Defaults.Exposed › Laporan
Segelintir yang Terlindungi Penuh: 3.87% yang Menyelesaikannya
Diterbitkan 2026-07-03 · diperbarui 2026-07-03
Angka per 2026-06-29 · metodologi v7. Data sensus menggabungkan pemeriksaan per domain di seluruh 261 juta domain yang dinilai. “Terlindungi penuh” dalam artikel ini berarti tumpukan autentikasi email lengkap, yang ditegakkan: SPF ada, DKIM ada, dan kebijakan DMARC berupa
quarantineataureject. Piramida paparan menghitung lima perlindungan inti per domain — SPF, DMARC yang menegakkan, DNSSEC, HTTPS, HSTS. Angka tumpang-tindih di sini berasal dari penggabungan per domain, yang butir deduplikasinya sedikit berbeda dari penghitungan pembagian kebijakan yang dikutip pada halaman DAMMM (27,640,987 vs 27,639,358 domain yang menegakkan) — setiap halaman mengutip sumbernya sendiri, dan keduanya tidak pernah dicampur. Semua angka bersifat agregat — kami tidak pernah menerbitkan nilai bisnis individual.
Apa yang dilakukan berbeda oleh domain yang terlindungi penuh: mereka menyelesaikannya
Hanya 3.87% dari 261 juta domain internet yang dinilai — 10,092,481 di antaranya — yang menjalankan tumpukan perlindungan email lengkap dan ditegakkan: SPF dan DKIM terpasang, DMARC pada quarantine atau reject. Hal yang menarik tentang kelompok ini adalah apa yang bukan mereka. Ini bukan klub tim keamanan dengan anggaran lebih besar — setiap kontrol yang terlibat adalah pengaturan DNS atau server web yang gratis. 3.87% ini tidak lebih pintar daripada yang lain; mereka sistematis. Mereka memperlakukan perlindungan sebagai satu tumpukan untuk diselesaikan, bukan lima proyek terpisah untuk dimulai, dan sisa artikel ini membahas seperti apa itu dalam data sensus.
Untuk melihat betapa tidak biasanya penyelesaian itu, mulailah dari posisi semua orang lain.
Piramida paparan: lima perlindungan, enam lantai
Nilai setiap domain berdasarkan lima perlindungan praktik terbaik — SPF, DMARC yang menegakkan, DNSSEC, HTTPS, HSTS — masing-masing satu poin, dan internet menyusun dirinya menjadi sebuah piramida (kurva paparan, dilihat lantai demi lantai). Per 2026-06-29:
| Lantai | Perlindungan yang terpasang | Bagian dari domain | Domain |
|---|---|---|---|
| 0 | Tidak ada — terpapar penuh | 8.8% | 23,105,485 |
| 1 | Satu (biasanya HTTPS saja) | 37.2% | 97,206,153 |
| 2 | Dua (umumnya HTTPS + SPF) | 39.7% | 103,527,371 |
| 3 | Tiga | 12.0% | 31,424,343 |
| 4 | Empat | 2.1% | 5,575,826 |
| 5 | Kelimanya — terkunci penuh | 0.09% | 247,054 |
Bentuknya menceritakan kisahnya sebelum satu angka pun melakukannya. 76.9% dari semua domain — 201 juta — berada di lantai 1 dan 2, memegang persis perlindungan yang datang secara bawaan dan tidak lebih. HTTPS ada karena host dan CDN mengaktifkannya secara otomatis; SPF ada karena panduan orientasi setiap penyedia email dimulai dengannya. Segala sesuatu di atas lantai 2 mengharuskan pemilik untuk memutuskan — dan pada setiap keputusan, sebagian besar internet berhenti. Lantai 4 dan 5 bersama-sama hanya memegang 2.2% domain.
Piramida ini bukan peringkat siapa yang peduli. Ini adalah peta tempat pengaturan bawaan berakhir dan kesengajaan dimulai.
Corong yang didaki oleh 3.87%
Telusuri paruh email dari tumpukan langkah demi langkah dan pola yang sama berulang — setiap tahap menggugurkan lebih dari separuh domain yang mencapai tahap sebelumnya:
- 53.21% domain menerbitkan SPF — langkah yang dibahas semua panduan.
- 24.89% menerbitkan catatan DMARC apa pun sama sekali.
- 10.59% menegakkannya (
quarantineataureject). - 3.87% menegakkannya dengan tumpukan penuh di bawahnya — SPF dan DKIM keduanya ada, sehingga penegakan berdiri di atas autentikasi yang lengkap.
Pemotongan terakhir itu layak dijeda sejenak. Dari sekitar 28 juta domain yang menegakkan DMARC, hanya 36.5% yang membawa SPF dan DKIM di bawah kebijakan itu. Sebagian dari sisanya melakukan hal yang benar persis — domain yang tidak mengirim email seharusnya berada pada p=reject dengan SPF -all telanjang dan tidak memerlukan DKIM. Namun kesenjangan itu juga memuat domain yang menegakkan tetapi autentikasinya tidak lengkap, yang berarti tumpukan yang dibangun dari atap ke bawah. 3.87% ditentukan oleh kebiasaan yang berlawanan: lantai sebelum atap, setiap lapisan, lalu kebijakan di atasnya.
SPF saja mencakup 139 juta domain dan hampir tidak melindungi satu pun dari mereka — ilustrasi paling tumpul dari sensus tentang apa yang diperoleh dengan memulai tanpa menyelesaikan.
Satu tumpukan, bukan lima proyek
Inilah kebiasaan yang membedakan 3.87%, dan itu bersifat organisasional, bukan teknis.
Sebagian besar domain mengumpulkan perlindungan sebagaimana disarankan piramida: satu per satu, masing-masing dipicu oleh dorongan yang berbeda — peringatan peramban, masalah keterkiriman, daftar periksa kepatuhan — masing-masing diperlakukan sebagai proyek kecilnya sendiri dengan definisi “selesai” tersendiri. Selesai, dalam mode itu, berarti catatannya ada. Begitulah cara internet berakhir dengan 201 juta domain di lantai 1–2: lima tanda centang hijau tersedia, satu atau dua dikumpulkan, perjalanan berakhir.
Yang terlindungi penuh memperlakukan kelimanya sebagai satu sistem dengan satu definisi selesai: serangan tidak lagi berhasil. Email palsu ditolak, bukan hanya diamati; sesi tidak dapat diturunkan versinya, karena HSTS disematkan; jawaban tidak dapat ditukar diam-diam, di mana DNSSEC ditandatangani. Dalam Model Kematangan Adopsi DMARC, itulah pola pikir Tahap 6 — perlindungan sebagai disiplin yang dipantau dan dipelihara, bukan lencana yang pernah diperoleh satu kali. Tidak ada hal tentangnya yang memerlukan keahlian yang tidak dimiliki 96% lainnya. Itu memerlukan penyelesaian — dalam urutan yang benar, memeriksa setiap lapisan benar-benar bertahan, dan memperlakukan “terkonfigurasi” sebagai titik tengah alih-alih tujuan akhir.
Puncak di atas: kelimanya bersama
Di atas yang terlindungi email penuh terletak populasi yang jauh lebih kecil: 247,054 domain — 0.09% — yang memegang kelima perlindungan sekaligus, DMARC, DNSSEC dan HSTS diterapkan bersama di atas SPF dan HTTPS. Gerbangnya adalah DNSSEC: sah hanya pada 1.99% domain, ini yang paling langka dari kelimanya, sehingga lantai teratas piramida pasti sangat kecil. Jika lantai 5 menggambarkan ambisi Anda, urutannya tetap penting — tegakkan autentikasi email terlebih dahulu (itu menghentikan serangan yang sebenarnya datang setiap hari), lalu sematkan transportasi dengan HSTS, kemudian tandatangani zona.
Cara bergabung dengan 3.87%
Setiap langkah adalah perubahan konfigurasi, dan setiap langkah gratis:
- Terbitkan SPF yang mencantumkan pengirim asli Anda, diakhiri
-all. (Perbaiki SPF →) - Aktifkan DKIM dengan setiap layanan yang mengirim atas nama Anda — sebagian besar penyedia menjadikannya sebuah sakelar. (Perbaiki DKIM →)
- Terbitkan DMARC dengan pelaporan, amati, lalu tegakkan —
p=noneditambahrua=terlebih dahulu, identifikasi setiap pengirim yang sah, lalu beralih kequarantinedanreject. Ini adalah tembok yang tidak pernah didaki sebagian besar domain, dan ini adalah pekerjaan investigatif, bukan uang. (Perbaiki DMARC →) - Lalu tingkat web: HSTS pada situs HTTPS Anda, dan DNSSEC jika penyedia DNS Anda mengelola penandatanganan untuk Anda.
Domain yang tidak mengirim email dapat melewati fase pengamatan sepenuhnya: SPF -all dan p=reject hari ini, satu perubahan DNS, langsung melewati tembok.
Pertanyaan yang sering diajukan
Seperti apa domain yang terlindungi penuh? SPF dan DKIM terpasang serta kebijakan DMARC berupa quarantine atau reject di atasnya — tumpukan autentikasi email lengkap, yang ditegakkan. 10,092,481 domain (3.87%) memenuhi standar itu. Versi paling ketat menambahkan DNSSEC, HTTPS dan HSTS: kelimanya bersama adalah 0.09% dari piramida.
Berapa banyak domain yang memiliki DMARC, DNSSEC dan HSTS diterapkan bersama? Sensus menerbitkan skor lima perlindungan alih-alih setiap tabulasi silang berpasangan, jadi jawaban yang jujur adalah sebuah batas: setidaknya 247,054 domain yang memegang kelimanya memiliki ketiganya bersama, dan paling banyak 2.2% domain (lantai 4–5) yang bisa. Bagaimanapun juga: jauh di bawah satu dari empat puluh.
Apakah tumpukan penuh itu mahal? Tidak. SPF, DKIM, DMARC, HSTS dan DNSSEC semuanya adalah konfigurasi — catatan DNS dan header server, tanpa lisensi. Biaya sesungguhnya adalah perhatian dan urutan: pekerjaan identifikasi pengirim sebelum penegakan DMARC adalah satu-satunya langkah yang memerlukan upaya berkelanjutan, dan itulah yang membuat sebagian besar domain terhenti di depannya.
Perlindungan mana yang harus didahulukan? Autentikasi email yang ditegakkan, karena peniruan email adalah serangan yang sebenarnya dihadapi bisnis biasa. HTTPS hampir pasti sudah Anda miliki; HSTS adalah tindak lanjut satu baris; DNSSEC terakhir, dan hanya melalui penyedia yang mengelola penandatanganan. Mendaki lantai demi lantai mengalahkan memulai lima proyek sekaligus — itulah intinya.
Periksa berapa banyak dari kelimanya yang Anda pegang
Kesenjangan antara 76.9% di lantai 1–2 dan 3.87% yang menyelesaikannya bukanlah bakat atau anggaran — melainkan sebuah urutan, dan setiap langkahnya gratis. Anda dapat memeriksa secara pribadi dan gratis, serta melihat mana dari 34 pemeriksaan yang Anda lulus dan cara memperbaiki yang tidak.
Periksa domain Anda → · 6 tahap kematangan DMARC → · Pilar DMARC → · Hanya data agregat. Data disimpan dan diproses di UE.