Defaults.Exposed › Report
L'indice di falsificabilità delle email: quanti domini può falsificare chiunque? (2026)
Pubblicato 2026-07-03
Dati aggiornati al 2026-06-29 · metodologia v7. Censimento aggregato su 261 milioni di domini valutati — internet così come lo misuriamo — collegati dominio per dominio. Tutte le cifre sono aggregate; mai la valutazione di una singola azienda. Vedi come assegniamo i voti.
Quanti domini possono essere falsificati?
9 su 10. Il 89,4% di internet — 233.445.245 domini — non pubblica alcuna policy che dica ai destinatari di rifiutare o cestinare la posta che non supera l’autenticazione. Questo è ciò che contiamo come falsificabile, ed è la visione del censimento dal punto di vista dell’attaccante: non “chi ha iniziato a proteggere le email”, ma “chi può ancora essere impersonato”. La maggior parte dei domini ha iniziato — pubblicano SPF. Molti meno hanno finito, e il divario tra questi due verbi è l’indice.
Cosa significa “falsificabile” in questo contesto?
Una definizione precisa, perché questo numero viene citato: un dominio è falsificabile quando non pubblica alcuna policy DMARC a p=quarantine o p=reject — l’unica istruzione standardizzata che fa sì che ogni grande destinatario rifiuti o cestini un messaggio non autenticato. Alcuni destinatari agiscono anche su un SPF -all rigoroso da solo, ma quel comportamento è discrezionale e incoerente tra le caselle di posta di tutto il mondo; l’applicazione di DMARC è l’istruzione che tutti onorano. Quindi un dominio falsificabile non è necessariamente indifeso ovunque — è indifeso per policy, dipendente dalla buona volontà di ciascun destinatario.
Ecco anche perché pubblicare solo SPF non toglie un dominio da questo indice: SPF identifica la tua posta autentica, ma senza applicazione nulla istruisce i destinatari ad agire sulle falsificazioni.
Quali estensioni di dominio sono più falsificabili?
La quota di domini valutati privi di DMARC applicato, per estensione:
| TLD | Quota falsificabile |
|---|---|
| .xyz | 94,9% |
| .de | 78,6% |
| .com | 90,5% |
| .org | 90,0% |
| .uk | 86,6% |
| .nl | 70,6% |
Nessun quartiere di internet è sicuro — la differenza tra le estensioni è una questione di gradi di esposizione, non di categorie. Gli estremi a livello di paese sono una storia a sé: vedi i paesi più falsificabili per la classifica per paese che questo indice riassume.
Il taglio dei server di posta: caselle attive, nessuna protezione
La fetta più netta dell’indice: il 42,7% di tutti i domini valutati gestisce un server di posta attivo senza pubblicare alcuna autenticazione — 111.369.509 domini che ricevono posta reale e al tempo stesso offrono ai falsificatori un nome non protetto. Non sono gusci parcheggiati; sono domini di posta operativi i cui proprietari non hanno mai installato le serrature.
Perché questo è il numero che conta
Le statistiche di adozione lusingano internet; la falsificabilità misura ciò che un attaccante può ancora fare. La soluzione è gratuita a ogni passaggio — SPF, DKIM, poi una policy DMARC a p=reject — e ogni dominio che finisce passa dai 9 su 10 ai pochi protetti. I due articoli sono lo stesso dataset letto dalle estremità opposte: questo conta le porte aperte; quello conta quelle chiuse a chiave.
Domande frequenti
Cosa rende un dominio falsificabile?
L’assenza di una policy DMARC applicata (p=quarantine o p=reject). Senza di essa, nessuna istruzione standardizzata dice ai destinatari di rifiutare o cestinare la posta che non supera i controlli SPF/DKIM. Il 89,4% dei domini — 9 su 10 — si trova in questo stato al 2026-06-29.
Pubblico SPF — il mio dominio può ancora essere falsificato? Se nulla lo applica, sì. SPF dimostra quale posta è autentica; non istruisce i destinatari a rifiutare il resto. Il meccanismo e la soluzione sono trattati in SPF senza DMARC.
DMARC p=quarantine rende sicuro il mio dominio?
Ti toglie da questo indice: la posta non autenticata viene cestinata anziché consegnata alla casella. p=reject va oltre e la rifiuta del tutto — l’impostazione più forte, e la destinazione consigliata.
Come rendo il mio dominio non falsificabile?
Installa tutte e tre le serrature — SPF, DKIM e DMARC a p=reject — ciascuna una modifica DNS gratuita. Sistema la tua policy DMARC è il passaggio di applicazione che ti toglie dall’indice.
Controlla se il tuo è uno dei 9
Il tuo dominio è dentro o fuori da questo indice, e la risposta è gratuita da ottenere e gratuita da cambiare.
Controlla il tuo dominio → · Sistema DMARC → · Sistema SPF → · I paesi più falsificabili → · I pochi protetti → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.