Defaults.Exposed

Defaults.Exposed › Ataskaitos

Visiškai apsaugotoji mažuma: 3.87% tų, kurie užbaigė

Paskelbta 2026-07-03 · atnaujinta 2026-07-03

Duomenys 2026-06-29 · metodika v7. Surašymo duomenys, jungiantys patikras pagal domeną iš 261 milijonų įvertintų domenų. „Visiškai apsaugotas“ šiame straipsnyje reiškia pilną priverstinį el. pašto autentifikavimo rinkinį: yra SPF, yra DKIM ir DMARC politika quarantine arba reject. Ekspozicijos piramidė skaičiuoja penkias pagrindines apsaugas kiekvienam domenui — SPF, priverstinį DMARC, DNSSEC, HTTPS, HSTS. Persidengimo skaičiai čia gaunami iš jungimo pagal domeną, kurio dublikatų šalinimo detalumas nežymiai skiriasi nuo politikos padalijimo skaičių, cituojamų DAMMM puslapiuose (27,640,987 palyginti su 27,639,358 priverstinių domenų) — kiekvienas puslapis nurodo savo šaltinį, ir šie du niekada nemaišomi. Visi skaičiai yra apibendrinti — mes niekada neskelbiame konkrečios įmonės įvertinimo.

Ką visiškai apsaugoti domenai daro kitaip: jie užbaigia

Tik 3.87% interneto 261 milijonų įvertintų domenų — 10,092,481 iš jų — naudoja pilną, priverstinį el. pašto apsaugos rinkinį: yra SPF ir DKIM, DMARC su quarantine arba reject. Įdomiausia šioje grupėje yra tai, kas ji nėra. Tai nėra saugumo komandų su didesniais biudžetais klubas — kiekvienas įtrauktas valdiklis yra nemokamas DNS arba žiniatinklio serverio nustatymas. Tie 3.87% nėra protingesni už visus kitus; jie yra sistemingi. Jie traktavo apsaugas kaip vieną rinkinį, kurį reikia užbaigti, o ne kaip penkis atskirus projektus, kuriuos reikia pradėti, ir likusi šio straipsnio dalis yra apie tai, kaip tai atrodo surašymo duomenyse.

Kad pamatytumėte, kokia neįprasta yra užbaigti, pradėkite nuo to, kur stovi visi kiti.

Ekspozicijos piramidė: penkios apsaugos, šeši aukštai

Įvertinkite kiekvieną domeną pagal penkias geriausios praktikos apsaugas — SPF, priverstinį DMARC, DNSSEC, HTTPS, HSTS — po vieną tašką kiekvienai, ir internetas išsidėsto į piramidę (ekspozicijos kreivė, žiūrima aukštas po aukšto). 2026-06-29 duomenimis:

AukštasTurimos apsaugosDomenų dalisDomenai
0Jokių — visiškai neapsaugoti8.8%23,105,485
1Viena (dažniausiai vien HTTPS)37.2%97,206,153
2Dvi (paprastai HTTPS + SPF)39.7%103,527,371
3Trys12.0%31,424,343
4Keturios2.1%5,575,826
5Visos penkios — visiškai užrakinti0.09%247,054

Forma pasakoja istoriją anksčiau nei bet kuris atskiras skaičius. 76.9% visų domenų — 201 milijonų — yra 1 ir 2 aukštuose, turėdami tiksliai tas apsaugas, kurios atsirado pagal numatytuosius nustatymus, ir nieko daugiau. HTTPS yra todėl, kad prieglobos ir CDN ją įjungė automatiškai; SPF yra todėl, kad kiekvieno el. pašto tiekėjo pradžios vadovas prasideda nuo jos. Viskas virš 2 aukšto reikalauja, kad savininkas nuspręstų — ir prie kiekvieno sprendimo didžioji interneto dalis sustoja. 4 ir 5 aukštai kartu apima vos 2.2% domenų.

Piramidė nėra reitingas, kam rūpi. Tai žemėlapis, kur baigiasi numatytieji nustatymai ir prasideda apgalvotumas.

Piltuvėlis, kurį 3.87% įveikė

Atsekite el. pašto rinkinio pusę žingsnis po žingsnio, ir tas pats modelis kartojasi — kiekviename etape prarandama daugiau nei pusė domenų, kurie pasiekė ankstesnį:

Verta stabtelėti ties tuo paskutiniu žingsniu. Iš maždaug 28 milijonų domenų, kurie priverstinai taiko DMARC, tik 36.5% po politika turi ir SPF, ir DKIM. Kai kurie iš likusiųjų daro būtent tai, kas teisinga — domenas, kuris nesiunčia jokio pašto, turėtų būti p=reject su tuščiu -all SPF ir jam DKIM nereikia. Bet tarpe taip pat yra priverstinai taikančių domenų, kurių autentifikavimas yra nepilnas, o tai yra rinkinys, statytas nuo stogo žemyn. 3.87% apibrėžia priešingas įprotis: pamatas prieš stogą, kiekvienas sluoksnis, tada politika viršuje.

Vien SPF apima 139 milijonų domenų ir beveik nė vieno iš jų neapsaugo — bukiausia surašymo iliustracija, ką duoda pradžia be užbaigimo.

Vienas rinkinys, ne penki projektai

Štai įprotis, skiriantis 3.87%, ir jis yra organizacinis, o ne techninis.

Dauguma domenų kaupia apsaugas taip, kaip siūlo piramidė: po vieną, kiekvieną paskatintą skirtingo postūmio — naršyklės įspėjimo, pristatymo problemos, atitikties kontrolinio sąrašo — kiekvieną traktuojant kaip savo mažą projektą su savo „atlikta“. „Atlikta“ tuo režimu reiškia, kad įrašas egzistuoja. Būtent taip internetas atsiduria su 201 milijonų domenų 1–2 aukštuose: penki žali varneliai prieinami, vienas ar du surinkti, kelionė baigta.

Visiškai apsaugoti traktuoja tuos penkis kaip vieną sistemą su vienu „atlikta“ apibrėžimu: ataka nebeveikia. Suklastotas paštas atmetamas, o ne tik stebimas; sesijos negali būti pažemintos, nes HSTS yra prisegtas; atsakymai negali būti tyliai pakeisti, kur DNSSEC yra pasirašytas. DMARC diegimo brandos modelyje tai yra 6 etapo mąstysena — apsauga kaip drausmė, kuri yra stebima ir prižiūrima, o ne ženkliukas, kartą užsitarnautas. Niekas jame nereikalauja kompetencijos, kurios stinga kitiems 96%. Tam reikia užbaigti — teisinga tvarka, patikrinant, ar kiekvienas sluoksnis iš tikrųjų laikosi, ir traktuojant „sukonfigūruota“ kaip vidurio tašką, o ne tikslą.

Viršūnė aukščiau: visos penkios kartu

Virš visiškai el. paštu apsaugotų yra kur kas mažesnė populiacija: 247,054 domenai — 0.09% — kurie turi visas penkias apsaugas iš karto, DMARC, DNSSEC ir HSTS įdiegtus kartu ant SPF ir HTTPS. Vartai yra DNSSEC: galiojantis vos 1.99% domenų, tai yra rečiausia iš penkių, todėl viršutinis piramidės aukštas neišvengiamai yra mažas. Jei 5 aukštas apibūdina jūsų siekius, tvarka vis tiek svarbi — pirmiausia priverstinai taikykite el. pašto autentifikavimą (jis stabdo atakas, kurios iš tikrųjų atkeliauja kasdien), tada prisekite transportą HSTS, tada pasirašykite zoną.

Kaip prisijungti prie 3.87%

Kiekvienas žingsnis yra konfigūracijos pakeitimas, ir kiekvienas yra nemokamas:

  1. Paskelbkite SPF, išvardydami tikruosius savo siuntėjus ir baigdami -all. (Taisyti SPF →)
  2. Įjunkite DKIM su kiekviena paslauga, kuri siunčia jūsų vardu — dauguma tiekėjų padaro tai perjungikliu. (Taisyti DKIM →)
  3. Paskelbkite DMARC su ataskaitomis, stebėkite, tada priverstinai taikykite — pirmiausia p=none plius rua=, nustatykite kiekvieną teisėtą siuntėją, tada pereikite prie quarantine ir reject. Tai siena, kurios dauguma domenų niekada neįveikia, ir tai yra tiriamasis darbas, ne pinigai. (Taisyti DMARC →)
  4. Tada žiniatinklio pakopa: HSTS jūsų HTTPS svetainėje ir DNSSEC, jei jūsų DNS tiekėjas tvarko pasirašymą už jus.

Domenas, kuris nesiunčia jokio pašto, gali visiškai praleisti stebėjimo fazę: SPF -all ir p=reject šiandien, vienas DNS pakeitimas, tiesiai pro sieną.

Dažnai užduodami klausimai

Kaip atrodo visiškai apsaugotas domenas? Yra SPF ir DKIM bei DMARC politika quarantine arba reject viršuje — pilnas priverstinis el. pašto autentifikavimo rinkinys. 10,092,481 domenų (3.87%) atitinka tą kartelę. Griežčiausia versija prideda DNSSEC, HTTPS ir HSTS: visos penkios kartu yra piramidės 0.09%.

Kiek domenų turi DMARC, DNSSEC ir HSTS įdiegtus kartu? Surašymas skelbia penkių apsaugų įvertinimą, o ne kiekvieną poriškį kryžminėje lentelėje, todėl sąžiningas atsakymas yra riba: mažiausiai tie 247,054 domenai, turintys visas penkias, turi šiuos tris kartu, o daugiausiai 2.2% domenų (4–5 aukštai) galėtų turėti. Bet kuriuo atveju: gerokai mažiau nei vienas iš keturiasdešimties.

Ar pilnas rinkinys brangus? Ne. SPF, DKIM, DMARC, HSTS ir DNSSEC yra tik konfigūracija — DNS įrašai ir serverio antraštės, jokių licencijų. Tikros sąnaudos yra dėmesys ir seka: siuntėjų nustatymo darbas prieš DMARC priverstinį taikymą yra vienintelis žingsnis, reikalaujantis nuolatinių pastangų, ir tai yra tas, prieš kurį dauguma domenų sustoja.

Kuri apsauga turėtų būti pirma? Priverstinis el. pašto autentifikavimas, nes el. pašto apsimetinėjimas yra ataka, su kuria eilinės įmonės iš tikrųjų susiduria. HTTPS beveik neabejotinai jau turite; HSTS yra vienos eilutės tęsinys; DNSSEC paskutinis ir tik per tiekėją, kuris tvarko pasirašymą. Lipimas aukštas po aukšto yra geriau nei penkių projektų pradėjimas iš karto — tokia ir yra esmė.

Patikrinkite, kiek iš penkių turite

Tarpas tarp 76.9% 1–2 aukštuose ir 3.87%, kurie užbaigė, nėra talentas ar biudžetas — tai seka, ir kiekvienas jos žingsnis yra nemokamas. Galite pasitikrinti privačiai ir nemokamai bei pamatyti, kurias iš 34 patikrų praeinate ir kaip pataisyti tas, kurių ne.

Patikrinkite savo domeną → · 6 DMARC brandos etapai → · DMARC ramstis → · Tik apibendrinti duomenys. Duomenys saugomi ir tvarkomi ES.