Defaults.Exposed

Defaults.Exposed › Jelentések

A teljesen védettek kevesei: az a 3.87%, amely befejezte

Közzétéve 2026-07-03 · frissítve 2026-07-03

Az adatok 2026-06-29 időpontjára vonatkoznak · v7 módszertan. A cenzusadatok domainenként kapcsolják össze az ellenőrzéseket 261 millió osztályozott domainen. A „teljesen védett” ebben a cikkben a teljes, kikényszerített email-hitelesítési rendszert jelenti: SPF jelen van, DKIM jelen van, és a DMARC-házirend quarantine vagy reject. A kitettségi piramis domainenként öt alapvető védelmet számol — SPF, kikényszerítő DMARC, DNSSEC, HTTPS, HSTS. Az itt szereplő átfedési számok a domainenkénti összekapcsolásból származnak, amelynek deduplikációs szemcsézettsége marginálisan eltér a DAMMM-oldalakon idézett házirend-bontási számoktól (27,640,987 vs 27,639,358 kikényszerítő domain) — minden oldal a saját forrását idézi, és a kettőt sosem keverjük. Minden szám aggregált — soha nem tesszük közzé egyetlen vállalkozás osztályzatát sem.

Mit csinálnak másképp a teljesen védett domainek: befejezik

Az internet 261 millió osztályozott domainjéből mindössze 3.87% — 10,092,481 közülük — üzemelteti a teljes, kikényszerített email-védelmi rendszert: SPF és DKIM a helyén, DMARC quarantine vagy reject szinten. Az érdekes ebben a csoportban az, ami nem. Nem nagyobb büdzsével rendelkező biztonsági csapatok klubja — minden érintett vezérlő ingyenes DNS- vagy webszerver-beállítás. A 3.87% nem okosabb a többieknél; ők módszeresek. A védelmeket egyetlen befejezendő rendszerként kezelték, nem öt különálló, elkezdendő projektként, és a cikk hátralévő része arról szól, hogyan néz ez ki a cenzusadatokban.

Hogy lássuk, mennyire szokatlan a befejezés, kezdjük ott, ahol mindenki más áll.

A kitettségi piramis: öt védelem, hat emelet

Pontozz minden domaint öt bevált gyakorlat szerinti védelemre — SPF, kikényszerítő DMARC, DNSSEC, HTTPS, HSTS —, egy-egy pontot mindegyikre, és az internet piramissá rendeződik (a kitettségi görbe, emeletről emeletre nézve). 2026-06-29 időpontjában:

EmeletA helyén lévő védelmekDomainek arányaDomainek
0Egy sem — teljesen kitett8.8%23,105,485
1Egy (általában csak HTTPS)37.2%97,206,153
2Kettő (jellemzően HTTPS + SPF)39.7%103,527,371
3Három12.0%31,424,343
4Négy2.1%5,575,826
5Mind az öt — teljesen lezárva0.09%247,054

A forma elmeséli a történetet, mielőtt bármelyik szám tenné. Az összes domain 76.9%-a — 201 millió — az 1. és 2. emeleten ül, pontosan azokat a védelmeket tartva, amelyek alapértelmezésként érkeztek, és semmi többet. A HTTPS azért van ott, mert a hosztingszolgáltatók és CDN-ek automatikusan bekapcsolták; az SPF azért van ott, mert minden levelezőszolgáltató onboarding-útmutatója ezzel kezdődik. A 2. emelet felett minden azt igényli, hogy a tulajdonos döntsön — és minden döntésnél az internet nagy része megáll. A 4. és 5. emelet együtt a domaineknek mindössze 2.2%-át tartja.

A piramis nem annak rangsora, ki törődik vele. Térkép arról, hol érnek véget az alapértelmezések, és hol kezdődik a szándékosság.

A tölcsér, amelyet a 3.87% megmászott

Kövesd a rendszer email-felét lépésről lépésre, és ugyanaz a minta ismétlődik — minden szakasz az előzőt elérő domainek több mint felét veszíti el:

Ez az utolsó vágás megér egy megállást. A DMARC-ot kikényszerítő nagyjából 28 millió domainből csak 36.5% visel SPF-et és DKIM-et is a házirend alatt. Egy részük pontosan a helyeset teszi — egy levelet nem küldő domainnek p=reject-en kell lennie csupasz -all SPF-fel, és nincs szüksége DKIM-re. De a rés kikényszerítő domaineket is tartalmaz, amelyek hitelesítése hiányos, ami a tetőtől lefelé épített rendszer. A 3.87%-ot az ellentétes szokás határozza meg: alap a tető előtt, minden réteg, majd a házirend a tetején.

Az önmagában álló SPF 139 millió domaint fed le, és szinte egyiket sem védi meg — a cenzus legnyersebb illusztrációja arról, mit vásárol az, aki elkezd, de nem fejez be.

Egy rendszer, nem öt projekt

Íme a szokás, amely elkülöníti a 3.87%-ot, és ez szervezeti, nem technikai.

A legtöbb domain úgy halmozza fel a védelmeket, ahogyan a piramis sugallja: egyesével, mindegyiket egy másik prompt váltja ki — egy böngészőfigyelmeztetés, egy kézbesíthetőségi probléma, egy megfelelőségi ellenőrzőlista —, mindegyiket saját kis projektként kezelve, saját „kész”-sel. A „kész” ebben az üzemmódban azt jelenti: a rekord létezik. Így jut az internet oda, hogy 201 millió domain van az 1–2. emeleten: öt zöld pipa elérhető, egyet vagy kettőt begyűjtöttek, út vége.

A teljesen védettek az ötöt egyetlen rendszerként kezelik egyetlen „kész”-definícióval: a támadás többé nem működik. A hamisított levelet elutasítják, nem csak megfigyelik; a munkameneteket nem lehet visszafokozni, mert a HSTS rögzítve van; a válaszokat nem lehet csendben kicserélni, ahol a DNSSEC alá van írva. A DMARC-elfogadási érettségi modellben ez a 6. szintű gondolkodásmód — a védelem mint fegyelem, amelyet figyelnek és karbantartanak, nem egy egyszer megszerzett jelvény. Semmi nem igényel belőle olyan szakértelmet, amely a többi 96%-ból hiányzik. Befejezést igényel — a helyes sorrendben, minden réteget ellenőrizve, hogy valóban tart-e, és a „beállítva” állapotot a felezőpontnak, nem a célnak tekintve.

A csúcs felette: mind az öt együtt

A teljesen email-védettek felett egy jóval kisebb populáció ül: a 247,054 domain — 0.09% —, amely mind az öt védelmet egyszerre tartja, a DMARC, DNSSEC és HSTS együtt telepítve az SPF és HTTPS tetejére. A kapu a DNSSEC: mindössze a domainek 1.99%-án érvényes, ez az öt közül a legritkább, így a piramis legfelső emelete szükségszerűen apró. Ha az 5. emelet írja le a törekvéseidet, a sorrend akkor is számít — előbb kényszerítsd ki az email-hitelesítést (ez állítja meg a valóban naponta érkező támadásokat), majd rögzítsd a szállítást HSTS-szel, végül írd alá a zónát.

Hogyan csatlakozz a 3.87%-hoz

Minden lépés egy konfigurációs változtatás, és mindegyik ingyenes:

  1. Tegyél közzé SPF-et, felsorolva a valódi feladóidat, -all-lal zárva. (SPF javítása →)
  2. Engedélyezd a DKIM-et minden szolgáltatásnál, amely a nevedben küld — a legtöbb szolgáltatónál ez egy kapcsoló. (DKIM javítása →)
  3. Tegyél közzé DMARC-ot jelentéssel, figyeld meg, majd kényszerítsd ki — előbb p=none plusz rua=, azonosíts minden jogos feladót, majd lépj tovább quarantine-ra és reject-re. Ez a fal, amelyet a legtöbb domain sosem mászik meg, és ez nyomozói munka, nem pénz kérdése. (DMARC javítása →)
  4. Aztán a webréteg: HSTS a HTTPS-oldaladon, és DNSSEC, ha a DNS-szolgáltatód kezeli helyetted az aláírást.

Egy levelet nem küldő domain teljesen kihagyhatja a megfigyelési fázist: SPF -all és p=reject már ma, egyetlen DNS-változtatás, egyenesen át a falon.

Gyakran ismételt kérdések

Hogyan néz ki egy teljesen védett domain? SPF és DKIM a helyén, és egy quarantine vagy reject DMARC-házirend a tetején — a teljes, kikényszerített email-hitelesítési rendszer. 10,092,481 domain (3.87%) éri el ezt a szintet. A legszigorúbb változat hozzáadja a DNSSEC-et, HTTPS-t és HSTS-t: mind az öt együtt a piramis 0.09%-a.

Hány domainen van a DMARC, DNSSEC és HSTS együtt telepítve? A cenzus az ötvédelmes pontszámot teszi közzé, nem minden páronkénti kereszttáblát, így az őszinte válasz egy korlát: legalább az összes öt védelmet tartó 247,054 domainen van ez a három együtt, és legfeljebb a domainek 2.2%-án (4–5. emelet) lehetne. Mindenesetre: jóval kevesebb mint negyvenből egy.

Drága a teljes rendszer? Nem. Az SPF, DKIM, DMARC, HSTS és DNSSEC mind konfiguráció — DNS-rekordok és szerverfejlécek, licencek nélkül. A valódi költség a figyelem és a sorrend: a DMARC-kikényszerítés előtti feladó-azonosítási munka az egyetlen lépés, amely tartós erőfeszítést igényel, és éppen ez az, amely előtt a legtöbb domain megreked.

Melyik védelemnek kellene előbb jönnie? A kikényszerített email-hitelesítésnek, mert az email-megszemélyesítés az a támadás, amellyel a hétköznapi vállalkozások valóban szembesülnek. A HTTPS szinte biztosan megvan; a HSTS egysoros folytatás; a DNSSEC utoljára, és csak olyan szolgáltatón keresztül, amely kezeli az aláírást. Az emeletről emeletre mászás jobb, mint öt projektet egyszerre elkezdeni — nagyjából ez a lényeg.

Ellenőrizd, hányat tartasz az ötből

A rés az 1–2. emeleten lévő 76.9% és a befejező 3.87% között nem tehetség vagy büdzsé — hanem egy sorrend, és annak minden lépése ingyenes. Privát módon és ingyen ellenőrizheted, és láthatod, a 34 ellenőrzésből melyeken mész át, és hogyan javítsd azokat, amelyeken nem.

Ellenőrizd a domainedet → · A DMARC-érettség 6 szakasza → · A DMARC-pillér → · Csak aggregált adatok. Az adatokat az EU-ban tároljuk és dolgozzuk fel.