Defaults.Exposed

Defaults.Exposed › Raporty

Nieliczni w pełni chronieni: 3,87%, którzy dokończyli

Opublikowano 2026-07-03 · zaktualizowano 2026-07-03

Dane na dzień 2026-06-29 · metodologia v7. Dane spisu łączą sprawdzenia dla poszczególnych domen w ramach 261 milionów ocenionych domen. „W pełni chroniona” w tym artykule oznacza kompletny, egzekwowany stos uwierzytelniania poczty: obecny SPF, obecny DKIM oraz polityka DMARC ustawiona na quarantine lub reject. Piramida ekspozycji liczy pięć podstawowych zabezpieczeń na domenę — SPF, egzekwowany DMARC, DNSSEC, HTTPS, HSTS. Podane tu wartości nakładania się pochodzą ze złączenia na poziomie domeny, którego ziarno deduplikacji różni się nieznacznie od liczb z podziału według polityki cytowanych na stronach DAMMM (27 640 987 wobec 27 639 358 domen egzekwujących) — każda strona podaje własne źródło, a te dwa nigdy nie są mieszane. Wszystkie liczby są zbiorcze — nigdy nie publikujemy oceny pojedynczej firmy.

Co domeny w pełni chronione robią inaczej: kończą

Zaledwie 3,87% z 261 milionów ocenionych domen internetu — 10 092 481 z nich — korzysta z kompletnego, egzekwowanego stosu ochrony poczty: SPF i DKIM na miejscu, DMARC na poziomie quarantine lub reject. Ciekawe w tej grupie jest to, czym ona nie jest. Nie jest klubem zespołów bezpieczeństwa z większymi budżetami — każdy z zaangażowanych mechanizmów to darmowe ustawienie DNS lub serwera WWW. Te 3,87% nie są mądrzejsze od reszty; są systematyczne. Potraktowały zabezpieczenia jako jeden stos do dokończenia, a nie pięć osobnych projektów do rozpoczęcia — i reszta tego artykułu opisuje, jak to wygląda w danych spisu.

Aby zobaczyć, jak nietypowe jest kończenie, zacznij od tego, gdzie stoi cała reszta.

Piramida ekspozycji: pięć zabezpieczeń, sześć pięter

Oceń każdą domenę na pięciu zabezpieczeniach zgodnych z dobrymi praktykami — SPF, egzekwowany DMARC, DNSSEC, HTTPS, HSTS — po jednym punkcie za każde, a internet układa się w piramidę (krzywa ekspozycji, oglądana piętro po piętrze). Na dzień 2026-06-29:

PiętroZabezpieczenia na miejscuUdział domenDomeny
0Brak — w pełni odsłonięte8,8%23 105 485
1Jedno (zwykle samo HTTPS)37,2%97 206 153
2Dwa (zazwyczaj HTTPS + SPF)39,7%103 527 371
3Trzy12,0%31 424 343
4Cztery2,1%5 575 826
5Wszystkie pięć — w pełni zabezpieczone0,09%247 054

Sam kształt opowiada historię, zanim zrobi to jakakolwiek pojedyncza liczba. 76,9% wszystkich domen — 201 milionów — znajduje się na piętrach 1 i 2, mając dokładnie te zabezpieczenia, które pojawiły się domyślnie, i nic więcej. HTTPS jest tam, bo dostawcy hostingu i sieci CDN włączyli je automatycznie; SPF jest tam, bo przewodnik wdrożeniowy każdego dostawcy poczty zaczyna się właśnie od niego. Wszystko powyżej piętra 2 wymaga, by właściciel podjął decyzję — a przy każdej decyzji większość internetu się zatrzymuje. Piętra 4 i 5 razem obejmują zaledwie 2,2% domen.

Piramida nie jest rankingiem tego, komu zależy. Jest mapą tego, gdzie kończą się ustawienia domyślne, a zaczyna świadome działanie.

Lejek, po którym wspięło się 3,87%

Prześledź pocztową połowę stosu krok po kroku, a ten sam wzorzec się powtarza — każdy etap odcina ponad połowę domen, które dotarły do poprzedniego:

Przy tym ostatnim odcięciu warto się zatrzymać. Spośród około 28 milionów domen, które egzekwują DMARC, jedynie 36,5% ma zarówno SPF, jak i DKIM pod polityką. Część pozostałych robi dokładnie to, co należy — domena, która nie wysyła poczty, powinna być na p=reject z prostym SPF -all i nie potrzebuje DKIM. Ale w tej luce znajdują się też domeny egzekwujące, których uwierzytelnianie jest niekompletne — czyli stos zbudowany od dachu w dół. Te 3,87% definiuje przeciwny nawyk: fundament przed dachem, każda warstwa, a dopiero potem polityka na wierzchu.

Sam SPF obejmuje 139 milionów domen i prawie żadnej z nich nie chroni — najdobitniejsza ilustracja spisu tego, co daje rozpoczęcie bez dokończenia.

Jeden stos, a nie pięć projektów

Oto nawyk, który wyróżnia te 3,87%, i jest on organizacyjny, a nie techniczny.

Większość domen gromadzi zabezpieczenia tak, jak sugeruje piramida: po jednym, każde wywołane innym bodźcem — ostrzeżeniem przeglądarki, problemem z dostarczalnością, listą kontrolną zgodności — a każde traktowane jako własny, mały projekt z własnym „gotowe”. „Gotowe” w tym trybie oznacza rekord istnieje. Tak właśnie internet dochodzi do 201 milionów domen na piętrach 1–2: pięć zielonych ptaszków dostępnych, jeden lub dwa zebrane, podróż zakończona.

Domeny w pełni chronione traktują tę piątkę jako jeden system z jedną definicją ukończenia: atak przestaje działać. Sfałszowana poczta jest odrzucana, a nie tylko obserwowana; sesji nie da się zdegradować, bo HSTS jest przypięty; odpowiedzi nie da się po cichu podmienić tam, gdzie DNSSEC jest podpisany. W modelu dojrzałości wdrożenia DMARC to sposób myślenia z Etapu 6 — ochrona jako dyscyplina, która jest monitorowana i utrzymywana, a nie odznaka zdobyta raz. Nic w tym nie wymaga wiedzy specjalistycznej, której brakuje pozostałym 96%. Wymaga dokończenia — we właściwej kolejności, sprawdzania, że każda warstwa faktycznie się trzyma, i traktowania „skonfigurowane” jako punktu pośredniego, a nie celu.

Szczyt powyżej: wszystkie pięć razem

Ponad domenami w pełni chronionymi na poziomie poczty znajduje się znacznie mniejsza populacja: 247 054 domen — 0,09% — które mają wszystkie pięć zabezpieczeń naraz, z DMARC, DNSSEC i HSTS wdrożonymi razem na wierzchu SPF i HTTPS. Bramą jest DNSSEC: ważny na zaledwie 1,99% domen, jest najrzadszym z tej piątki, więc najwyższe piętro piramidy z konieczności jest maleńkie. Jeśli piętro 5 opisuje twoje ambicje, kolejność wciąż ma znaczenie — najpierw egzekwuj uwierzytelnianie poczty (to powstrzymuje ataki, które faktycznie przychodzą codziennie), potem przypnij transport za pomocą HSTS, a na końcu podpisz strefę.

Jak dołączyć do 3,87%

Każdy krok to zmiana konfiguracji i każdy jest darmowy:

  1. Opublikuj SPF wymieniający twoich rzeczywistych nadawców, zakończony -all. (Napraw SPF →)
  2. Włącz DKIM w każdej usłudze, która wysyła w twoim imieniu — u większości dostawców to przełącznik. (Napraw DKIM →)
  3. Opublikuj DMARC z raportowaniem, obserwuj, a potem egzekwuj — najpierw p=none plus rua=, zidentyfikuj każdego legalnego nadawcę, a następnie przejdź na quarantine i reject. To mur, na który większość domen nigdy się nie wspina, i jest to praca dochodzeniowa, a nie kwestia pieniędzy. (Napraw DMARC →)
  4. Następnie warstwa WWW: HSTS na twojej witrynie HTTPS oraz DNSSEC, jeśli twój dostawca DNS zarządza podpisywaniem za ciebie.

Domena, która nie wysyła poczty, może całkowicie pominąć fazę obserwacji: SPF -all i p=reject już dziś, jedna zmiana DNS, prosto za mur.

Najczęściej zadawane pytania

Jak wygląda domena w pełni chroniona? SPF i DKIM na miejscu oraz polityka DMARC quarantine lub reject na wierzchu — kompletny, egzekwowany stos uwierzytelniania poczty. 10 092 481 domen (3,87%) spełnia ten próg. Najostrzejsza wersja dodaje DNSSEC, HTTPS i HSTS: wszystkie pięć razem to 0,09% piramidy.

Ile domen ma DMARC, DNSSEC i HSTS wdrożone razem? Spis publikuje wynik pięciu zabezpieczeń, a nie każdą tabelę krzyżową parami, więc uczciwą odpowiedzią jest przedział: co najmniej te 247 054 domen mających wszystkie pięć ma te trzy razem, a co najwyżej 2,2% domen (piętra 4–5) mogłoby je mieć. Tak czy inaczej: znacznie mniej niż jedna na czterdzieści.

Czy pełny stos jest kosztowny? Nie. SPF, DKIM, DMARC, HSTS i DNSSEC to wszystko konfiguracja — rekordy DNS i nagłówki serwera, żadnych licencji. Prawdziwym kosztem są uwaga i kolejność: praca nad identyfikacją nadawców przed egzekwowaniem DMARC to jedyny krok wymagający trwałego wysiłku i to właśnie przed nim większość domen się zatrzymuje.

Które zabezpieczenie powinno być pierwsze? Egzekwowane uwierzytelnianie poczty, ponieważ podszywanie się pod pocztę to atak, z którym zwykłe firmy faktycznie się mierzą. HTTPS niemal na pewno już masz; HSTS to jednolinijkowa kontynuacja; DNSSEC na końcu i tylko przez dostawcę, który zarządza podpisywaniem. Wspinanie się piętro po piętrze jest lepsze niż rozpoczynanie pięciu projektów naraz — o to właśnie chodzi.

Sprawdź, ile z tej piątki masz

Przepaść między 76,9% na piętrach 1–2 a 3,87%, którzy dokończyli, to nie talent ani budżet — to kolejność, a każdy jej krok jest darmowy. Możesz sprawdzić prywatnie i za darmo, zobaczyć, które z 34 sprawdzeń przechodzisz, a które nie i jak je naprawić.

Sprawdź swoją domenę → · 6 etapów dojrzałości DMARC → · Filar DMARC → · Wyłącznie dane zbiorcze. Dane przechowywane i przetwarzane w UE.