Defaults.Exposed › Отчёты
Немногие полностью защищённые: те 3,87%, кто дошёл до конца
Опубликовано 2026-07-03 · обновлено 2026-07-03
Данные по состоянию на 2026-06-29 · методология v7. Данные переписи, объединяющие проверки по доменам, охватывают 261 млн оценённых доменов. «Полностью защищённый» в этой статье означает полный, принудительно применяемый стек почтовой аутентификации: присутствует SPF, присутствует DKIM и политика DMARC установлена в
quarantineилиreject. Пирамида уязвимости учитывает пять базовых защит на домен — SPF, принудительный DMARC, DNSSEC, HTTPS, HSTS. Цифры пересечений здесь получены из объединения по доменам, чья зернистость дедупликации незначительно отличается от разбивки по политикам, приводимой на страницах DAMMM (27 640 987 против 27 639 358 доменов с принудительным применением) — каждая страница ссылается на свой источник, и эти два набора никогда не смешиваются. Все цифры агрегированы — мы никогда не публикуем оценку отдельного бизнеса.
Чем полностью защищённые домены отличаются: они доводят дело до конца
Лишь 3,87% из 261 млн оценённых доменов интернета — 10 092 481 из них — используют полный, принудительный стек почтовой защиты: SPF и DKIM на месте, DMARC на quarantine или reject. Самое интересное в этой группе — то, чем она не является. Это не клуб команд безопасности с большими бюджетами — каждый задействованный механизм представляет собой бесплатную настройку DNS или веб-сервера. Эти 3,87% не умнее всех остальных; они системны. Они отнеслись к защитам как к единому стеку, который нужно завершить, а не как к пяти отдельным проектам, которые нужно начать, и остальная часть этой статьи посвящена тому, как это выглядит в данных переписи.
Чтобы понять, насколько необычно доведение до конца, начнём с того, где находятся все остальные.
Пирамида уязвимости: пять защит, шесть этажей
Оцените каждый домен по пяти защитам-лучшим практикам — SPF, принудительный DMARC, DNSSEC, HTTPS, HSTS — по одному баллу за каждую, и интернет выстраивается в пирамиду (кривая уязвимости, рассматриваемая этаж за этажом). По состоянию на 2026-06-29:
| Этаж | Защиты на месте | Доля доменов | Домены |
|---|---|---|---|
| 0 | Нет — полностью открыт | 8,8% | 23 105 485 |
| 1 | Одна (обычно только HTTPS) | 37,2% | 97 206 153 |
| 2 | Две (как правило, HTTPS + SPF) | 39,7% | 103 527 371 |
| 3 | Три | 12,0% | 31 424 343 |
| 4 | Четыре | 2,1% | 5 575 826 |
| 5 | Все пять — полностью защищён | 0,09% | 247 054 |
Форма рассказывает историю раньше, чем любое отдельное число. 76,9% всех доменов — 201 млн — находятся на этажах 1 и 2, держа ровно те защиты, что появились по умолчанию, и ничего больше. HTTPS есть, потому что хостинги и CDN включили его автоматически; SPF есть, потому что руководство по подключению любого почтового провайдера начинается именно с него. Всё, что выше этажа 2, требует от владельца решения — и на каждом решении бо́льшая часть интернета останавливается. Этажи 4 и 5 вместе держат лишь 2,2% доменов.
Пирамида — это не рейтинг того, кому не всё равно. Это карта того, где заканчиваются настройки по умолчанию и начинается осознанность.
Воронка, по которой поднялись эти 3,87%
Проследите почтовую половину стека шаг за шагом — и повторится тот же паттерн: каждый этап отсеивает больше половины доменов, дошедших до предыдущего:
- 53,21% доменов публикуют SPF — шаг, который освещают все руководства.
- 24,89% публикуют вообще хоть какую-то запись DMARC.
- 10,59% применяют её принудительно (
quarantineилиreject). - 3,87% применяют её принудительно с полным стеком под ней — присутствуют и SPF, и DKIM, так что принудительное применение опирается на полную аутентификацию.
На этом последнем срезе стоит остановиться. Из примерно 28 млн доменов, применяющих DMARC принудительно, лишь 36,5% несут под политикой и SPF, и DKIM. Часть из остальных поступает совершенно правильно — домен, который не отправляет почту, должен быть на p=reject с голым -all в SPF и не нуждается в DKIM. Но в этом разрыве есть и домены с принудительным применением, чья аутентификация неполна, — это стек, построенный с крыши вниз. Эти 3,87% определяются противоположной привычкой: сначала фундамент, затем крыша, каждый слой, и лишь потом политика поверх.
Один только SPF покрывает 139 млн доменов и почти ни один из них не защищает — самая наглядная в переписи иллюстрация того, что даёт начать, не завершив.
Один стек, а не пять проектов
Вот привычка, которая выделяет эти 3,87%, и она организационная, а не техническая.
Большинство доменов накапливают защиты так, как подсказывает пирамида: по одной, каждая запущена своим отдельным поводом — предупреждением браузера, проблемой доставляемости, чек-листом соответствия — и каждая рассматривается как собственный маленький проект со своим «готово». «Готово» в этом режиме означает, что запись существует. Именно так интернет и приходит к 201 млн доменов на этажах 1–2: доступно пять зелёных галочек, собраны одна или две, путь окончен.
Полностью защищённые относятся к этим пяти как к единой системе с единым определением «готово»: атака больше не работает. Поддельная почта отклоняется, а не просто наблюдается; сессии нельзя понизить, потому что HSTS закреплён; ответы нельзя незаметно подменить там, где DNSSEC подписан. В модели зрелости внедрения DMARC это образ мышления Стадии 6 — защита как дисциплина, которая отслеживается и поддерживается, а не значок, заработанный однажды. Ничто в этом не требует экспертизы, которой недостаёт остальным 96%. Это требует доведения до конца — в правильном порядке, с проверкой, что каждый слой действительно держится, и с отношением к «настроено» как к середине пути, а не как к пункту назначения.
Вершина над ней: все пять вместе
Над полностью защищёнными по почте располагается гораздо меньшая популяция: те 247 054 доменов — 0,09% — что держат все пять защит одновременно, с DMARC, DNSSEC и HSTS, развёрнутыми вместе поверх SPF и HTTPS. Воротами служит DNSSEC: действителен лишь на 1,99% доменов, он самый редкий из пяти, поэтому верхний этаж пирамиды неизбежно крошечный. Если этаж 5 описывает ваши амбиции, порядок всё равно важен — сначала обеспечьте принудительную почтовую аутентификацию (она останавливает атаки, которые реально приходят ежедневно), затем закрепите транспорт с помощью HSTS, и лишь потом подпишите зону.
Как попасть в число этих 3,87%
Каждый шаг — это изменение конфигурации, и каждый из них бесплатен:
- Опубликуйте SPF с перечислением ваших реальных отправителей, заканчивая на
-all. (Исправить SPF →) - Включите DKIM в каждом сервисе, отправляющем от вашего имени, — у большинства провайдеров это переключатель. (Исправить DKIM →)
- Опубликуйте DMARC с отчётностью, наблюдайте, затем применяйте принудительно — сначала
p=noneплюсrua=, определите каждого легитимного отправителя, затем переходите кquarantineиreject. Это стена, которую большинство доменов так и не преодолевают, и это исследовательская работа, а не деньги. (Исправить DMARC →) - Затем веб-уровень: HSTS на вашем HTTPS-сайте и DNSSEC, если ваш DNS-провайдер управляет подписанием за вас.
Домен, который не отправляет почту, может полностью пропустить фазу наблюдения: SPF -all и p=reject уже сегодня, одно изменение DNS — и прямиком за стену.
Часто задаваемые вопросы
Как выглядит полностью защищённый домен? SPF и DKIM на месте и политика DMARC quarantine или reject поверх — полный, принудительный стек почтовой аутентификации. Этой планке соответствуют 10 092 481 доменов (3,87%). Самая строгая версия добавляет DNSSEC, HTTPS и HSTS: все пять вместе — это 0,09% пирамиды.
Сколько доменов имеют DMARC, DNSSEC и HSTS, развёрнутые вместе? Перепись публикует оценку по пяти защитам, а не каждую попарную кросс-таблицу, поэтому честный ответ — это границы: как минимум те 247 054 доменов, что держат все пять, имеют эти три вместе, а как максимум это могли бы иметь 2,2% доменов (этажи 4–5). В любом случае: заметно меньше одного из сорока.
Дорого ли обходится полный стек? Нет. SPF, DKIM, DMARC, HSTS и DNSSEC — всё это конфигурация: записи DNS и заголовки сервера, никаких лицензий. Реальные затраты — это внимание и последовательность: работа по определению отправителей перед принудительным применением DMARC — единственный шаг, требующий устойчивых усилий, и это тот шаг, перед которым застревает большинство доменов.
Какая защита должна идти первой? Принудительная почтовая аутентификация, потому что подделка почты — это атака, с которой реально сталкивается обычный бизнес. HTTPS у вас почти наверняка уже есть; HSTS — это однострочное дополнение; DNSSEC последним, и только через провайдера, который управляет подписанием. Подниматься этаж за этажом лучше, чем начинать пять проектов сразу — в этом, собственно, и суть.
Проверьте, сколько из пяти защит есть у вас
Разрыв между теми 76,9% на этажах 1–2 и теми 3,87%, кто дошёл до конца, — это не талант и не бюджет, а последовательность, и каждый её шаг бесплатен. Вы можете проверить конфиденциально и бесплатно и увидеть, какие из 34 проверок вы проходите и как исправить те, что не проходите.
Проверить ваш домен → · 6 стадий зрелости DMARC → · Основной раздел о DMARC → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.