Defaults.Exposed

Defaults.Exposed › Laporan

Bisakah Seseorang Mengirim Email dengan Berpura-pura Menjadi Bisnis Anda? Untuk Sebagian Besar Domain, Ya (2026)

Diterbitkan 2026-06-29

Angka per 2026-06-29 · metodologi v7. Data sensus agregat di 261 juta domain yang dinilai. “Dapat dipalsukan” berarti domain tidak menerapkan DMARC (tidak ada kebijakan karantina atau penolakan), kontrol yang memberi tahu server email penerima untuk menghentikan email palsu. Lihat bagaimana kami menilai.

Bagi sebagian besar bisnis, ya — seseorang dapat mengirim email yang tampak persis berasal dari domain Anda. Hanya 10.59% dari 261 juta domain yang kami nilai menerapkan DMARC, satu-satunya kontrol yang benar-benar memblokir peniruan identitas. Sisanya 89.41% membiarkan pintu terbuka: seorang penipu dapat memasukkan alamat persis Anda di baris “Dari” dan sebagian besar kotak masuk akan menampilkannya sebagai asli. Inilah mekanisme di balik faktur palsu, permintaan pembayaran penipuan CEO, dan penipuan pemasok — dan tidak ada biaya untuk mencobanya.

Apakah seseorang benar-benar bisa mengirim email atas nama domain saya?

Jika domain Anda tidak menerapkan DMARC, maka ya. Email dirancang tanpa cara bawaan untuk memverifikasi pengirim, sehingga alamat “Dari” sangat mudah dipalsukan. Tiga pengaturan yang berlapis memperbaikinya — SPF, DKIM, dan DMARC — tetapi hanya yang terakhir, disetel ke penerapan, yang memberi tahu server penerima untuk benar-benar menolak atau mengarantina pemalsuan. Per 2026-06-29:

Jadi 89.41% domain — lebih dari delapan dari sepuluh — dapat dipalsukan dalam email saat ini.

”Tapi kami punya SPF” — mengapa itu tidak cukup

Ini adalah kesalahpahaman yang paling umum dan paling berbahaya. 53.21% domain menerbitkan catatan SPF, jauh lebih banyak dari 10.59% yang menerapkan DMARC. Pemilik melihat SPF dan menganggap mereka terlindungi. Mereka tidak: SPF (dan DKIM) memeriksa jalur teknis pengiriman, tetapi tidak mengatur alamat “Dari” yang sebenarnya dilihat manusia. Tanpa DMARC yang disetel ke penerapan, penyerang masih dapat lolos SPF di infrastruktur mereka sendiri dan memalsukan alamat Anda yang terlihat. SPF adalah pipa yang diperlukan; penerapan DMARC adalah kuncinya.

Seberapa terekspos sudut web Anda?

Penerapan sangat bervariasi menurut akhiran domain. Lebih tinggi lebih baik — itu adalah proporsi domain yang benar-benar memblokir peniruan identitas. Per 2026-06-29:

Akhiran domainMenerapkan DMARCDapat dipalsukan
.nl (Belanda)29.43%29.43% terlindungi, sisanya terekspos
.de (Jerman)21.38%
.in (India)19.26%
.uk (Inggris Raya)13.42%
.com9.50%akhiran yang paling banyak digunakan berada di bawah rata-rata global 10.59%
.net10.08%
.org10.01%
.xyz5.15%
.top3.17%
.cn (Tiongkok)1.45%yang terendah dari akhiran-akhiran utama

Bahkan akhiran besar dengan kinerja terbaik melindungi kurang dari sepertiga domainnya. Pada .com — tempat sebagian besar bisnis berada — hanya 9.50% yang menerapkan DMARC.

Berapa biaya sebenarnya bagi sebuah bisnis

Peniruan identitas email adalah mekanisme di balik beberapa kejahatan daring termahal yang dilaporkan kepada penegak hukum di seluruh dunia — kompromi email bisnis. Polanya selalu sama:

Tidak ada satu pun dari ini yang memerlukan peretasan sistem Anda. Itu hanya memerlukan domain Anda tidak menerapkan DMARC — yang, bagi 89.41% domain, memang demikian.

Cara mengetahui apakah Anda terlindungi (dan memperbaikinya)

Anda tidak dapat mengetahui dari luar apakah Anda termasuk dalam 10.59% — satu-satunya cara untuk tahu adalah memeriksa domain Anda. Perbaikannya gratis dan biasanya memakan waktu satu sore, dilakukan secara berurutan: terbitkan SPF dan DKIM, lalu pindahkan DMARC ke penerapan (p=nonequarantinereject). Langkah terakhir adalah yang benar-benar menutup pintu.

Pertanyaan yang sering diajukan

Bisakah seseorang mengirim email yang berpura-pura menjadi perusahaan saya? Jika domain Anda tidak menerapkan DMARC (kebijakan karantina atau penolakan), ya — alamat “Dari” persis Anda dapat dipalsukan dan sebagian besar kotak masuk akan menampilkannya sebagai asli. Per 2026-06-29, 89.41% domain yang dinilai berada dalam keadaan ini.

Kami sudah punya SPF — bukankah kami aman? Tidak. SPF memeriksa jalur teknis pengiriman tetapi bukan alamat “Dari” yang terlihat. 53.21% domain menerbitkan SPF, tetapi tanpa DMARC yang disetel ke penerapan, alamat Anda masih dapat dipalsukan. Anda memerlukan DMARC di quarantine atau reject.

Bukankah catatan DMARC sudah cukup? Hanya jika menerapkan. Catatan yang disetel ke p=none (pantau saja) — yang digunakan 14.29% domain — tidak melakukan apa pun untuk menghentikan pemalsuan. Hanya quarantine atau reject yang melakukannya, dan hanya 10.59% domain yang mencapainya.

Bagaimana cara memeriksa domain saya sendiri? Jalankan pemeriksaan gratis dan pribadi (di bawah). Kami hanya menampilkan hasil domain kepada pemiliknya yang terverifikasi.

Apakah memperbaiki ini mahal? Tidak. SPF, DKIM, dan DMARC adalah pengaturan DNS gratis. Biayanya adalah waktu untuk mengaturnya dalam urutan yang benar, bukan uang.

Periksa apakah domain Anda dapat dipalsukan

Jangan menebak Anda berada di sisi mana dari 10.59%. Periksa domain Anda secara pribadi dan gratis — Anda akan melihat status DMARC, SPF, dan DKIM Anda serta apa yang harus diperbaiki.

Periksa domain Anda → · Perbaiki DMARC → · Perbaiki SPF → · Bagaimana kami menilai → · Hanya data agregat. Data disimpan dan diproses di UE.