Defaults.Exposed › Rapporter
De fåtallige fullt beskyttede: de 3.87% som fullførte
Publisert 2026-07-03 · oppdatert 2026-07-03
Tall per 2026-06-29 · metodikk v7. Folketellingsdata som forener kontroller per domene på tvers av 261 millioner graderte domener. «Fullt beskyttet» betyr i denne artikkelen den komplette e-postautentiseringsstakken, håndhevet: SPF til stede, DKIM til stede, og en DMARC-policy på
quarantineellerreject. Eksponeringspyramiden teller fem kjernebeskyttelser per domene — SPF, håndhevende DMARC, DNSSEC, HTTPS, HSTS. Overlappstallene her kommer fra sammenføyningen per domene, hvis dedup-granularitet skiller seg marginalt fra policy-oppdelte tall som oppgis på DAMMM-sidene (27,640,987 mot 27,639,358 håndhevende domener) — hver side siterer sin egen kilde, og de to blandes aldri. Alle tall er aggregerte — vi publiserer aldri en enkeltvirksomhets gradering.
Hva fullt beskyttede domener gjør annerledes: de fullfører
Bare 3.87% av internettets 261 millioner graderte domener — 10,092,481 av dem — kjører den komplette, håndhevede e-postbeskyttelsesstakken: SPF og DKIM på plass, DMARC på quarantine eller reject. Det interessante med denne gruppen er hva den ikke er. Den er ikke en klubb av sikkerhetsteam med større budsjetter — hver eneste kontroll som er involvert, er en gratis DNS- eller webserverinnstilling. De 3.87% er ikke smartere enn alle andre; de er systematiske. De behandlet beskyttelsene som én stakk å fullføre, snarere enn fem separate prosjekter å starte, og resten av denne artikkelen handler om hvordan det ser ut i folketellingsdataene.
For å se hvor uvanlig det er å fullføre, start med hvor alle andre står.
Eksponeringspyramiden: fem beskyttelser, seks etasjer
Gi hvert domene poeng på fem beste-praksis-beskyttelser — SPF, håndhevende DMARC, DNSSEC, HTTPS, HSTS — ett poeng hver, og internettet ordner seg selv i en pyramide (eksponeringskurven, sett etasje for etasje). Per 2026-06-29:
| Etasje | Beskyttelser på plass | Andel av domenene | Domener |
|---|---|---|---|
| 0 | Ingen — fullt eksponert | 8.8% | 23,105,485 |
| 1 | Én (som regel HTTPS alene) | 37.2% | 97,206,153 |
| 2 | To (typisk HTTPS + SPF) | 39.7% | 103,527,371 |
| 3 | Tre | 12.0% | 31,424,343 |
| 4 | Fire | 2.1% | 5,575,826 |
| 5 | Alle fem — fullstendig låst | 0.09% | 247,054 |
Formen forteller historien før noe enkelttall gjør det. 76.9% av alle domener — 201 millioner — sitter på etasje 1 og 2, og har akkurat de beskyttelsene som kom som standard og ikke noe mer. HTTPS er der fordi verter og CDN-er slo det på automatisk; SPF er der fordi enhver e-postleverandørs onboarding-guide starter med det. Alt over etasje 2 krever at en eier bestemmer seg — og ved hver beslutning stopper det meste av internettet. Etasje 4 og 5 rommer til sammen bare 2.2% av domenene.
Pyramiden er ikke en rangering av hvem som bryr seg. Den er et kart over hvor standardinnstillinger slutter og bevissthet begynner.
Trakten de 3.87% klatret
Spor e-posthalvdelen av stakken steg for steg, og det samme mønsteret gjentar seg — hvert trinn mister mer enn halvparten av domenene som nådde det forrige:
- 53.21% av domenene publiserer SPF — trinnet alle guidene dekker.
- 24.89% publiserer i det hele tatt en DMARC-post.
- 10.59% håndhever den (
quarantineellerreject). - 3.87% håndhever den med den fulle stakken under — både SPF og DKIM til stede, slik at håndhevingen står på komplett autentisering.
Det siste kuttet er verdt å dvele ved. Av de omtrent 28 millioner domenene som håndhever DMARC, har bare 36.5% både SPF og DKIM under policyen. Noen av de resterende gjør akkurat det rette — et domene som ikke sender e-post, bør ligge på p=reject med en naken -all SPF og trenger ingen DKIM. Men gapet inneholder også håndhevende domener hvis autentisering er ufullstendig, som er stakken bygget fra taket og ned. De 3.87% er definert av den motsatte vanen: gulv før tak, hvert lag, deretter policyen på toppen.
SPF alene dekker 139 millioner domener og beskytter nesten ingen av dem — folketellingens mest brutale illustrasjon av hva det å starte uten å fullføre gir deg.
Én stakk, ikke fem prosjekter
Her er vanen som skiller de 3.87%, og den er organisatorisk, ikke teknisk.
De fleste domener samler beskyttelser slik pyramiden antyder: én om gangen, hver utløst av en ulik foranledning — en nettleseradvarsel, et leveringsproblem, en samsvarssjekkliste — hver behandlet som sitt eget lille prosjekt med sitt eget «ferdig». Ferdig, i den modusen, betyr at posten finnes. Det er slik internettet ender opp med 201 millioner domener på etasje 1–2: fem grønne haker tilgjengelig, én eller to samlet inn, reisen over.
De fullt beskyttede behandler de fem som ett system med én definisjon av ferdig: angrepet fungerer ikke lenger. Forfalsket e-post avvises, ikke bare observeres; økter kan ikke nedgraderes, fordi HSTS er festet; svar kan ikke stille byttes ut, der DNSSEC er signert. I DMARC-modenhetsmodellen (DAMMM) er det Stadium 6-tankesettet — beskyttelse som en disiplin som overvåkes og vedlikeholdes, ikke et merke som ble tjent én gang. Ingenting ved det krever ekspertise de øvrige 96 % mangler. Det krever å fullføre — i riktig rekkefølge, sjekke at hvert lag faktisk holder, og behandle «konfigurert» som midtpunktet snarere enn målet.
Toppen over: alle fem sammen
Over de fullt e-postbeskyttede sitter en langt mindre populasjon: de 247,054 domenene — 0.09% — som har alle fem beskyttelsene samtidig, DMARC, DNSSEC og HSTS utrullet sammen oppå SPF og HTTPS. Porten er DNSSEC: gyldig på bare 1.99% av domenene, er det den sjeldneste av de fem, så pyramidens øverste etasje er nødvendigvis liten. Hvis etasje 5 beskriver dine ambisjoner, spiller rekkefølgen fortsatt en rolle — håndhev e-postautentisering først (den stopper angrepene som faktisk ankommer daglig), fest deretter transporten med HSTS, og signer så sonen.
Hvordan bli en av de 3.87%
Hvert trinn er en konfigurasjonsendring, og hvert eneste er gratis:
- Publiser SPF som lister opp dine reelle avsendere, avsluttet med
-all. (Fiks SPF →) - Aktiver DKIM med hver tjeneste som sender som deg — de fleste leverandører gjør det til en bryter. (Fiks DKIM →)
- Publiser DMARC med rapportering, observer, deretter håndhev —
p=noneplussrua=først, identifiser hver legitim avsender, gå så over tilquarantineogreject. Dette er muren de fleste domener aldri klatrer over, og det er etterforskningsarbeid, ikke penger. (Fiks DMARC →) - Deretter web-laget: HSTS på HTTPS-nettstedet ditt, og DNSSEC hvis DNS-leverandøren din håndterer signeringen for deg.
Et domene som ikke sender e-post, kan hoppe helt over observasjonsfasen: SPF -all og p=reject i dag, én DNS-endring, rett forbi muren.
Ofte stilte spørsmål
Hvordan ser et fullt beskyttet domene ut? SPF og DKIM på plass og en DMARC-policy på quarantine eller reject oppå — den komplette e-postautentiseringsstakken, håndhevet. 10,092,481 domener (3.87%) oppfyller den standarden. Den strengeste versjonen legger til DNSSEC, HTTPS og HSTS: alle fem sammen er pyramidens 0.09%.
Hvor mange domener har DMARC, DNSSEC og HSTS utrullet sammen? Folketellingen publiserer fembeskyttelses-poengsummen snarere enn hver parvise krysstabell, så det ærlige svaret er en grense: minst de 247,054 domenene som har alle fem, har disse tre sammen, og høyst 2.2% av domenene (etasje 4–5) kunne ha det. Uansett: godt under ett av førti.
Er den fulle stakken dyr? Nei. SPF, DKIM, DMARC, HSTS og DNSSEC er alt sammen konfigurasjon — DNS-poster og serverhoder, ingen lisenser. De reelle kostnadene er oppmerksomhet og rekkefølge: avsenderidentifiseringsarbeidet før DMARC-håndheving er det eneste trinnet som krever vedvarende innsats, og det er det de fleste domener stopper opp foran.
Hvilken beskyttelse bør komme først? Håndhevet e-postautentisering, fordi e-postetterligning er angrepet vanlige virksomheter faktisk står overfor. HTTPS har du nesten helt sikkert; HSTS er en enlinjes oppfølging; DNSSEC til slutt, og bare via en leverandør som håndterer signering. Å klatre etasje for etasje slår det å starte fem prosjekter på én gang — det er nettopp poenget.
Sjekk hvor mange av de fem du har
Gapet mellom de 76.9% på etasje 1–2 og de 3.87% som fullførte, er ikke talent eller budsjett — det er en rekkefølge, og hvert trinn av den er gratis. Du kan sjekke privat og gratis, og se hvilke av de 34 kontrollene du består og hvordan du fikser dem du ikke består.
Sjekk domenet ditt → · De 6 stadiene av DMARC-modenhet → · DMARC-pilaren → · Kun aggregerte data. Data lagret og behandlet i EU.