Defaults.Exposed

Defaults.Exposed › Rapoarte

Cei puțini pe deplin protejați: 3.87% care au terminat

Publicat 2026-07-03 · actualizat 2026-07-03

Cifre valabile la 2026-06-29 · metodologie v7. Date de recensământ care corelează verificări pe domeniu pe 261 milioane de domenii evaluate. „Pe deplin protejat” înseamnă în acest articol stiva completă de autentificare a e-mailului, impusă: SPF prezent, DKIM prezent și o politică DMARC de quarantine sau reject. Piramida expunerii numără cinci protecții de bază pe domeniu — SPF, DMARC care impune politica, DNSSEC, HTTPS, HSTS. Cifrele de suprapunere de aici provin din corelarea pe domeniu, a cărei granularitate de deduplicare diferă marginal de numărătorile pe categorii de politici citate pe paginile DAMMM (27,640,987 față de 27,639,358 domenii care impun politica) — fiecare pagină își citează propria sursă, iar cele două nu sunt niciodată amestecate. Toate cifrele sunt agregate — nu publicăm niciodată nota unei anumite afaceri.

Ce fac diferit domeniile pe deplin protejate: termină

Doar 3.87% dintre cele 261 milioane de domenii evaluate ale internetului — 10,092,481 dintre ele — rulează stiva completă și impusă de protecție a e-mailului: SPF și DKIM instalate, DMARC la quarantine sau reject. Lucrul interesant despre acest grup este ceea ce nu este. Nu este un club de echipe de securitate cu bugete mai mari — fiecare control implicat este o setare gratuită de DNS sau de server web. Cei 3.87% nu sunt mai deștepți decât toți ceilalți; sunt sistematici. Au tratat protecțiile ca pe o singură stivă de terminat, nu ca pe cinci proiecte separate de început, iar restul acestui articol este despre cum arată asta în datele de recensământ.

Ca să vezi cât de neobișnuit este să termini, începe cu situația tuturor celorlalți.

Piramida expunerii: cinci protecții, șase etaje

Notează fiecare domeniu pe cinci protecții de bună practică — SPF, DMARC care impune politica, DNSSEC, HTTPS, HSTS — câte un punct fiecare, iar internetul se aranjează într-o piramidă (curba expunerii, privită etaj cu etaj). La data de 2026-06-29:

EtajProtecții instalatePondere din domeniiDomenii
0Niciuna — complet expus8.8%23,105,485
1Una (de obicei doar HTTPS)37.2%97,206,153
2Două (de regulă HTTPS + SPF)39.7%103,527,371
3Trei12.0%31,424,343
4Patru2.1%5,575,826
5Toate cinci — complet blocat0.09%247,054

Forma spune povestea înainte de orice cifră singulară. 76.9% din totalul domeniilor — 201 milioane — se află pe etajele 1 și 2, deținând exact protecțiile care au venit implicit și nimic mai mult. HTTPS este acolo pentru că gazdele și CDN-urile l-au activat automat; SPF este acolo pentru că ghidul de integrare al fiecărui furnizor de e-mail începe cu el. Tot ce este deasupra etajului 2 necesită ca un proprietar să decidă — iar la fiecare decizie, cea mai mare parte a internetului se oprește. Etajele 4 și 5 împreună dețin doar 2.2% dintre domenii.

Piramida nu este un clasament al celor cărora le pasă. Este o hartă a locului unde se termină setările implicite și începe intenționalitatea.

Pâlnia pe care au urcat-o cei 3.87%

Urmărește jumătatea de e-mail a stivei pas cu pas și același tipar se repetă — fiecare etapă pierde mai mult de jumătate dintre domeniile care au ajuns la cea anterioară:

Merită să ne oprim la acea ultimă tăietură. Dintre cele aproximativ 28 milioane de domenii care impun DMARC, doar 36.5% poartă atât SPF, cât și DKIM sub politică. Unele dintre celelalte fac exact lucrul corect — un domeniu care nu trimite e-mail ar trebui să fie la p=reject cu un simplu SPF -all și nu are nevoie de DKIM. Dar decalajul conține și domenii care impun politica, a căror autentificare este incompletă, adică stiva construită de la acoperiș în jos. Cei 3.87% sunt definiți de obiceiul opus: fundația înaintea acoperișului, fiecare strat, apoi politica deasupra.

Doar SPF acoperă 139 milioane de domenii și nu protejează aproape niciunul dintre ele — cea mai directă ilustrare a recensământului a ceea ce înseamnă să începi fără a termina.

O singură stivă, nu cinci proiecte

Iată obiceiul care îi separă pe cei 3.87%, și este organizatoric, nu tehnic.

Cele mai multe domenii acumulează protecții așa cum sugerează piramida: una câte una, fiecare declanșată de un impuls diferit — un avertisment de browser, o problemă de livrabilitate, o listă de conformitate — fiecare tratată ca propriul mic proiect cu propriul „gata”. Gata, în acel mod, înseamnă înregistrarea există. Așa ajunge internetul cu 201 milioane de domenii pe etajele 1–2: cinci bife verzi disponibile, una sau două bifate, călătorie încheiată.

Cei pe deplin protejați tratează cele cinci ca pe un singur sistem cu o singură definiție a lui „gata”: atacul nu mai funcționează. E-mailul falsificat este respins, nu doar observat; sesiunile nu pot fi degradate, pentru că HSTS este fixat; răspunsurile nu pot fi schimbate pe ascuns, acolo unde DNSSEC este semnat. În Modelul de maturitate al adoptării DMARC, aceasta este mentalitatea Etapei 6 — protecția ca disciplină care este monitorizată și menținută, nu o insignă câștigată odată. Nimic din toate acestea nu necesită expertiză pe care ceilalți 96% să nu o aibă. Necesită să termini — în ordinea corectă, verificând că fiecare strat chiar rezistă și tratând „configurat” ca punct de mijloc, nu ca destinație.

Vârful de deasupra: toate cinci împreună

Deasupra celor pe deplin protejați pe e-mail se află o populație mult mai mică: cele 247,054 domenii — 0.09% — care dețin toate cele cinci protecții deodată, DMARC, DNSSEC și HSTS implementate împreună, peste SPF și HTTPS. Poarta este DNSSEC: valid doar pe 1.99% dintre domenii, este cea mai rară dintre cele cinci, așa că etajul de sus al piramidei este în mod necesar minuscul. Dacă etajul 5 îți descrie ambițiile, ordinea încă contează — impune mai întâi autentificarea e-mailului (oprește atacurile care sosesc efectiv zilnic), apoi fixează transportul cu HSTS, apoi semnează zona.

Cum să te alături celor 3.87%

Fiecare pas este o modificare de configurare, și fiecare este gratuit:

  1. Publică SPF listând expeditorii tăi reali, terminând cu -all. (Repară SPF →)
  2. Activează DKIM cu fiecare serviciu care trimite în numele tău — majoritatea furnizorilor îl fac un simplu comutator. (Repară DKIM →)
  3. Publică DMARC cu raportare, observă, apoi impune — mai întâi p=none plus rua=, identifică fiecare expeditor legitim, apoi treci la quarantine și reject. Acesta este zidul pe care majoritatea domeniilor nu îl urcă niciodată, și este muncă de investigație, nu bani. (Repară DMARC →)
  4. Apoi nivelul web: HSTS pe site-ul tău HTTPS, și DNSSEC dacă furnizorul tău de DNS gestionează semnarea în locul tău.

Un domeniu care nu trimite e-mail poate sări complet peste faza de observare: SPF -all și p=reject chiar azi, o singură modificare de DNS, direct dincolo de zid.

Întrebări frecvente

Cum arată un domeniu pe deplin protejat? SPF și DKIM instalate și o politică DMARC de quarantine sau reject deasupra — stiva completă de autentificare a e-mailului, impusă. 10,092,481 de domenii (3.87%) ating acel prag. Versiunea cea mai strictă adaugă DNSSEC, HTTPS și HSTS: toate cinci împreună reprezintă 0.09% din piramidă.

Câte domenii au DMARC, DNSSEC și HSTS implementate împreună? Recensământul publică scorul celor cinci protecții mai degrabă decât fiecare tabel încrucișat pe perechi, așa că răspunsul onest este o limită: cel puțin cele 247,054 domenii care dețin toate cinci le au pe acestea trei împreună, și cel mult 2.2% dintre domenii (etajele 4–5) le-ar putea avea. Oricum ar fi: mult sub unu din patruzeci.

Este stiva completă costisitoare? Nu. SPF, DKIM, DMARC, HSTS și DNSSEC sunt toate configurare — înregistrări DNS și anteturi de server, fără licențe. Costurile reale sunt atenția și succesiunea: munca de identificare a expeditorilor înaintea impunerii DMARC este singurul pas care necesită efort susținut, și este cel în fața căruia se blochează majoritatea domeniilor.

Care protecție ar trebui să fie prima? Autentificarea e-mailului impusă, pentru că uzurparea identității prin e-mail este atacul cu care se confruntă efectiv afacerile obișnuite. HTTPS aproape sigur îl ai deja; HSTS este o continuare de o singură linie; DNSSEC la final, și doar printr-un furnizor care gestionează semnarea. Urcatul etaj cu etaj bate începerea a cinci proiecte deodată — cam asta e ideea.

Verifică câte dintre cele cinci deții

Decalajul dintre cei 76.9% de pe etajele 1–2 și cei 3.87% care au terminat nu este talent sau buget — este o succesiune, și fiecare pas al ei este gratuit. Poți verifica privat și gratuit și poți vedea care dintre cele 34 de verificări le treci și cum să le repari pe cele pe care nu le treci.

Verifică-ți domeniul → · Cele 6 etape ale maturității DMARC → · Pilonul DMARC → · Doar date agregate. Datele sunt stocate și procesate în UE.