Defaults.Exposed

Defaults.Exposed › Report

I pochi completamente protetti: il 3,87% che ha finito

Pubblicato 2026-07-03 · aggiornato 2026-07-03

Dati aggiornati al 2026-06-29 · metodologia v7. Dati del censimento che uniscono i controlli per dominio su 261 milioni di domini valutati. In questo articolo “completamente protetto” significa lo stack completo di autenticazione email, applicato: SPF presente, DKIM presente e una policy DMARC di quarantine o reject. La piramide dell’esposizione conta cinque protezioni fondamentali per dominio — SPF, DMARC applicato, DNSSEC, HTTPS, HSTS. Le cifre di sovrapposizione qui provengono dalla join per dominio, la cui granularità di deduplicazione differisce marginalmente dai conteggi di suddivisione per policy citati nelle pagine DAMMM (27.640.987 contro 27.639.358 domini che applicano) — ogni pagina cita la propria fonte, e le due non vengono mai mescolate. Tutte le cifre sono aggregate — non pubblichiamo mai il voto di una singola azienda.

Cosa fanno di diverso i domini completamente protetti: finiscono

Solo il 3,87% dei 261 milioni di domini valutati di internet — 10.092.481 di essi — utilizza lo stack completo e applicato di protezione email: SPF e DKIM presenti, DMARC in quarantine o reject. La cosa interessante di questo gruppo è ciò che non è. Non è un club di team di sicurezza con budget più grandi — ogni controllo coinvolto è un’impostazione DNS o del server web gratuita. Il 3,87% non è più intelligente degli altri; è sistematico. Ha trattato le protezioni come un unico stack da completare anziché come cinque progetti separati da avviare, e il resto di questo articolo riguarda come questo appare nei dati del censimento.

Per capire quanto sia insolito finire, partiamo da dove si trovano tutti gli altri.

La piramide dell’esposizione: cinque protezioni, sei piani

Assegna a ogni dominio un punteggio su cinque protezioni di best-practice — SPF, DMARC applicato, DNSSEC, HTTPS, HSTS — un punto ciascuna, e internet si dispone in una piramide (la curva dell’esposizione, vista piano per piano). Al 2026-06-29:

PianoProtezioni presentiQuota di dominiDomini
0Nessuna — completamente esposto8,8%23.105.485
1Una (di solito solo HTTPS)37,2%97.206.153
2Due (tipicamente HTTPS + SPF)39,7%103.527.371
3Tre12,0%31.424.343
4Quattro2,1%5.575.826
5Tutte e cinque — completamente blindato0,09%247.054

La forma racconta la storia prima ancora di qualsiasi singolo numero. Il 76,9% di tutti i domini — 201 milioni — si trova ai piani 1 e 2, possedendo esattamente le protezioni arrivate per impostazione predefinita e nient’altro. HTTPS c’è perché host e CDN lo hanno attivato automaticamente; SPF c’è perché la guida di onboarding di ogni provider di posta inizia da lì. Tutto ciò che sta sopra il piano 2 richiede che un proprietario decida — e a ogni decisione, gran parte di internet si ferma. I piani 4 e 5 insieme ospitano appena il 2,2% dei domini.

La piramide non è una classifica di chi tiene di più. È una mappa di dove finiscono le impostazioni predefinite e dove inizia la deliberatezza.

L’imbuto che il 3,87% ha scalato

Segui la metà email dello stack passo per passo e lo stesso schema si ripete — ogni fase perde più della metà dei domini che avevano raggiunto la precedente:

Vale la pena soffermarsi su quest’ultimo taglio. Dei circa 28 milioni di domini che applicano DMARC, solo il 36,5% porta sia SPF sia DKIM sotto la policy. Alcuni dei restanti stanno facendo esattamente la cosa giusta — un dominio che non invia posta dovrebbe essere in p=reject con un semplice SPF -all e non necessita di DKIM. Ma il divario contiene anche domini che applicano DMARC la cui autenticazione è incompleta, ovvero lo stack costruito dal tetto in giù. Il 3,87% è definito dall’abitudine opposta: prima le fondamenta poi il tetto, ogni strato, e infine la policy in cima.

Il solo SPF copre 139 milioni di domini e non ne protegge quasi nessuno — l’illustrazione più netta del censimento di ciò che comporta iniziare senza finire.

Un unico stack, non cinque progetti

Ecco l’abitudine che distingue il 3,87%, ed è organizzativa, non tecnica.

La maggior parte dei domini accumula protezioni nel modo suggerito dalla piramide: una alla volta, ciascuna innescata da uno spunto diverso — un avviso del browser, un problema di deliverability, una checklist di conformità — ciascuna trattata come un piccolo progetto a sé con il proprio “fatto”. “Fatto”, in quella modalità, significa il record esiste. È così che internet finisce con 201 milioni di domini ai piani 1–2: cinque spunte verdi disponibili, una o due raccolte, viaggio concluso.

I completamente protetti trattano le cinque come un unico sistema con un’unica definizione di “fatto”: l’attacco non funziona più. La posta contraffatta viene rifiutata, non solo osservata; le sessioni non possono essere declassate, perché HSTS è vincolato; le risposte non possono essere sostituite di nascosto, dove DNSSEC è firmato. Nel Modello di Maturità dell’Adozione DMARC, questa è la mentalità dello Stadio 6 — la protezione come disciplina monitorata e mantenuta, non come un distintivo conquistato una volta sola. Nulla di tutto ciò richiede competenze che manchino all’altro 96%. Richiede di finire — nell’ordine giusto, verificando che ogni strato regga davvero, e trattando “configurato” come il punto intermedio anziché la destinazione.

La vetta più in alto: tutte e cinque insieme

Sopra i completamente protetti a livello email si trova una popolazione molto più ridotta: i 247.054 domini — 0,09% — che possiedono tutte e cinque le protezioni contemporaneamente, con DMARC, DNSSEC e HSTS distribuiti insieme sopra SPF e HTTPS. Il varco è DNSSEC: valido solo sul 1,99% dei domini, è la più rara delle cinque, quindi il piano più alto della piramide è per forza minuscolo. Se il piano 5 descrive le tue ambizioni, l’ordine conta comunque — applica prima l’autenticazione email (ferma gli attacchi che arrivano davvero ogni giorno), poi vincola il trasporto con HSTS, poi firma la zona.

Come unirti al 3,87%

Ogni passo è una modifica di configurazione, e ognuno è gratuito:

  1. Pubblica SPF elencando i tuoi mittenti reali, terminando con -all. (Correggi SPF →)
  2. Abilita DKIM con ogni servizio che invia per tuo conto — la maggior parte dei provider lo rende un interruttore da attivare. (Correggi DKIM →)
  3. Pubblica DMARC con reporting, osserva, poi applica — prima p=none più rua=, identifica ogni mittente legittimo, poi passa a quarantine e reject. Questo è il muro che la maggior parte dei domini non scala mai, ed è lavoro investigativo, non denaro. (Correggi DMARC →)
  4. Poi il livello web: HSTS sul tuo sito HTTPS, e DNSSEC se il tuo provider DNS gestisce la firma per te.

Un dominio che non invia posta può saltare del tutto la fase di osservazione: SPF -all e p=reject oggi stesso, una sola modifica DNS, dritto oltre il muro.

Domande frequenti

Che aspetto ha un dominio completamente protetto? SPF e DKIM presenti e una policy DMARC di quarantine o reject in cima — lo stack completo di autenticazione email, applicato. 10.092.481 domini (3,87%) raggiungono quel livello. La versione più rigorosa aggiunge DNSSEC, HTTPS e HSTS: tutte e cinque insieme sono l’0,09% della piramide.

Quanti domini hanno DMARC, DNSSEC e HSTS distribuiti insieme? Il censimento pubblica il punteggio a cinque protezioni anziché ogni tabella incrociata a coppie, quindi la risposta onesta è un intervallo: almeno i 247.054 domini che possiedono tutte e cinque hanno quei tre insieme, e al massimo il 2,2% dei domini (piani 4–5) potrebbe averli. In ogni caso: ben meno di uno su quaranta.

Lo stack completo è costoso? No. SPF, DKIM, DMARC, HSTS e DNSSEC sono tutti configurazione — record DNS e header del server, nessuna licenza. I costi reali sono attenzione e sequenza: il lavoro di identificazione dei mittenti prima dell’applicazione di DMARC è l’unico passo che richiede uno sforzo prolungato, ed è quello davanti al quale la maggior parte dei domini si blocca.

Quale protezione dovrebbe venire per prima? L’autenticazione email applicata, perché l’impersonificazione via email è l’attacco che le aziende comuni affrontano davvero. HTTPS quasi certamente ce l’hai già; HSTS è un seguito di una sola riga; DNSSEC per ultimo, e solo tramite un provider che gestisce la firma. Scalare piano per piano batte l’avviare cinque progetti in una volta — ed è proprio questo il punto.

Controlla quante delle cinque possiedi

Il divario tra il 76,9% ai piani 1–2 e il 3,87% che ha finito non è talento o budget — è una sequenza, e ogni suo passo è gratuito. Puoi controllare in modo privato e gratuito, e vedere quali dei 34 controlli superi e come correggere quelli che non superi.

Controlla il tuo dominio → · Le 6 fasi della maturità DMARC → · Il pilastro DMARC → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.