Defaults.Exposed

Defaults.Exposed › Laporan

Indeks Kebolehpalsuan E-mel: Berapa Banyak Domain Boleh Dipalsukan Sesiapa Sahaja? (2026)

Diterbitkan 2026-07-03

Angka setakat 2026-06-29 · metodologi v7. Bancian agregat merentasi 261 juta domain bergred — internet sebagaimana kami mengukurnya — dicantumkan setiap domain. Semua angka adalah agregat; tidak pernah gred sesebuah perniagaan individu. Lihat cara kami menggred.

Berapa banyak domain boleh dipalsukan?

9 daripada 10. 89.4% daripada internet — 233,445,245 domain — tidak menerbitkan sebarang polisi yang mengarahkan penerima menolak atau menyampahkan mel yang gagal pengesahan. Itulah yang kami kira sebagai boleh dipalsukan, dan ia adalah pandangan mata penyerang terhadap bancian ini: bukan “siapa yang mula menjamin e-mel”, tetapi “siapa yang masih boleh disamar”. Kebanyakan domain telah bermula — mereka menerbitkan SPF. Jauh lebih sedikit yang telah selesai, dan jurang antara dua kata kerja itulah indeksnya.

Apakah maksud “boleh dipalsukan” di sini?

Definisi yang tepat, kerana angka ini kerap dipetik: sesebuah domain boleh dipalsukan apabila ia tidak menerbitkan sebarang polisi DMARC pada p=quarantine atau p=reject — satu-satunya arahan berpiawai yang membuatkan setiap penerima utama menolak atau menyampahkan mesej yang gagal. Sesetengah penerima memang bertindak terhadap SPF -all yang ketat dengan sendirinya, tetapi tingkah laku itu adalah budi bicara dan tidak konsisten merentasi peti masuk seluruh dunia; penguatkuasaan DMARC ialah arahan yang mereka semua patuhi. Jadi domain yang boleh dipalsukan tidak semestinya tanpa pertahanan di mana-mana sahaja — ia tanpa pertahanan dari segi polisi, bergantung pada budi baik setiap penerima.

Itulah juga sebabnya menerbitkan SPF sahaja tidak mengalihkan sesebuah domain daripada indeks ini: SPF mengenal pasti mel tulen anda, tetapi tanpa penguatkuasaan tiada apa-apa yang mengarahkan penerima bertindak terhadap pemalsuan itu.

Pengakhiran domain manakah yang paling boleh dipalsukan?

Bahagian domain bergred yang tidak mempunyai DMARC penguatkuasaan, mengikut pengakhiran:

TLDBahagian boleh dipalsukan
.xyz94.9%
.de78.6%
.com90.5%
.org90.0%
.uk86.6%
.nl70.6%

Tiada kawasan kejiranan di internet yang selamat — jurang antara pengakhiran ialah darjah pendedahan, bukan kategori pendedahan. Keterlaluan peringkat negara ialah kisah tersendiri: lihat negara yang paling boleh dipalsukan untuk liga mengikut negara yang dirumuskan oleh indeks ini.

Potongan pelayan mel: peti masuk hidup, tiada perlindungan

Hirisan paling tajam bagi indeks ini: 42.7% daripada semua domain bergred menjalankan pelayan mel yang hidup sambil tidak menerbitkan sebarang pengesahan langsung — 111,369,509 domain yang kedua-duanya menerima mel sebenar dan menawarkan pemalsu sebuah nama yang tidak berkawal. Ini bukan cengkerang yang diparkir; ia adalah domain mel yang beroperasi yang pemiliknya tidak pernah memasang kuncinya.

Mengapa inilah angka yang penting

Statistik penerimaan menyanjung internet; kebolehpalsuan mengukur apa yang masih boleh dilakukan oleh penyerang. Pembetulannya adalah percuma pada setiap langkah — SPF, DKIM, kemudian polisi DMARC pada p=reject — dan setiap domain yang selesai beralih daripada 9-daripada-10 kepada segelintir yang terlindung. Kedua-dua artikel itu adalah set data yang sama dibaca dari hujung yang bertentangan: yang ini mengira pintu yang terbuka; yang itu mengira pintu yang terkunci.

Soalan lazim

Apakah yang menjadikan sesebuah domain boleh dipalsukan? Ketiadaan polisi DMARC penguatkuasaan (p=quarantine atau p=reject). Tanpanya, tiada arahan berpiawai yang mengarahkan penerima menolak atau menyampahkan mel yang gagal pemeriksaan SPF/DKIM. 89.4% daripada domain — 9 daripada 10 — berada dalam keadaan ini setakat 2026-06-29.

Saya menerbitkan SPF — bolehkah domain saya masih dipalsukan? Jika tiada apa-apa yang menguatkuasakan, ya. SPF membuktikan mel yang mana tulen; ia tidak mengarahkan penerima menolak yang selebihnya. Mekanisme dan pembetulannya diliputi dalam SPF tanpa DMARC.

Adakah DMARC p=quarantine menjadikan domain saya selamat? Ia mengalihkan anda daripada indeks ini: mel yang gagal disampahkan dan bukannya dihantar ke peti masuk. p=reject melangkah lebih jauh dan menolaknya secara terus terang — tetapan paling kuat, dan destinasi yang disyorkan.

Bagaimanakah saya menjadikan domain saya tidak boleh dipalsukan? Pasang ketiga-tiga kunci — SPF, DKIM, dan DMARC pada p=reject — masing-masing satu perubahan DNS percuma. Betulkan polisi DMARC anda ialah langkah penguatkuasaan yang mengeluarkan anda daripada indeks ini.

Semak sama ada domain anda salah satu daripada 9

Domain anda sama ada berada pada indeks ini atau tidak, dan jawapannya percuma untuk diperoleh dan percuma untuk diubah.

Semak domain anda → · Betulkan DMARC → · Betulkan SPF → · Negara yang paling boleh dipalsukan → · Segelintir yang terlindung → · Data agregat sahaja. Data disimpan dan diproses di EU.