Defaults.Exposed › Laporan
Indeks Kemudahan Pemalsuan Email: Berapa Banyak Domain yang Bisa Dipalsukan Siapa Saja? (2026)
Diterbitkan 2026-07-03
Angka per 2026-06-29 · metodologi v7. Sensus agregat atas 261 juta domain yang dinilai — internet sebagaimana kami mengukurnya — digabungkan per domain. Semua angka bersifat agregat; tidak pernah nilai suatu bisnis individual. Lihat bagaimana kami menilai.
Berapa banyak domain yang bisa dipalsukan?
9 dari 10. 89.4% dari internet — 233,445,245 domain — tidak menerbitkan kebijakan apa pun yang memberi tahu penerima untuk menolak atau membuang email yang gagal autentikasi. Itulah yang kami hitung sebagai bisa dipalsukan, dan inilah pandangan sensus dari sudut pandang penyerang: bukan “siapa yang telah mulai mengamankan email”, melainkan “siapa yang masih bisa disamar-tirukan”. Sebagian besar domain telah mulai — mereka menerbitkan SPF. Jauh lebih sedikit yang telah menyelesaikannya, dan celah antara dua kata kerja itulah indeksnya.
Apa arti “bisa dipalsukan” di sini?
Definisi yang tepat, karena angka ini sering dikutip: sebuah domain bisa dipalsukan ketika ia tidak menerbitkan kebijakan DMARC pada p=quarantine atau p=reject — satu-satunya instruksi terstandardisasi yang membuat setiap penerima besar menolak atau membuang pesan yang gagal. Beberapa penerima memang bertindak atas SPF -all yang ketat dengan sendirinya, tetapi perilaku itu bersifat diskresioner dan tidak konsisten di antara kotak masuk seluruh dunia; penegakan DMARC adalah instruksi yang mereka semua hormati. Jadi domain yang bisa dipalsukan tidak selalu tak terlindungi di mana pun — ia tak terlindungi menurut kebijakan, bergantung pada niat baik masing-masing penerima.
Itu juga alasan mengapa menerbitkan SPF saja tidak mengeluarkan sebuah domain dari indeks ini: SPF mengidentifikasi email asli Anda, tetapi tanpa penegakan tidak ada yang menginstruksikan penerima untuk bertindak atas pemalsuan tersebut.
Akhiran domain mana yang paling mudah dipalsukan?
Proporsi domain yang dinilai yang tidak memiliki DMARC penegak, menurut akhiran:
| TLD | Proporsi bisa dipalsukan |
|---|---|
| .xyz | 94.9% |
| .de | 78.6% |
| .com | 90.5% |
| .org | 90.0% |
| .uk | 86.6% |
| .nl | 70.6% |
Tidak ada lingkungan di internet yang aman — sebaran antar akhiran adalah tingkatan paparan, bukan kategori paparan. Ekstrem tingkat negara adalah cerita tersendiri: lihat negara yang paling mudah dipalsukan untuk liga per negara yang diringkas indeks ini.
Irisan server email: kotak masuk aktif, tanpa perlindungan
Irisan indeks yang paling tajam: 42.7% dari seluruh domain yang dinilai menjalankan server email aktif sambil tidak menerbitkan autentikasi sama sekali — 111,369,509 domain yang sama-sama menerima email nyata dan menawarkan nama tak terjaga kepada pemalsu. Ini bukan cangkang terparkir; ini adalah domain email yang beroperasi yang pemiliknya tidak pernah memasang kuncinya.
Mengapa inilah angka yang penting
Statistik adopsi menyanjung internet; kemudahan pemalsuan mengukur apa yang masih bisa dilakukan seorang penyerang. Perbaikannya gratis di setiap langkah — SPF, DKIM, lalu kebijakan DMARC pada p=reject — dan setiap domain yang menyelesaikannya berpindah dari 9-dari-10 ke segelintir yang terlindungi. Kedua artikel itu adalah dataset yang sama yang dibaca dari dua ujung berlawanan: yang ini menghitung pintu yang terbuka; yang itu menghitung pintu yang terkunci.
Pertanyaan yang sering diajukan
Apa yang membuat sebuah domain bisa dipalsukan?
Ketiadaan kebijakan DMARC penegak (p=quarantine atau p=reject). Tanpa itu, tidak ada instruksi terstandardisasi yang memberi tahu penerima untuk menolak atau membuang email yang gagal pemeriksaan SPF/DKIM. 89.4% dari domain — 9 dari 10 — berada dalam keadaan ini per 2026-06-29.
Saya menerbitkan SPF — apakah domain saya masih bisa dipalsukan? Jika tidak ada yang menegakkan, ya. SPF membuktikan email mana yang asli; ia tidak menginstruksikan penerima untuk menolak selebihnya. Mekanisme dan perbaikannya dibahas dalam SPF tanpa DMARC.
Apakah DMARC p=quarantine membuat domain saya aman?
Ia mengeluarkan Anda dari indeks ini: email yang gagal dibuang alih-alih dikirim ke kotak masuk. p=reject melangkah lebih jauh dan menolaknya secara langsung — pengaturan terkuat, dan tujuan yang direkomendasikan.
Bagaimana cara membuat domain saya tidak bisa dipalsukan?
Pasang ketiga kunci — SPF, DKIM, dan DMARC pada p=reject — masing-masing merupakan perubahan DNS gratis. Perbaiki kebijakan DMARC Anda adalah langkah penegakan yang mengeluarkan Anda dari indeks.
Periksa apakah domain Anda salah satu dari 9
Domain Anda entah ada di indeks ini atau tidak, dan jawabannya gratis untuk didapatkan dan gratis untuk diubah.
Periksa domain Anda → · Perbaiki DMARC → · Perbaiki SPF → · Negara yang paling mudah dipalsukan → · Segelintir yang terlindungi → · Data agregat saja. Data disimpan dan diproses di UE.