirano je suprotnom navikom: prvo temelj pa krov, svaki sloj, a tek onda politika na vrhu.
SPF sam pokriva 139 milijuna domena i gotovo nijednu od njih ne štiti — najizravnija ilustracija popisa onoga što donosi započinjanje bez dovršavanja.
Jedan slog, a ne pet projekata
Evo navike koja izdvaja onih 3.87%, a ona je organizacijska, ne tehnička.
Većina domena prikuplja zaštite onako kako piramida sugerira: jednu po jednu, svaku potaknutu drugim povodom — upozorenjem preglednika, problemom s isporukom, popisom za usklađenost — svaku tretiranu kao vlastiti mali projekt s vlastitim “gotovo”. “Gotovo”, u tom načinu, znači zapis postoji. Tako internet završi s 201 milijuna domena na katovima 1–2: pet zelenih kvačica dostupno, jedna ili dvije prikupljene, putovanje završeno.
Potpuno zaštićeni tretiraju svih pet kao jedan sustav s jednom definicijom dovršenog: napad više ne funkcionira. Krivotvorena pošta se odbija, a ne samo promatra; sesije se ne mogu degradirati jer je HSTS prikvačen; odgovori se ne mogu tiho zamijeniti tamo gdje je DNSSEC potpisan. U modelu zrelosti usvajanja DMARC-a to je mentalitet 6. faze — zaštita kao disciplina koja se prati i održava, a ne značka zaslužena jednom. Ništa u tome ne zahtijeva stručnost koja ostalim 96% nedostaje. Zahtijeva dovršavanje — pravim redoslijedom, uz provjeru da svaki sloj doista drži, i uz tretiranje “konfiguriranog” kao sredine puta, a ne odredišta.
Vrhunac iznad: svih pet zajedno
Iznad onih s potpunom zaštitom e-pošte sjedi mnogo manja populacija: 247,054 domena — 0.09% — koja drži svih pet zaštita odjednom, s DMARC-om, DNSSEC-om i HSTS-om postavljenima zajedno povrh SPF-a i HTTPS-a. Vrata su DNSSEC: valjan na tek 1.99% domena, on je najrjeđi od pet, pa je vrh piramide nužno sićušan. Ako kat 5 opisuje vaše ambicije, redoslijed je i dalje bitan — prvo provedite autentifikaciju e-pošte (ona zaustavlja napade koji doista stižu svakodnevno), zatim prikvačite transport HSTS-om, pa tek onda potpišite zonu.
Kako se pridružiti onih 3.87%
Svaki je korak izmjena konfiguracije, i svaki je besplatan:
- Objavite SPF s popisom vaših stvarnih pošiljatelja, koji završava s
-all. (Popravi SPF →) - Omogućite DKIM kod svake usluge koja šalje u vaše ime — većina davatelja to čini prekidačem. (Popravi DKIM →)
- Objavite DMARC s izvještavanjem, promatrajte, zatim provedite — najprije
p=noneuzrua=, prepoznajte svakog legitimnog pošiljatelja, pa prijeđite naquarantineireject. Ovo je zid uz koji se većina domena nikad ne popne, a to je istražiteljski rad, a ne novac. (Popravi DMARC →) - Zatim web sloj: HSTS na vašoj HTTPS stranici i DNSSEC ako vaš DNS davatelj upravlja potpisivanjem umjesto vas.
Domena koja ne šalje poštu može u potpunosti preskočiti fazu promatranja: SPF -all i p=reject već danas, jedna izmjena u DNS-u, ravno preko zida.
Često postavljana pitanja
Kako izgleda potpuno zaštićena domena? Postavljeni SPF i DKIM te DMARC politika quarantine ili reject povrh njih — potpun, proveden slog za autentifikaciju e-pošte. 10,092,481 domena (3.87%) doseže tu razinu. Najstroža inačica dodaje DNSSEC, HTTPS i HSTS: svih pet zajedno čini 0.09% piramide.
Koliko domena ima DMARC, DNSSEC i HSTS postavljene zajedno? Popis objavljuje ocjenu od pet zaštita, a ne svaku parnu unakrsnu tablicu, pa je pošten odgovor granica: barem 247,054 domena koje drže svih pet ima ta tri zajedno, a najviše 2.2% domena (katovi 4–5) bi moglo imati. U svakom slučaju: znatno manje od jedne u četrdeset.
Je li potpuni slog skup? Nije. SPF, DKIM, DMARC, HSTS i DNSSEC svi su konfiguracija — DNS zapisi i zaglavlja poslužitelja, bez licenci. Stvarni troškovi su pažnja i redoslijed: rad na prepoznavanju pošiljatelja prije provedbe DMARC-a jedini je korak koji iziskuje ustrajan trud, i to je onaj pred kojim se većina domena zaustavi.
Koja zaštita treba biti prva? Provedena autentifikacija e-pošte, jer je lažno predstavljanje e-poštom napad s kojim se obična poduzeća doista suočavaju. HTTPS gotovo sigurno već imate; HSTS je jednolinijski nastavak; DNSSEC posljednji, i to samo preko davatelja koji upravlja potpisivanjem. Penjanje kat po kat pobjeđuje pokretanje pet projekata odjednom — u tome i jest cijeli smisao.
Provjerite koliko od pet zaštita držite
Jaz između onih 76.9% na katovima 1–2 i onih 3.87% koji su dovršili posao nije talent ni proračun — to je redoslijed, i svaki je njegov korak besplatan. Možete provjeriti privatno i besplatno te vidjeti koje od 34 provjere prolazite i kako popraviti one koje ne prolazite.
Provjerite svoju domenu → · 6 faza zrelosti DMARC-a → · Stup DMARC → · Samo skupni podaci. Podaci pohranjeni i obrađeni u EU.