Defaults.Exposed

Defaults.Exposed › Report

L'indice di falsificabilità delle email: quanti domini può falsificare chiunque? (2026)

Pubblicato 2026-07-03

Dati aggiornati al 2026-06-29 · metodologia v7. Censimento aggregato su 261 milioni di domini valutati — internet così come lo misuriamo — collegati dominio per dominio. Tutte le cifre sono aggregate; mai la valutazione di una singola azienda. Vedi come assegniamo i voti.

Quanti domini possono essere falsificati?

9 su 10. Il 89,4% di internet — 233.445.245 domini — non pubblica alcuna policy che dica ai destinatari di rifiutare o cestinare la posta che non supera l’autenticazione. Questo è ciò che contiamo come falsificabile, ed è la visione del censimento dal punto di vista dell’attaccante: non “chi ha iniziato a proteggere le email”, ma “chi può ancora essere impersonato”. La maggior parte dei domini ha iniziato — pubblicano SPF. Molti meno hanno finito, e il divario tra questi due verbi è l’indice.

Cosa significa “falsificabile” in questo contesto?

Una definizione precisa, perché questo numero viene citato: un dominio è falsificabile quando non pubblica alcuna policy DMARC a p=quarantine o p=reject — l’unica istruzione standardizzata che fa sì che ogni grande destinatario rifiuti o cestini un messaggio non autenticato. Alcuni destinatari agiscono anche su un SPF -all rigoroso da solo, ma quel comportamento è discrezionale e incoerente tra le caselle di posta di tutto il mondo; l’applicazione di DMARC è l’istruzione che tutti onorano. Quindi un dominio falsificabile non è necessariamente indifeso ovunque — è indifeso per policy, dipendente dalla buona volontà di ciascun destinatario.

Ecco anche perché pubblicare solo SPF non toglie un dominio da questo indice: SPF identifica la tua posta autentica, ma senza applicazione nulla istruisce i destinatari ad agire sulle falsificazioni.

Quali estensioni di dominio sono più falsificabili?

La quota di domini valutati privi di DMARC applicato, per estensione:

TLDQuota falsificabile
.xyz94,9%
.de78,6%
.com90,5%
.org90,0%
.uk86,6%
.nl70,6%

Nessun quartiere di internet è sicuro — la differenza tra le estensioni è una questione di gradi di esposizione, non di categorie. Gli estremi a livello di paese sono una storia a sé: vedi i paesi più falsificabili per la classifica per paese che questo indice riassume.

Il taglio dei server di posta: caselle attive, nessuna protezione

La fetta più netta dell’indice: il 42,7% di tutti i domini valutati gestisce un server di posta attivo senza pubblicare alcuna autenticazione — 111.369.509 domini che ricevono posta reale e al tempo stesso offrono ai falsificatori un nome non protetto. Non sono gusci parcheggiati; sono domini di posta operativi i cui proprietari non hanno mai installato le serrature.

Perché questo è il numero che conta

Le statistiche di adozione lusingano internet; la falsificabilità misura ciò che un attaccante può ancora fare. La soluzione è gratuita a ogni passaggio — SPF, DKIM, poi una policy DMARC a p=reject — e ogni dominio che finisce passa dai 9 su 10 ai pochi protetti. I due articoli sono lo stesso dataset letto dalle estremità opposte: questo conta le porte aperte; quello conta quelle chiuse a chiave.

Domande frequenti

Cosa rende un dominio falsificabile? L’assenza di una policy DMARC applicata (p=quarantine o p=reject). Senza di essa, nessuna istruzione standardizzata dice ai destinatari di rifiutare o cestinare la posta che non supera i controlli SPF/DKIM. Il 89,4% dei domini — 9 su 10 — si trova in questo stato al 2026-06-29.

Pubblico SPF — il mio dominio può ancora essere falsificato? Se nulla lo applica, sì. SPF dimostra quale posta è autentica; non istruisce i destinatari a rifiutare il resto. Il meccanismo e la soluzione sono trattati in SPF senza DMARC.

DMARC p=quarantine rende sicuro il mio dominio? Ti toglie da questo indice: la posta non autenticata viene cestinata anziché consegnata alla casella. p=reject va oltre e la rifiuta del tutto — l’impostazione più forte, e la destinazione consigliata.

Come rendo il mio dominio non falsificabile? Installa tutte e tre le serrature — SPF, DKIM e DMARC a p=reject — ciascuna una modifica DNS gratuita. Sistema la tua policy DMARC è il passaggio di applicazione che ti toglie dall’indice.

Controlla se il tuo è uno dei 9

Il tuo dominio è dentro o fuori da questo indice, e la risposta è gratuita da ottenere e gratuita da cambiare.

Controlla il tuo dominio → · Sistema DMARC → · Sistema SPF → · I paesi più falsificabili → · I pochi protetti → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.