Defaults.Exposed › Исправления › Guides
Анкета по безопасности от клиента спрашивает про аутентификацию почты — ответьте на неё (и закройте пробелы) за один вечер (2026)
Опубликовано 2026-07-08
Цифры по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи по 261 млн оценённых доменов — мы никогда не публикуем результаты отдельного домена. См. как мы ставим оценки.
Ваш клиент спрашивает потому, что европейские правила безопасности цепочек поставок теперь обязывают его проверять своих поставщиков. У этих вопросов есть двухминутная отправная точка: бесплатная проверка оценивает ровно то, о чём они спрашивают. Лишь у 7,4% доменов аутентификация почты полностью выровнена и приведена в действие, по данным переписи Defaults.Exposed, охватившей 261 086 232 доменов (по состоянию на 2026-06-29), — большинство поставщиков тоже пока не могут ответить «да».
Вот план на вечер: запустить бесплатную проверку, прочитать одностраничный отчёт с оценками, честно ответить на то, что уже правда, и закрыть бесплатные быстрые победы в тот же день. Для всего более глубокого датированный отчёт плюс короткая записка о плане устранения — приемлемый промежуточный ответ, и он лучше, чем ничем не подкреплённое «да».
Почему наш крупнейший клиент вдруг спрашивает про безопасность нашей почты?
Ничего личного. Если ваш клиент подпадает под NIS2 — директиву ЕС о сетевой и информационной безопасности, — статья 21(2)(d) обязывает его управлять безопасностью своей цепочки поставок, а Имплементационный регламент Комиссии (ЕС) 2024/2690 конкретизирует меры, прямо называя безопасность электронной почты. Поэтому отдел закупок рассылает анкету каждому поставщику; сами вы можете и не подпадать под NIS2, но именно так обязанность спускается каскадом до вас. Срок и последствие — остаться в списке одобренных поставщиков — существуют потому, что ваш клиент должен показать регулятору, что провёл проверку. (Мы разобрали, что NIS2 на самом деле говорит об аутентификации почты.) Страховщики теперь задают те же вопросы — если и ваша форма продления страховки начала спрашивать, вот страховая версия этого вечера.
Что на самом деле означают эти вопросы?
Раздел о безопасности почты в типичной анкете для поставщиков — это четыре вопроса, спрятанные за аббревиатурами. Переведём их один раз, а дальше обойдёмся без них.
| Что спрашивает анкета | Что это значит простыми словами | Как на это отвечает отчёт проверки |
|---|---|---|
| «Применяете ли вы политику DMARC?» (DMARC — Domain-based Message Authentication, Reporting and Conformance) | Сказали ли вы почтовым серверам мира отклонять письма, подделывающие ваш домен? Строка, на которой проваливается большинство поставщиков: лишь у 7,4% из 261 086 232 оценённых доменов это выровнено и приведено в действие (перепись по состоянию на 2026-06-29). | Показывает и оценивает вашу политику. «Приведена в действие» означает reject или quarantine; «только наблюдение» пока ничего не блокирует — скажите честно, какой у вас вариант. |
| «Настроен ли SPF с ограничительной политикой?» (SPF — Sender Policy Framework) | Опубликовали ли вы список серверов, которым разрешено отправлять почту от имени вашей компании, — и заканчивается ли он твёрдо («больше никто») или пожатием плеч («и, может быть, кто-то ещё»)? | Показывает, существует ли список, действителен ли он и заканчивается ли твёрдо или мягко. |
| «Подписываются ли исходящие письма цифровой подписью (DKIM)?» (DKIM — DomainKeys Identified Mail) | Несёт ли ваша почта защищённую от подмены подпись, доказывающую, что письмо пришло с вашего домена, — от вашего имени, а не от стандартного имени провайдера? | Показывает, существует ли подпись от имени вашего домена — ловушка с настройками провайдера по умолчанию — это самый частый пробел, который находит проверка. |
| «Отслеживаете ли вы подделку вашего домена?» | Если бы кто-то отправил поддельное письмо от вашего имени — узнали бы вы об этом, или первым сигналом стал бы рассерженный звонок? | Показывает, включён ли адрес для отчётов, чтобы попытки выдать себя за вас доходили до вас. |
На каждый из этих вопросов отвечают публичные настройки вашего домена — без аудита, без агентства, без доступа к вашим системам. Поэтому план на вечер и работает. Эти четыре — лишь почтовые строки более длинного списка: статья что проверяют на вашем домене анкеты киберстраховок и клиентов сводит в таблицу каждый проверяемый пункт с долей проходящих его по всему интернету. Эта страница — про ваш вечер: что отвечать и что исправлять в первую очередь.
Как ответить к сроку? План на один вечер
- Запустите бесплатную проверку на defaults.exposed — две минуты, прежде чем кто-либо что-то тронет. Она читает публичные настройки вашего домена и оценивает ровно четыре области выше. Без регистрации, без доступа к вашей почте.
- Прочитайте отчёт с оценками. Одна страница, простой язык, дата — каждая оценка соответствует вопросу анкеты, так что вы знаете свои настоящие ответы, а не гадаете.
- Ответьте на то, что уже правда. Там, где отчёт показывает зачёт, отвечайте «да» и объясняйте почему («подтверждено независимой проверкой», с датой).
- Закройте бесплатные быстрые победы в тот же день. Типичные пробелы — это настройки, а не покупки: список отправителей с мягким окончанием (исправление SPF), правило против подделки писем, которое отсутствует или застряло в режиме наблюдения (исправление DMARC), подпись со стандартным именем провайдера. Всё бесплатно, в основном по одной DNS-записи на каждое — перешлите страницу с исправлением тому, кто управляет вашим доменом, и несколько ответов «нет» станут «да» ещё до отправки формы.
- Для всего более глубокого отправьте датированный отчёт с запиской о плане устранения. Правильный переход к полностью приведённой в действие политике занимает недели наблюдения — никогда не заявляйте, что это сделано, если это не так. «Независимая проверка приложена; внедрение защиты идёт, цель — сентябрь» — приемлемый промежуточный ответ для любого компетентного отдела закупок. Ложное «да» — нет: отделы закупок перепроверяют, часто именно такой проверкой.
Может ли эта анкета сыграть нам на руку?
Да — из-за того, что присылают в ответ все остальные. Большинство поставщиков отвечают голым «да» без чего-либо за ним, тогда как лишь 7,4% из 261 086 232 оценённых доменов реально имеют ту выровненную и приведённую в действие защиту, о которой спрашивают (перепись по состоянию на 2026-06-29). Датированный, независимо оценённый отчёт — даже показывающий пробел и дату его устранения — бьёт неподкреплённое «да», потому что первое проверяемо, а второе — надежда. Вас не просят быть идеальными; вас просят быть проверяемыми. Немногие из ваших конкурентов в том списке такими будут.
А если вас на самом деле гложет та история о мошенничестве со счетами, услышанная на деловой встрече, — те же настройки, та же двухминутная проверка.
Часто задаваемые вопросы
Что делать, если я не успею исправить всё к сроку? Отправьте то, что правда: датированный отчёт, что вы исправили на этой неделе и датированный план на остальное. Проверяющие цепочку поставок по NIS2 оценивают, управляют ли поставщики риском, а не безупречны ли они — отчёт с оценками и запиской о плане устранения и есть управление риском, в письменном виде. Проверку проваливают молчание или заявление, не выдерживающее перепроверки.
Может ли этим заняться мой ИТ-подрядчик? Бесплатными настройками — да: список отправителей, ваша собственная подпись и правило против подделки писем — рутинная работа с DNS, и страницы с исправлениями выше написаны именно для такой передачи. Что подрядчики обоснованно считают вне своей зоны — это уровень суждений: какую политику включать, когда безопасно ужесточать, что говорить клиенту тем временем. Отчёт с оценками превращает эти решения в документ, чтобы никто из вас не импровизировал.
Они правда исключат нас из поставщиков? За пустой ответ или пойманное ложное заявление — со временем да; у клиента есть регулятор, перед которым надо отчитываться. За честный пробел с датой устранения — крайне маловероятно: среди всех 261 086 232 оценённых доменов лишь 10,59% применяют ту политику против подделки, о которой спрашивают эти анкеты (перепись по состоянию на 2026-06-29). Честность с планом оставляет вас в списке.
Мы не подпадаем под NIS2 — можно ли проигнорировать анкету? Обязанность лежит на вашем клиенте, и он исполняет её, выбирая проверяемых поставщиков. Простор, чтобы выделиться, огромен: лишь у 7,4% из всех 261 086 232 оценённых доменов аутентификация почты выровнена и приведена в действие (перепись по состоянию на 2026-06-29). Один вечер ставит вас впереди почти каждого другого имени в том списке поставщиков.
Перешлите отчёт своему ИТ-специалисту
Не перепечатывайте ничего из этого. Запустите бесплатную проверку, затем перешлите две вещи тому, кто присматривает за вашим доменом: отчёт с оценками и эту статью. Отчёт говорит, какие именно настройки менять; страницы с исправлениями дают шаги. Когда исправленный отчёт вернётся, ответы на анкету напишутся сами — оценка за оценкой. Затем сохраните его: следующий клиент спросит те же четыре вещи, ваше продление страховки уже спрашивает, а датированный отчёт, который можно приложить за пять минут, — это разница между одним вечером и авралом.
Проверить свой домен → · Что анкеты проверяют на вашем домене → · Та история о мошенничестве со счетами → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.