Defaults.Exposed

Defaults.Exposed › Laporan

Segelintir yang Dilindungi Sepenuhnya: 3.87% yang Menamatkannya

Diterbitkan 2026-07-03 · dikemas kini 2026-07-03

Angka setakat 2026-06-29 · metodologi v7. Data banci menggabungkan semakan bagi setiap domain merentasi 261 juta domain yang telah digredkan. “Dilindungi sepenuhnya” dalam artikel ini bermaksud susunan pengesahan e-mel yang lengkap dan dikuatkuasakan: SPF hadir, DKIM hadir, dan dasar DMARC bernilai quarantine atau reject. Piramid pendedahan mengira lima perlindungan teras bagi setiap domain — SPF, DMARC yang dikuatkuasakan, DNSSEC, HTTPS, HSTS. Angka pertindihan di sini datang daripada gabungan setiap domain, yang butir dedupnya berbeza sedikit daripada kiraan pembahagian dasar yang disebut di halaman DAMMM (27,640,987 berbanding 27,639,358 domain yang menguatkuasakan) — setiap halaman memetik sumbernya sendiri, dan kedua-duanya tidak pernah dicampurkan. Semua angka adalah agregat — kami tidak pernah menerbitkan gred sesebuah perniagaan individu.

Apa yang dilakukan domain yang dilindungi sepenuhnya secara berbeza: mereka menamatkannya

Hanya 3.87% daripada 261 juta domain internet yang telah digredkan — 10,092,481 daripadanya — yang menjalankan susunan perlindungan e-mel yang lengkap dan dikuatkuasakan: SPF dan DKIM tersedia, DMARC pada quarantine atau reject. Perkara menarik tentang kumpulan ini ialah apa yang ia bukan. Ia bukan kelab pasukan keselamatan dengan bajet yang lebih besar — setiap kawalan yang terlibat ialah tetapan DNS atau pelayan web yang percuma. 3.87% ini tidak lebih bijak daripada orang lain; mereka bersistematik. Mereka menganggap perlindungan itu sebagai satu susunan untuk ditamatkan dan bukannya lima projek berasingan untuk dimulakan, dan selebihnya artikel ini adalah tentang bagaimana keadaan itu kelihatan dalam data banci.

Untuk melihat betapa luar biasanya tindakan menamatkan itu, mulakan dengan tempat semua orang lain berdiri.

Piramid pendedahan: lima perlindungan, enam tingkat

Berikan skor kepada setiap domain berdasarkan lima perlindungan amalan terbaik — SPF, DMARC yang dikuatkuasakan, DNSSEC, HTTPS, HSTS — satu mata setiap satu, dan internet menyusun dirinya menjadi sebuah piramid (lengkung pendedahan, dilihat tingkat demi tingkat). Setakat 2026-06-29:

TingkatPerlindungan yang tersediaBahagian domainDomain
0Tiada — terdedah sepenuhnya8.8%23,105,485
1Satu (biasanya HTTPS sahaja)37.2%97,206,153
2Dua (lazimnya HTTPS + SPF)39.7%103,527,371
3Tiga12.0%31,424,343
4Empat2.1%5,575,826
5Kelima-limanya — dikunci sepenuhnya0.09%247,054

Bentuknya menceritakan kisahnya sebelum sebarang angka tunggal melakukannya. 76.9% daripada semua domain — 201 juta — berada di tingkat 1 dan 2, memegang tepat perlindungan yang tiba secara lalai dan tiada yang lain. HTTPS ada di situ kerana hos dan CDN menghidupkannya secara automatik; SPF ada di situ kerana panduan onboarding setiap penyedia mel bermula dengannya. Segala-galanya di atas tingkat 2 memerlukan pemilik untuk membuat keputusan — dan pada setiap keputusan, sebahagian besar internet berhenti. Tingkat 4 dan 5 bersama-sama hanya memegang 2.2% domain.

Piramid ini bukanlah kedudukan tentang siapa yang mengambil berat. Ia adalah peta tentang di mana tetapan lalai berakhir dan keazaman bermula.

Corong yang didaki oleh 3.87%

Jejaki separuh e-mel daripada susunan itu langkah demi langkah dan corak yang sama berulang — setiap peringkat menggugurkan lebih daripada separuh domain yang mencapai peringkat sebelumnya:

Potongan terakhir itu wajar direnungkan. Daripada kira-kira 28 juta domain yang menguatkuasakan DMARC, hanya 36.5% membawa kedua-dua SPF dan DKIM di bawah dasar tersebut. Sebahagian daripada baki itu melakukan perkara yang betul — sebuah domain yang tidak menghantar mel sepatutnya berada pada p=reject dengan SPF -all yang kosong dan tidak memerlukan DKIM. Tetapi jurang itu juga mengandungi domain yang menguatkuasakan tetapi pengesahannya tidak lengkap, iaitu susunan yang dibina dari bumbung ke bawah. 3.87% ditakrifkan oleh tabiat yang bertentangan: lantai sebelum bumbung, setiap lapisan, kemudian dasar di atasnya.

SPF sahaja meliputi 139 juta domain dan hampir tidak melindungi mana-mana daripadanya — ilustrasi banci yang paling terus terang tentang apa yang diperoleh dengan memulakan tanpa menamatkan.

Satu susunan, bukan lima projek

Inilah tabiat yang membezakan 3.87%, dan ia bersifat organisasi, bukan teknikal.

Kebanyakan domain mengumpulkan perlindungan mengikut cara yang dicadangkan oleh piramid: satu demi satu, setiap satu dicetuskan oleh gesaan yang berbeza — amaran pelayar, masalah kebolehsampaian, senarai semak pematuhan — setiap satu dianggap sebagai projek kecilnya sendiri dengan “selesai” tersendiri. “Selesai”, dalam mod itu, bermaksud rekod itu wujud. Begitulah cara internet berakhir dengan 201 juta domain di tingkat 1–2: lima tanda hijau tersedia, satu atau dua dikutip, perjalanan tamat.

Mereka yang dilindungi sepenuhnya menganggap kelima-limanya sebagai satu sistem dengan satu takrifan “selesai”: serangan itu tidak lagi berkesan. Mel palsu ditolak, bukan sekadar diperhatikan; sesi tidak boleh diturunkan taraf, kerana HSTS dipasak; jawapan tidak boleh ditukar secara senyap, di mana DNSSEC ditandatangani. Dalam Model Kematangan Penerapan DMARC, itulah pemikiran Peringkat 6 — perlindungan sebagai disiplin yang dipantau dan diselenggara, bukan lencana yang diperoleh sekali sahaja. Tiada apa-apa tentangnya yang memerlukan kepakaran yang tidak dimiliki oleh 96% yang lain. Ia memerlukan menamatkannya — mengikut urutan yang betul, memeriksa setiap lapisan benar-benar bertahan, dan menganggap “dikonfigurasikan” sebagai titik tengah dan bukannya destinasi.

Puncak di atas: kelima-limanya bersama-sama

Di atas mereka yang dilindungi sepenuhnya dari segi e-mel duduk sebuah populasi yang jauh lebih kecil: 247,054 domain — 0.09% — yang memegang kelima-lima perlindungan sekali gus, DMARC, DNSSEC dan HSTS digunakan bersama-sama di atas SPF dan HTTPS. Pintu gerbangnya ialah DNSSEC: sah pada hanya 1.99% domain, ia adalah yang paling jarang antara kelima-limanya, jadi tingkat teratas piramid semestinya kecil. Jika tingkat 5 menggambarkan cita-cita anda, urutan tetap penting — kuatkuasakan pengesahan e-mel dahulu (ia menghentikan serangan yang benar-benar tiba setiap hari), kemudian pasak pengangkutan dengan HSTS, kemudian tandatangani zon.

Bagaimana untuk menyertai 3.87%

Setiap langkah ialah perubahan konfigurasi, dan setiap satu adalah percuma:

  1. Terbitkan SPF yang menyenaraikan penghantar sebenar anda, berakhir dengan -all. (Betulkan SPF →)
  2. Dayakan DKIM dengan setiap perkhidmatan yang menghantar sebagai anda — kebanyakan penyedia menjadikannya satu suis. (Betulkan DKIM →)
  3. Terbitkan DMARC dengan pelaporan, perhati, kemudian kuatkuasakanp=none serta rua= dahulu, kenal pasti setiap penghantar yang sah, kemudian beralih ke quarantine dan reject. Inilah tembok yang tidak pernah didaki oleh kebanyakan domain, dan ia adalah kerja penyiasatan, bukan wang. (Betulkan DMARC →)
  4. Kemudian lapisan web: HSTS pada laman HTTPS anda, dan DNSSEC jika penyedia DNS anda menguruskan penandatanganan untuk anda.

Sebuah domain yang tidak menghantar mel boleh melangkau fasa pemerhatian sepenuhnya: SPF -all dan p=reject hari ini, satu perubahan DNS, terus melepasi tembok.

Soalan lazim

Bagaimanakah rupa domain yang dilindungi sepenuhnya? SPF dan DKIM tersedia dan dasar DMARC bernilai quarantine atau reject di atasnya — susunan pengesahan e-mel yang lengkap dan dikuatkuasakan. 10,092,481 domain (3.87%) memenuhi tanda aras itu. Versi paling ketat menambah DNSSEC, HTTPS dan HSTS: kelima-limanya bersama-sama ialah 0.09% piramid.

Berapa banyak domain yang mempunyai DMARC, DNSSEC dan HSTS digunakan bersama-sama? Banci menerbitkan skor lima perlindungan dan bukannya setiap silang-tab berpasangan, jadi jawapan yang jujur ialah suatu batas: sekurang-kurangnya 247,054 domain yang memegang kelima-limanya mempunyai ketiga-tiga itu bersama-sama, dan paling banyak 2.2% domain (tingkat 4–5) yang mungkin. Bagaimanapun: jauh di bawah satu daripada empat puluh.

Adakah susunan penuh itu mahal? Tidak. SPF, DKIM, DMARC, HSTS dan DNSSEC semuanya konfigurasi — rekod DNS dan pengepala pelayan, tiada lesen. Kos sebenar ialah perhatian dan urutan: kerja pengenalpastian penghantar sebelum penguatkuasaan DMARC ialah satu-satunya langkah yang memerlukan usaha berterusan, dan itulah yang kebanyakan domain terhenti di hadapannya.

Perlindungan manakah yang patut didahulukan? Pengesahan e-mel yang dikuatkuasakan, kerana penyamaran e-mel ialah serangan yang benar-benar dihadapi oleh perniagaan biasa. HTTPS hampir pasti anda sudah miliki; HSTS ialah susulan satu baris; DNSSEC terakhir, dan hanya melalui penyedia yang menguruskan penandatanganan. Mendaki tingkat demi tingkat lebih baik daripada memulakan lima projek sekali gus — itulah intinya.

Semak berapa banyak antara kelima-limanya yang anda pegang

Jurang antara 76.9% di tingkat 1–2 dengan 3.87% yang menamatkannya bukanlah bakat atau bajet — ia adalah urutan, dan setiap langkahnya adalah percuma. Anda boleh menyemak secara peribadi dan percuma, serta melihat semakan mana antara 34 semakan yang anda lulus dan bagaimana untuk membetulkan yang anda tidak lulus.

Semak domain anda → · 6 peringkat kematangan DMARC → · Tiang DMARC → · Data agregat sahaja. Data disimpan dan diproses di EU.