Defaults.Exposed › Rapporter
Indeksen for e-postforfalskning: Hvor mange domener kan hvem som helst forfalske? (2026)
Publisert 2026-07-03
Tall per 2026-06-29 · metodikk v7. Samlet folketelling på tvers av 261 millioner graderte domener — internett slik vi måler det — slått sammen per domene. Alle tall er aggregerte; aldri en enkelt virksomhets gradering. Se hvordan vi graderer.
Hvor mange domener kan forfalskes?
9 av 10. 89.4% av internett — 233,445,245 domener — publiserer ingen policy som ber mottakere avvise eller søppelmerke e-post som ikke består autentisering. Det er hva vi regner som mulig å forfalske, og det er folketellingen sett med angriperens øyne: ikke “hvem har begynt å sikre e-post”, men “hvem kan fortsatt bli utgitt for”. De fleste domener har begynt — de publiserer SPF. Langt færre har blitt ferdige, og gapet mellom de to verbene er indeksen.
Hva betyr “mulig å forfalske” her?
En presis definisjon, fordi dette tallet blir sitert: et domene er mulig å forfalske når det ikke publiserer noen DMARC-policy på p=quarantine eller p=reject — den eneste standardiserte instruksjonen som får alle store mottakere til å avvise eller søppelmerke en melding som ikke består. Enkelte mottakere handler på en streng SPF -all alene, men den atferden er skjønnsmessig og inkonsekvent på tvers av verdens innbokser; DMARC-håndheving er instruksjonen de alle respekterer. Så et domene som er mulig å forfalske er ikke nødvendigvis forsvarsløst overalt — det er uforsvart ved policy, avhengig av hver mottakers velvilje.
Det er også derfor det å publisere SPF alene ikke flytter et domene bort fra denne indeksen: SPF identifiserer din ekte e-post, men uten håndheving er det ingenting som instruerer mottakere til å handle på forfalskningene.
Hvilke domeneendelser er mest mulige å forfalske?
Andelen graderte domener som mangler håndhevende DMARC, per endelse:
| TLD | Andel mulig å forfalske |
|---|---|
| .xyz | 94.9% |
| .de | 78.6% |
| .com | 90.5% |
| .org | 90.0% |
| .uk | 86.6% |
| .nl | 70.6% |
Ingen nabolag på internett er trygt — spennet mellom endelsene er grader av eksponering, ikke kategorier av den. Ekstremverdier på landnivå er sin egen historie: se de mest forfalskbare landene for den land-for-land-ligaen denne indeksen oppsummerer.
E-postserver-utsnittet: levende innbokser, ingen beskyttelse
Skarpeste skive av indeksen: 42.7% av alle graderte domener driver en levende e-postserver samtidig som de ikke publiserer noen autentisering i det hele tatt — 111,369,509 domener som både mottar ekte e-post og tilbyr forfalskere et ubevoktet navn. Dette er ikke parkerte skall; de er operative e-postdomener hvis eiere aldri satte inn låsene.
Hvorfor dette er tallet som betyr noe
Adopsjonsstatistikk smigrer internett; forfalskbarhet måler hva en angriper fortsatt kan gjøre. Løsningen er gratis på hvert steg — SPF, DKIM, deretter en DMARC-policy på p=reject — og hvert domene som blir ferdig flytter fra de 9-av-10 til de beskyttede få. De to artiklene er samme datasett lest fra motsatte ender: denne teller de åpne dørene; den andre teller de låste.
Ofte stilte spørsmål
Hva gjør et domene mulig å forfalske?
Fraværet av en håndhevende DMARC-policy (p=quarantine eller p=reject). Uten den er det ingen standardisert instruksjon som ber mottakere avvise eller søppelmerke e-post som ikke består SPF/DKIM-sjekker. 89.4% av domenene — 9 av 10 — er i denne tilstanden per 2026-06-29.
Jeg publiserer SPF — kan domenet mitt fortsatt forfalskes? Hvis ingenting håndhever, ja. SPF beviser hvilken e-post som er ekte; det instruerer ikke mottakere til å avvise resten. Mekanismen og løsningen er dekket i SPF uten DMARC.
Gjør DMARC p=quarantine domenet mitt trygt?
Det flytter deg bort fra denne indeksen: feilet e-post blir søppelmerket i stedet for levert til innboksen. p=reject går lenger og avviser den rett ut — den sterkeste innstillingen, og det anbefalte målet.
Hvordan gjør jeg domenet mitt umulig å forfalske?
Sett inn alle tre låsene — SPF, DKIM og DMARC på p=reject — hver en gratis DNS-endring. Fiks din DMARC-policy er håndhevingssteget som tar deg av indeksen.
Sjekk om ditt er ett av de 9
Domenet ditt er enten på denne indeksen eller av den, og svaret er gratis å få og gratis å endre.
Sjekk domenet ditt → · Fiks DMARC → · Fiks SPF → · De mest forfalskbare landene → · De beskyttede få → · Kun aggregerte data. Data lagret og behandlet i EU.