Defaults.Exposed

Defaults.ExposedPerbaikanGuides

Kuesioner Keamanan Klien Menanyakan Autentikasi Email — Jawab (dan Perbaiki Celahnya) dalam Satu Siang (2026)

Diterbitkan 2026-07-08

Angka per 2026-06-29 · metodologi v7. Data sensus agregat dari 261 juta domain yang dinilai — kami tidak pernah menerbitkan hasil domain individual. Lihat cara kami menilai.

Klien Anda bertanya karena aturan keamanan rantai pasokan Eropa kini mengharuskan mereka memeriksa pemasok mereka. Pertanyaan tersebut memiliki titik awal dua menit: pemindaian gratis menilai persis apa yang mereka uji. Hanya 7.4% domain yang memiliki autentikasi email yang sepenuhnya selaras dan ditegakkan, menurut sensus Defaults.Exposed dari 261,086,232 domain (per 2026-06-29) — sebagian besar pemasok juga belum bisa menjawab “ya”.

Inilah rencana untuk siang hari: jalankan pemindaian gratis, baca laporan satu halaman yang dinilai, jawab dengan jujur apa yang sudah benar, dan perbaiki kemenangan mudah gratis di hari yang sama. Untuk hal yang lebih dalam, laporan bertanggal ditambah catatan perbaikan singkat adalah jawaban sementara yang dapat diterima — dan lebih baik dari “ya” yang tidak didukung.

Mengapa klien terbesar kami tiba-tiba menanyakan tentang keamanan email kami?

Ini bukan personal. Jika klien Anda termasuk dalam lingkup NIS2 — arahan keamanan jaringan dan informasi EU — Pasal 21(2)(d) mewajibkan mereka untuk mengelola keamanan rantai pasokan mereka, dan Commission Implementing Regulation (EU) 2024/2690 mengeja tindakannya, secara spesifik menyebut keamanan email. Jadi pengadaan mengirim kuesioner kepada setiap pemasok; Anda mungkin tidak tercakup oleh NIS2 sendiri, tetapi inilah cara kewajiban mengalir turun kepada Anda. Tenggat waktu dan konsekuensinya — tetap ada di daftar pemasok yang disetujui — ada karena klien Anda harus menunjukkan kepada regulator bahwa mereka sudah memeriksa. (Kami telah menulis apa yang sebenarnya dikatakan NIS2 tentang autentikasi email.) Asuransi kini mengajukan pertanyaan yang sama — jika formulir perpanjangan Anda juga sudah memulai, itu adalah versi asuransi dari siang hari ini.

Apa sebenarnya arti pertanyaan-pertanyaan tersebut?

Bagian keamanan email dari kuesioner pemasok tipikal adalah empat pertanyaan yang menggunakan akronim. Diterjemahkan sekali, kemudian kita tinggalkan akronimnya.

Yang ditanyakan kuesionerArtinya dalam bahasa mudah dipahamiBagaimana laporan pemindaian menjawabnya
”Apakah Anda menegakkan kebijakan DMARC?” (DMARC — Domain-based Message Authentication, Reporting and Conformance)Apakah Anda telah memberi tahu server email dunia untuk menolak email yang memalsukan domain Anda? Baris yang gagal oleh sebagian besar pemasok: hanya 7.4% dari 261,086,232 domain yang dinilai yang memiliki ini selaras dan ditegakkan (sensus per 2026-06-29).Menyatakan dan menilai kebijakan Anda. “Ditegakkan” berarti reject atau quarantine; “hanya pemantauan” belum memblokir apapun — katakan mana, dengan jujur.
”Apakah SPF dikonfigurasi dengan kebijakan yang ketat?” (SPF — Sender Policy Framework)Apakah Anda menerbitkan daftar server yang diizinkan mengirim email sebagai perusahaan Anda — dan apakah daftar itu berakhir dengan tegas (“tidak ada orang lain”) atau dengan bahu terangkat (“dan mungkin yang lain”)?Menampilkan apakah daftar ada, valid, dan berakhir tegas atau lunak.
”Apakah email keluar ditandatangani secara digital (DKIM)?” (DKIM — DomainKeys Identified Mail)Apakah email Anda membawa tanda tangan anti-tamper yang membuktikan berasal dari domain Anda — dengan nama Anda, bukan default provider Anda?Menampilkan apakah tanda tangan ada dengan nama domain Anda — jebakan default provider adalah celah paling umum yang ditemukan pemindaian.
”Apakah Anda memantau pemalsuan domain?”Jika seseorang mengirim email palsu sebagai Anda, apakah Anda akan mengetahuinya — atau apakah tanda pertama adalah telepon marah?Menampilkan apakah alamat pelaporan diaktifkan, sehingga upaya peniruan menjangkau Anda.

Setiap pertanyaan di atas dijawab dari pengaturan publik domain Anda — tidak ada audit, tidak ada agen, tidak ada akses ke sistem Anda. Itulah mengapa rencana siang hari berhasil. Empat ini juga hanya baris email dari daftar yang lebih panjang: apa yang diperiksa kuesioner asuransi siber dan vendor pada domain Anda membuat tabel setiap kontrol yang mereka uji, dengan tingkat kelulusan internet-luas untuk setiap. Halaman ini tetap pada siang hari Anda — apa yang harus dijawab, dan apa yang harus diperbaiki terlebih dahulu.

Bagaimana cara menjawabnya sebelum tenggat waktu? Rencana satu siang

  1. Jalankan pemindaian gratis di defaults.exposed — dua menit, sebelum siapapun menyentuh apapun. Ini membaca pengaturan publik domain Anda dan menilai persis empat area di atas. Tidak perlu daftar, tidak perlu akses ke email Anda.
  2. Baca laporan yang dinilai. Satu halaman, bahasa mudah dipahami, bertanggal — setiap nilai memetakan ke pertanyaan kuesioner, sehingga Anda mengetahui jawaban nyata Anda alih-alih menebak.
  3. Jawab apa yang sudah benar. Di mana laporan menampilkan kelulusan, katakan ya dan katakan mengapa (“diverifikasi oleh pemindaian independen,” dengan tanggalnya).
  4. Perbaiki kemenangan mudah gratis di hari yang sama. Celah umum adalah pengaturan, bukan pembelian: daftar pengirim yang berakhir lunak (perbaikan SPF), aturan pemalsuan yang hilang atau terjebak dalam mode pemantauan (perbaikan DMARC), tanda tangan dengan nama default provider. Semua gratis, sebagian besar satu record DNS masing-masing — teruskan halaman perbaikan kepada siapapun yang mengelola domain Anda, dan beberapa jawaban “tidak” menjadi “ya” sebelum formulir dikembalikan.
  5. Untuk hal yang lebih dalam, kirim laporan bertanggal dengan catatan perbaikan. Memindahkan ke kebijakan yang sepenuhnya ditegakkan dengan benar membutuhkan berminggu-minggu pemantauan terlebih dahulu — jangan pernah mengklaim sudah selesai jika belum. “Pemindaian independen terlampir; peluncuran penegakan sedang berjalan, target September” adalah jawaban sementara yang dapat diterima untuk tim pengadaan yang kompeten mana pun. “Ya” yang palsu tidak: tim pengadaan memeriksa ulang, sering dengan pemindaian seperti ini.

Bisakah kuesioner ini benar-benar menguntungkan kami?

Ya — karena apa yang dikirimkan semua orang lain. Sebagian besar pemasok menjawab dengan “ya” sederhana tanpa apapun di baliknya, sementara hanya 7.4% dari 261,086,232 domain yang dinilai yang sebenarnya memiliki postur selaras-dan-ditegakkan yang sedang diuji (sensus per 2026-06-29). Laporan yang bertanggal dan dinilai secara independen — bahkan yang menampilkan celah dan tanggal perbaikan — mengalahkan “ya” yang tidak didukung, karena satu dapat diverifikasi dan yang lain adalah harapan. Anda tidak diminta untuk sempurna; Anda diminta untuk dapat diperiksa. Sedikit pesaing Anda dalam daftar itu akan demikian.

Dan jika yang benar-benar mengganggu Anda adalah cerita penipuan faktur dari acara networking — pengaturan yang sama, pemeriksaan dua menit yang sama.

Pertanyaan yang Sering Diajukan

Bagaimana jika saya tidak bisa memperbaiki semuanya sebelum tenggat waktu? Kirimkan apa yang benar: laporan bertanggal, apa yang Anda perbaiki minggu ini, dan rencana bertanggal untuk sisanya. Peninjau rantai pasokan NIS2 menilai apakah pemasok mengelola risiko, bukan apakah mereka sempurna — laporan yang dinilai dengan catatan perbaikan adalah manajemen risiko, secara tertulis. Yang gagal tinjauan adalah diam, atau klaim yang tidak bertahan dari pemeriksaan ulang.

Bisakah kontraktor IT saya menangani ini? Pengaturan gratis, ya — daftar pengirim, tanda tangan Anda sendiri, aturan pemalsuan adalah pekerjaan DNS rutin, dan halaman perbaikan di atas ditulis untuk serah terima itu. Yang secara wajar diklaim kontraktor di luar tanggung jawab mereka adalah lapisan penilaian: kebijakan mana yang ditegakkan, kapan aman untuk memperketat, apa yang dikatakan kepada klien sementara itu. Laporan yang dinilai mengubah keputusan tersebut menjadi dokumen, sehingga tidak ada dari Anda yang berimprovisasi.

Apakah mereka benar-benar akan menghapus kami sebagai pemasok? Untuk respons kosong atau klaim palsu yang tertangkap — pada akhirnya, ya; klien memiliki regulator untuk dijawab. Untuk celah yang jujur dengan tanggal perbaikan — sangat tidak mungkin: di semua 261,086,232 domain yang dinilai, hanya 10.59% yang menegakkan kebijakan pemalsuan yang ditanyakan kuesioner ini (sensus per 2026-06-29). Jujur-dengan-rencana membuat Anda tetap ada di daftar.

Kami tidak tercakup oleh NIS2 — bisakah kami mengabaikan kuesioner? Kewajiban ada pada klien Anda, dan mereka memenuhinya dengan memilih pemasok yang dapat diperiksa. Ruang untuk menonjol sangat besar: hanya 7.4% dari semua 261,086,232 domain yang dinilai yang memiliki autentikasi email selaras dan ditegakkan (sensus per 2026-06-29). Satu siang menempatkan Anda di depan hampir setiap nama lain dalam daftar pemasok tersebut.

Teruskan laporan ke kontak IT Anda

Jangan ketik ulang apapun dari ini. Jalankan pemindaian gratis, kemudian teruskan dua hal kepada siapapun yang mengurus domain Anda: laporan yang dinilai dan artikel ini. Laporan mengatakan persis pengaturan mana yang harus diubah; halaman perbaikan memberikan langkah-langkahnya. Ketika laporan yang diperbaiki kembali, jawaban kuesioner menulis sendiri — nilai per nilai. Kemudian arsipkan: klien berikutnya akan menanyakan empat hal yang sama, perpanjangan asuransi Anda sudah melakukannya, dan laporan bertanggal yang dapat Anda lampirkan dalam lima menit adalah perbedaan antara satu siang dan bor kebakaran.

Periksa domain Anda → · Apa yang diperiksa kuesioner pada domain Anda → · Cerita penipuan faktur yang Anda dengar → · Hanya data agregat. Data disimpan dan diproses di EU.