Defaults.Exposed › Laporan
Bolehkah Seseorang Menghantar E-mel Berpura-pura Sebagai Perniagaan Anda? Bagi Kebanyakan Domain, Ya (2026)
Diterbitkan 2026-06-29
Angka setakat 2026-06-29 · metodologi v7. Data banci agregat merentas 261 juta domain yang dinilai. “Boleh ditiru” bermaksud domain tidak menguatkuasakan DMARC (tiada dasar kuarantin atau penolakan), kawalan yang memberitahu pelayan mel penerima untuk menghentikan mel palsu. Lihat cara kami menilai.
Bagi kebanyakan perniagaan, ya — seseorang boleh menghantar e-mel yang kelihatan betul-betul datang daripada domain anda. Hanya 10.59% daripada 261 juta domain yang kami nilai menguatkuasakan DMARC, satu-satunya kawalan yang benar-benar menyekat penyamaran. 89.41% yang lain membiarkan pintu terbuka: penipu boleh meletakkan alamat tepat anda dalam baris “Daripada” dan kebanyakan peti masuk akan memaparkannya sebagai tulen. Inilah mekanisme di sebalik invois palsu, permintaan pembayaran jenis penipuan-CEO dan penipuan pembekal — dan ia tidak memerlukan kos untuk dicuba.
Bolehkah seseorang benar-benar menghantar e-mel sebagai domain saya?
Jika domain anda tidak menguatkuasakan DMARC, maka ya. E-mel direka tanpa cara terbina dalam untuk mengesahkan pengirim, jadi alamat “Daripada” amat mudah dipalsukan. Tiga tetapan, berlapis, membaikinya — SPF, DKIM dan DMARC — tetapi hanya yang terakhir, ditetapkan kepada kuat kuasa, yang memberitahu pelayan penerima untuk benar-benar menolak atau mengkuarantin pemalsuan. Setakat 2026-06-29:
- 75.11% domain tiada rekod DMARC langsung.
- 14.29% mempunyai rekod DMARC yang ditetapkan kepada pantau-sahaja (
p=none) — ia kelihatan seperti perlindungan dalam audit, tetapi ia memberitahu penerima untuk tidak melakukan apa-apa, jadi mel palsu masih sampai. - Hanya 10.59% menguatkuasakan dasar
quarantineataureject— konfigurasi yang menghentikan penyamaran.
Jadi 89.41% domain — lebih daripada lapan dalam sepuluh — boleh disamar dalam e-mel hari ini.
”Tetapi kami ada SPF” — mengapa itu tidak mencukupi
Inilah salah faham yang paling biasa dan paling berbahaya. 53.21% domain menerbitkan rekod SPF, jauh lebih banyak daripada 10.59% yang menguatkuasakan DMARC. Pemilik melihat SPF dan menganggap mereka terlindung. Mereka tidak: SPF (dan DKIM) memeriksa laluan penghantaran teknikal, tetapi tidak mengawal alamat “Daripada” yang sebenarnya dilihat oleh manusia. Tanpa DMARC yang ditetapkan kepada kuat kuasa, penyerang masih boleh lulus SPF pada infrastruktur mereka sendiri dan memalsukan alamat anda yang kelihatan. SPF ialah paip yang perlu; penguatkuasaan DMARC ialah mangga.
Sejauh manakah penjuru web anda terdedah?
Penguatkuasaan berbeza-beza mengikut pengakhiran domain. Lebih tinggi lebih baik — ia ialah bahagian domain yang benar-benar menyekat penyamaran. Setakat 2026-06-29:
| Pengakhiran domain | Menguatkuasakan DMARC | Boleh disamar |
|---|---|---|
| .nl (Belanda) | 29.43% | 29.43% terlindung, selebihnya terdedah |
| .de (Jerman) | 21.38% | — |
| .in (India) | 19.26% | — |
| .uk (United Kingdom) | 13.42% | — |
| .com | 9.50% | pengakhiran paling banyak digunakan berada di bawah purata global 10.59% |
| .net | 10.08% | — |
| .org | 10.01% | — |
| .xyz | 5.15% | — |
| .top | 3.17% | — |
| .cn (China) | 1.45% | terendah antara pengakhiran utama |
Malah pengakhiran besar berprestasi terbaik pun melindungi kurang daripada satu pertiga domainnya. Pada .com — tempat kebanyakan perniagaan berada — hanya 9.50% menguatkuasakan DMARC.
Apa sebenarnya kos ini kepada perniagaan
Penyamaran e-mel ialah mekanisme di sebalik beberapa jenayah dalam talian paling mahal yang dilaporkan kepada penguatkuasa undang-undang di seluruh dunia — kompromi e-mel perniagaan (BEC). Coraknya sentiasa sama:
- Seorang pelanggan menerima “invois” daripada alamat anda dengan butiran bank penipu, membayarnya, dan mendapati penipuan beberapa minggu kemudian — selalunya menganggapnya sebagai kegagalan anda.
- Seorang kakitangan menerima permintaan mendesak “daripada bos” untuk memindahkan wang atau membeli kad hadiah. Alamatnya benar-benar milik anda, jadi mereka mematuhinya.
- Seorang pembekal diberitahu “butiran bank kami telah berubah” dalam e-mel yang lulus setiap pemeriksaan visual.
Tiada satu pun daripada ini memerlukan penggodaman sistem anda. Ia hanya memerlukan domain anda tidak menguatkuasakan DMARC — yang mana, bagi 89.41% domain, memang begitu.
Cara mengetahui sama ada anda terlindung (dan membaikinya)
Anda tidak boleh tahu dari luar sama ada anda berada dalam 10.59% itu — satu-satunya cara untuk tahu ialah memeriksa domain anda. Pembaikannya percuma dan biasanya mengambil masa sebelah petang, dilakukan mengikut urutan: terbitkan SPF dan DKIM, kemudian alihkan DMARC kepada penguatkuasaan (p=none → quarantine → reject). Langkah terakhir ialah langkah yang benar-benar menutup pintu.
Soalan lazim
Bolehkah seseorang menghantar e-mel berpura-pura menjadi syarikat saya? Jika domain anda tidak menguatkuasakan DMARC (dasar kuarantin atau penolakan), ya — alamat “Daripada” tepat anda boleh dipalsukan dan kebanyakan peti masuk akan memaparkannya sebagai tulen. Setakat 2026-06-29, 89.41% domain yang dinilai berada dalam keadaan ini.
Kami sudah ada SPF — bukankah kami selamat?
Tidak. SPF memeriksa laluan penghantaran teknikal tetapi bukan alamat “Daripada” yang kelihatan. 53.21% domain menerbitkan SPF, tetapi tanpa DMARC yang ditetapkan kepada kuat kuasa, alamat anda masih boleh dipalsukan. Anda memerlukan DMARC pada quarantine atau reject.
Bukankah rekod DMARC sudah memadai?
Hanya jika ia menguatkuasakan. Rekod yang ditetapkan kepada p=none (pantau-sahaja) — yang digunakan oleh 14.29% domain — tidak melakukan apa-apa untuk menghentikan penyamaran. Hanya quarantine atau reject yang melakukannya, dan hanya 10.59% domain mencapainya.
Bagaimana saya memeriksa domain saya sendiri? Jalankan pemeriksaan percuma dan persendirian (di bawah). Kami sentiasa hanya menunjukkan keputusan domain kepada pemilik sahnya yang disahkan.
Adakah membaiki ini mahal? Tidak. SPF, DKIM dan DMARC ialah tetapan DNS percuma. Kosnya ialah masa untuk menetapkannya dalam urutan yang betul, bukan wang.
Periksa sama ada domain anda boleh disamar
Jangan teka di pihak mana 10.59% anda berada. Periksa domain anda secara persendirian dan percuma — anda akan melihat status DMARC, SPF dan DKIM anda dan apa sebenarnya yang perlu dibaiki.
Periksa domain anda → · Baiki DMARC → · Baiki SPF → · Cara kami menilai → · Data agregat sahaja. Data disimpan dan diproses di EU.