Defaults.Exposed › Jelentések
A teljesen védettek kevesei: az a 3.87%, amely befejezte
Közzétéve 2026-07-03 · frissítve 2026-07-03
Az adatok 2026-06-29 időpontjára vonatkoznak · v7 módszertan. A cenzusadatok domainenként kapcsolják össze az ellenőrzéseket 261 millió osztályozott domainen. A „teljesen védett” ebben a cikkben a teljes, kikényszerített email-hitelesítési rendszert jelenti: SPF jelen van, DKIM jelen van, és a DMARC-házirend
quarantinevagyreject. A kitettségi piramis domainenként öt alapvető védelmet számol — SPF, kikényszerítő DMARC, DNSSEC, HTTPS, HSTS. Az itt szereplő átfedési számok a domainenkénti összekapcsolásból származnak, amelynek deduplikációs szemcsézettsége marginálisan eltér a DAMMM-oldalakon idézett házirend-bontási számoktól (27,640,987 vs 27,639,358 kikényszerítő domain) — minden oldal a saját forrását idézi, és a kettőt sosem keverjük. Minden szám aggregált — soha nem tesszük közzé egyetlen vállalkozás osztályzatát sem.
Mit csinálnak másképp a teljesen védett domainek: befejezik
Az internet 261 millió osztályozott domainjéből mindössze 3.87% — 10,092,481 közülük — üzemelteti a teljes, kikényszerített email-védelmi rendszert: SPF és DKIM a helyén, DMARC quarantine vagy reject szinten. Az érdekes ebben a csoportban az, ami nem. Nem nagyobb büdzsével rendelkező biztonsági csapatok klubja — minden érintett vezérlő ingyenes DNS- vagy webszerver-beállítás. A 3.87% nem okosabb a többieknél; ők módszeresek. A védelmeket egyetlen befejezendő rendszerként kezelték, nem öt különálló, elkezdendő projektként, és a cikk hátralévő része arról szól, hogyan néz ez ki a cenzusadatokban.
Hogy lássuk, mennyire szokatlan a befejezés, kezdjük ott, ahol mindenki más áll.
A kitettségi piramis: öt védelem, hat emelet
Pontozz minden domaint öt bevált gyakorlat szerinti védelemre — SPF, kikényszerítő DMARC, DNSSEC, HTTPS, HSTS —, egy-egy pontot mindegyikre, és az internet piramissá rendeződik (a kitettségi görbe, emeletről emeletre nézve). 2026-06-29 időpontjában:
| Emelet | A helyén lévő védelmek | Domainek aránya | Domainek |
|---|---|---|---|
| 0 | Egy sem — teljesen kitett | 8.8% | 23,105,485 |
| 1 | Egy (általában csak HTTPS) | 37.2% | 97,206,153 |
| 2 | Kettő (jellemzően HTTPS + SPF) | 39.7% | 103,527,371 |
| 3 | Három | 12.0% | 31,424,343 |
| 4 | Négy | 2.1% | 5,575,826 |
| 5 | Mind az öt — teljesen lezárva | 0.09% | 247,054 |
A forma elmeséli a történetet, mielőtt bármelyik szám tenné. Az összes domain 76.9%-a — 201 millió — az 1. és 2. emeleten ül, pontosan azokat a védelmeket tartva, amelyek alapértelmezésként érkeztek, és semmi többet. A HTTPS azért van ott, mert a hosztingszolgáltatók és CDN-ek automatikusan bekapcsolták; az SPF azért van ott, mert minden levelezőszolgáltató onboarding-útmutatója ezzel kezdődik. A 2. emelet felett minden azt igényli, hogy a tulajdonos döntsön — és minden döntésnél az internet nagy része megáll. A 4. és 5. emelet együtt a domaineknek mindössze 2.2%-át tartja.
A piramis nem annak rangsora, ki törődik vele. Térkép arról, hol érnek véget az alapértelmezések, és hol kezdődik a szándékosság.
A tölcsér, amelyet a 3.87% megmászott
Kövesd a rendszer email-felét lépésről lépésre, és ugyanaz a minta ismétlődik — minden szakasz az előzőt elérő domainek több mint felét veszíti el:
- A domainek 53.21%-a tesz közzé SPF-et — ez az a lépés, amelyet minden útmutató lefed.
- 24.89% tesz közzé bármilyen DMARC-rekordot egyáltalán.
- 10.59% kényszeríti is ki (
quarantinevagyreject). - 3.87% kényszeríti ki a teljes rendszerrel alatta — SPF és DKIM egyaránt jelen van, így a kikényszerítés teljes hitelesítésen áll.
Ez az utolsó vágás megér egy megállást. A DMARC-ot kikényszerítő nagyjából 28 millió domainből csak 36.5% visel SPF-et és DKIM-et is a házirend alatt. Egy részük pontosan a helyeset teszi — egy levelet nem küldő domainnek p=reject-en kell lennie csupasz -all SPF-fel, és nincs szüksége DKIM-re. De a rés kikényszerítő domaineket is tartalmaz, amelyek hitelesítése hiányos, ami a tetőtől lefelé épített rendszer. A 3.87%-ot az ellentétes szokás határozza meg: alap a tető előtt, minden réteg, majd a házirend a tetején.
Az önmagában álló SPF 139 millió domaint fed le, és szinte egyiket sem védi meg — a cenzus legnyersebb illusztrációja arról, mit vásárol az, aki elkezd, de nem fejez be.
Egy rendszer, nem öt projekt
Íme a szokás, amely elkülöníti a 3.87%-ot, és ez szervezeti, nem technikai.
A legtöbb domain úgy halmozza fel a védelmeket, ahogyan a piramis sugallja: egyesével, mindegyiket egy másik prompt váltja ki — egy böngészőfigyelmeztetés, egy kézbesíthetőségi probléma, egy megfelelőségi ellenőrzőlista —, mindegyiket saját kis projektként kezelve, saját „kész”-sel. A „kész” ebben az üzemmódban azt jelenti: a rekord létezik. Így jut az internet oda, hogy 201 millió domain van az 1–2. emeleten: öt zöld pipa elérhető, egyet vagy kettőt begyűjtöttek, út vége.
A teljesen védettek az ötöt egyetlen rendszerként kezelik egyetlen „kész”-definícióval: a támadás többé nem működik. A hamisított levelet elutasítják, nem csak megfigyelik; a munkameneteket nem lehet visszafokozni, mert a HSTS rögzítve van; a válaszokat nem lehet csendben kicserélni, ahol a DNSSEC alá van írva. A DMARC-elfogadási érettségi modellben ez a 6. szintű gondolkodásmód — a védelem mint fegyelem, amelyet figyelnek és karbantartanak, nem egy egyszer megszerzett jelvény. Semmi nem igényel belőle olyan szakértelmet, amely a többi 96%-ból hiányzik. Befejezést igényel — a helyes sorrendben, minden réteget ellenőrizve, hogy valóban tart-e, és a „beállítva” állapotot a felezőpontnak, nem a célnak tekintve.
A csúcs felette: mind az öt együtt
A teljesen email-védettek felett egy jóval kisebb populáció ül: a 247,054 domain — 0.09% —, amely mind az öt védelmet egyszerre tartja, a DMARC, DNSSEC és HSTS együtt telepítve az SPF és HTTPS tetejére. A kapu a DNSSEC: mindössze a domainek 1.99%-án érvényes, ez az öt közül a legritkább, így a piramis legfelső emelete szükségszerűen apró. Ha az 5. emelet írja le a törekvéseidet, a sorrend akkor is számít — előbb kényszerítsd ki az email-hitelesítést (ez állítja meg a valóban naponta érkező támadásokat), majd rögzítsd a szállítást HSTS-szel, végül írd alá a zónát.
Hogyan csatlakozz a 3.87%-hoz
Minden lépés egy konfigurációs változtatás, és mindegyik ingyenes:
- Tegyél közzé SPF-et, felsorolva a valódi feladóidat,
-all-lal zárva. (SPF javítása →) - Engedélyezd a DKIM-et minden szolgáltatásnál, amely a nevedben küld — a legtöbb szolgáltatónál ez egy kapcsoló. (DKIM javítása →)
- Tegyél közzé DMARC-ot jelentéssel, figyeld meg, majd kényszerítsd ki — előbb
p=nonepluszrua=, azonosíts minden jogos feladót, majd lépj továbbquarantine-ra ésreject-re. Ez a fal, amelyet a legtöbb domain sosem mászik meg, és ez nyomozói munka, nem pénz kérdése. (DMARC javítása →) - Aztán a webréteg: HSTS a HTTPS-oldaladon, és DNSSEC, ha a DNS-szolgáltatód kezeli helyetted az aláírást.
Egy levelet nem küldő domain teljesen kihagyhatja a megfigyelési fázist: SPF -all és p=reject már ma, egyetlen DNS-változtatás, egyenesen át a falon.
Gyakran ismételt kérdések
Hogyan néz ki egy teljesen védett domain? SPF és DKIM a helyén, és egy quarantine vagy reject DMARC-házirend a tetején — a teljes, kikényszerített email-hitelesítési rendszer. 10,092,481 domain (3.87%) éri el ezt a szintet. A legszigorúbb változat hozzáadja a DNSSEC-et, HTTPS-t és HSTS-t: mind az öt együtt a piramis 0.09%-a.
Hány domainen van a DMARC, DNSSEC és HSTS együtt telepítve? A cenzus az ötvédelmes pontszámot teszi közzé, nem minden páronkénti kereszttáblát, így az őszinte válasz egy korlát: legalább az összes öt védelmet tartó 247,054 domainen van ez a három együtt, és legfeljebb a domainek 2.2%-án (4–5. emelet) lehetne. Mindenesetre: jóval kevesebb mint negyvenből egy.
Drága a teljes rendszer? Nem. Az SPF, DKIM, DMARC, HSTS és DNSSEC mind konfiguráció — DNS-rekordok és szerverfejlécek, licencek nélkül. A valódi költség a figyelem és a sorrend: a DMARC-kikényszerítés előtti feladó-azonosítási munka az egyetlen lépés, amely tartós erőfeszítést igényel, és éppen ez az, amely előtt a legtöbb domain megreked.
Melyik védelemnek kellene előbb jönnie? A kikényszerített email-hitelesítésnek, mert az email-megszemélyesítés az a támadás, amellyel a hétköznapi vállalkozások valóban szembesülnek. A HTTPS szinte biztosan megvan; a HSTS egysoros folytatás; a DNSSEC utoljára, és csak olyan szolgáltatón keresztül, amely kezeli az aláírást. Az emeletről emeletre mászás jobb, mint öt projektet egyszerre elkezdeni — nagyjából ez a lényeg.
Ellenőrizd, hányat tartasz az ötből
A rés az 1–2. emeleten lévő 76.9% és a befejező 3.87% között nem tehetség vagy büdzsé — hanem egy sorrend, és annak minden lépése ingyenes. Privát módon és ingyen ellenőrizheted, és láthatod, a 34 ellenőrzésből melyeken mész át, és hogyan javítsd azokat, amelyeken nem.
Ellenőrizd a domainedet → · A DMARC-érettség 6 szakasza → · A DMARC-pillér → · Csak aggregált adatok. Az adatokat az EU-ban tároljuk és dolgozzuk fel.