Defaults.Exposed › Articles
Tilstanden for domenesikkerhet 2026
Published 2026-06-27
Tall per 2026-06-27 · metodikk v7. Dette er en gjentakende rapport; hver utgave måler den samme populasjonen på nytt slik at tallene kan følges over tid. Alle tall er aggregerte — vi publiserer aldri karakteren til en enkelt bedrift.
.comer fullt karaktersatt (129M domener) og er inkludert i totaltallene nedenfor.
Overskriften: de fleste av internetts domener stryker på grunnleggende sikkerhet
Vi målte 261,752,302 aktive domener på 34 sikkerhetstester — e-postautentisering (SPF, DKIM, DMARC), TLS og sertifikater, websikkerhetshoder og DNS (inkludert DNSSEC). Resultatet er tydelig:
- 86.3% får karakteren F — den laveste karakteren.
- Færre enn 0.02% oppnår A eller A+ — omtrent 1 av 4,700 domener.
- Bare omtrent 1 av 27 oppnår C eller bedre.
Dette handler ikke om noen få forsømte nettsteder. Det er internettets standardtilstand: beskyttelsen som hindrer at e-posten din forfalskes og at kundene dine villedes, er rett og slett ikke slått på for det overveldende flertallet av domener.
Karakterfordeling (262M domener)
| Karakter | Domener | Andel |
|---|---|---|
| A+ | 6,708 | 0.0% |
| A | 49,443 | 0.0% |
| B | 1,142,198 | 0.4% |
| C | 8,566,735 | 3.3% |
| D | 26,225,422 | 10.0% |
| F | 225,761,796 | 86.3% |
Det varierer mye fra land til land og etter TLD
Domenesikkerhet varierer betydelig fra land til land og etter domeneendelse. Etablerte nasjonale registre — særlig i Europa — beskytter bedriftene sine best, mens billige, høyvolumsbaserte generiske endelser som er populære for masseregistrering, gjør det dårligst. Men «best» er relativt: selv de sterkeste endelsene har fortsatt flertallet av domenene sine på F.
Disse rangeringene endres etter hvert som tellingen vokser, så vi holder dem oppdaterte i stedet for å fryse dem her:
Hva dette betyr for din bedrift
En strykkarakter er ikke en abstrakt poengsum. I klartekst betyr det vanligvis at ett eller flere av følgende gjelder for domenet ditt:
- E-posten din kan forfalskes. Uten håndhevet SPF og DMARC kan en kriminell sende e-post som ser ut til å komme nøyaktig fra deg — til dine kunder, ansatte og leverandører — og den lander i innboksen. Slik fungerer svindel med falske fakturaer og CEO-bedrageri.
- Din ekte e-post havner oftere i søppelpost. Google og Yahoo stoler i økende grad ikke på uautentiserte domener, så dine genuint sendte tilbud og fakturaer havner stille i spam.
- Du vil mislykkes i andres sikkerhetskontroller. Større kunder kjører en rask skanning før de skriver under. «Domenet er ikke beskyttet — kan etterligner» er nok til å miste avtalen.
- Nettstedet ditt kan skremme bort besøkende. Et manglende eller ødelagt sertifikat viser kundene en rød «Ikke sikker»-side.
Den oppmuntrende delen: de fleste av disse er gratis og raske å fikse — vanligvis noen få linjer i domenets innstillinger. Hindringen er nesten aldri kostnad; det er at ingen har fortalt eieren at det hadde betydning.
Slik målte vi
- 34 tester, eksternt observerbare — ingen tilgang til noens systemer kreves. (Full metodikk.)
- Bestått / ikke bestått / N/A. Der en test genuint ikke kan avgjøres, merkes den N/A og utelukkes — den teller aldri som en feil.
- Et reelt brudd er et reelt brudd. Et domene uten SPF/DMARC får dårlig karakter fordi det genuint kan forfalskes — ikke på grunn av vår tellemåte.
- Kun aggregert. Dette er befolkningsmønstre; et enkelt domenes karakter vises kun til den verifiserte eieren.
- Data lagres og behandles innenfor EU.
(En fremtidig utgave vil legge til andelen domener som ikke publiserer noen e-postforfalskelsesbeskyttelse i det hele tatt, når den per-test-gjennomgangen er fullført for hele populasjonen.)
Se hvor ditt eget domene befinner seg
Dette er gjennomsnitt. Domenet ditt kan være ett av de 0.02% som oppnår A — eller ett av de 86.3% som ikke gjør det. Du kan sjekke det privat og gratis, og se nøyaktig hvilke av de 34 testene du består og hvordan du fikser de du ikke består.