Defaults.Exposed

Defaults.ExposedИсправленияGuides

Анкета по безопасности от клиента спрашивает про аутентификацию почты — ответьте на неё (и закройте пробелы) за один вечер (2026)

Опубликовано 2026-07-08

Цифры по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи по 261 млн оценённых доменов — мы никогда не публикуем результаты отдельного домена. См. как мы ставим оценки.

Ваш клиент спрашивает потому, что европейские правила безопасности цепочек поставок теперь обязывают его проверять своих поставщиков. У этих вопросов есть двухминутная отправная точка: бесплатная проверка оценивает ровно то, о чём они спрашивают. Лишь у 7,4% доменов аутентификация почты полностью выровнена и приведена в действие, по данным переписи Defaults.Exposed, охватившей 261 086 232 доменов (по состоянию на 2026-06-29), — большинство поставщиков тоже пока не могут ответить «да».

Вот план на вечер: запустить бесплатную проверку, прочитать одностраничный отчёт с оценками, честно ответить на то, что уже правда, и закрыть бесплатные быстрые победы в тот же день. Для всего более глубокого датированный отчёт плюс короткая записка о плане устранения — приемлемый промежуточный ответ, и он лучше, чем ничем не подкреплённое «да».

Почему наш крупнейший клиент вдруг спрашивает про безопасность нашей почты?

Ничего личного. Если ваш клиент подпадает под NIS2 — директиву ЕС о сетевой и информационной безопасности, — статья 21(2)(d) обязывает его управлять безопасностью своей цепочки поставок, а Имплементационный регламент Комиссии (ЕС) 2024/2690 конкретизирует меры, прямо называя безопасность электронной почты. Поэтому отдел закупок рассылает анкету каждому поставщику; сами вы можете и не подпадать под NIS2, но именно так обязанность спускается каскадом до вас. Срок и последствие — остаться в списке одобренных поставщиков — существуют потому, что ваш клиент должен показать регулятору, что провёл проверку. (Мы разобрали, что NIS2 на самом деле говорит об аутентификации почты.) Страховщики теперь задают те же вопросы — если и ваша форма продления страховки начала спрашивать, вот страховая версия этого вечера.

Что на самом деле означают эти вопросы?

Раздел о безопасности почты в типичной анкете для поставщиков — это четыре вопроса, спрятанные за аббревиатурами. Переведём их один раз, а дальше обойдёмся без них.

Что спрашивает анкетаЧто это значит простыми словамиКак на это отвечает отчёт проверки
«Применяете ли вы политику DMARC?» (DMARC — Domain-based Message Authentication, Reporting and Conformance)Сказали ли вы почтовым серверам мира отклонять письма, подделывающие ваш домен? Строка, на которой проваливается большинство поставщиков: лишь у 7,4% из 261 086 232 оценённых доменов это выровнено и приведено в действие (перепись по состоянию на 2026-06-29).Показывает и оценивает вашу политику. «Приведена в действие» означает reject или quarantine; «только наблюдение» пока ничего не блокирует — скажите честно, какой у вас вариант.
«Настроен ли SPF с ограничительной политикой?» (SPF — Sender Policy Framework)Опубликовали ли вы список серверов, которым разрешено отправлять почту от имени вашей компании, — и заканчивается ли он твёрдо («больше никто») или пожатием плеч («и, может быть, кто-то ещё»)?Показывает, существует ли список, действителен ли он и заканчивается ли твёрдо или мягко.
«Подписываются ли исходящие письма цифровой подписью (DKIM)?» (DKIM — DomainKeys Identified Mail)Несёт ли ваша почта защищённую от подмены подпись, доказывающую, что письмо пришло с вашего домена, — от вашего имени, а не от стандартного имени провайдера?Показывает, существует ли подпись от имени вашего домена — ловушка с настройками провайдера по умолчанию — это самый частый пробел, который находит проверка.
«Отслеживаете ли вы подделку вашего домена?»Если бы кто-то отправил поддельное письмо от вашего имени — узнали бы вы об этом, или первым сигналом стал бы рассерженный звонок?Показывает, включён ли адрес для отчётов, чтобы попытки выдать себя за вас доходили до вас.

На каждый из этих вопросов отвечают публичные настройки вашего домена — без аудита, без агентства, без доступа к вашим системам. Поэтому план на вечер и работает. Эти четыре — лишь почтовые строки более длинного списка: статья что проверяют на вашем домене анкеты киберстраховок и клиентов сводит в таблицу каждый проверяемый пункт с долей проходящих его по всему интернету. Эта страница — про ваш вечер: что отвечать и что исправлять в первую очередь.

Как ответить к сроку? План на один вечер

  1. Запустите бесплатную проверку на defaults.exposed — две минуты, прежде чем кто-либо что-то тронет. Она читает публичные настройки вашего домена и оценивает ровно четыре области выше. Без регистрации, без доступа к вашей почте.
  2. Прочитайте отчёт с оценками. Одна страница, простой язык, дата — каждая оценка соответствует вопросу анкеты, так что вы знаете свои настоящие ответы, а не гадаете.
  3. Ответьте на то, что уже правда. Там, где отчёт показывает зачёт, отвечайте «да» и объясняйте почему («подтверждено независимой проверкой», с датой).
  4. Закройте бесплатные быстрые победы в тот же день. Типичные пробелы — это настройки, а не покупки: список отправителей с мягким окончанием (исправление SPF), правило против подделки писем, которое отсутствует или застряло в режиме наблюдения (исправление DMARC), подпись со стандартным именем провайдера. Всё бесплатно, в основном по одной DNS-записи на каждое — перешлите страницу с исправлением тому, кто управляет вашим доменом, и несколько ответов «нет» станут «да» ещё до отправки формы.
  5. Для всего более глубокого отправьте датированный отчёт с запиской о плане устранения. Правильный переход к полностью приведённой в действие политике занимает недели наблюдения — никогда не заявляйте, что это сделано, если это не так. «Независимая проверка приложена; внедрение защиты идёт, цель — сентябрь» — приемлемый промежуточный ответ для любого компетентного отдела закупок. Ложное «да» — нет: отделы закупок перепроверяют, часто именно такой проверкой.

Может ли эта анкета сыграть нам на руку?

Да — из-за того, что присылают в ответ все остальные. Большинство поставщиков отвечают голым «да» без чего-либо за ним, тогда как лишь 7,4% из 261 086 232 оценённых доменов реально имеют ту выровненную и приведённую в действие защиту, о которой спрашивают (перепись по состоянию на 2026-06-29). Датированный, независимо оценённый отчёт — даже показывающий пробел и дату его устранения — бьёт неподкреплённое «да», потому что первое проверяемо, а второе — надежда. Вас не просят быть идеальными; вас просят быть проверяемыми. Немногие из ваших конкурентов в том списке такими будут.

А если вас на самом деле гложет та история о мошенничестве со счетами, услышанная на деловой встрече, — те же настройки, та же двухминутная проверка.

Часто задаваемые вопросы

Что делать, если я не успею исправить всё к сроку? Отправьте то, что правда: датированный отчёт, что вы исправили на этой неделе и датированный план на остальное. Проверяющие цепочку поставок по NIS2 оценивают, управляют ли поставщики риском, а не безупречны ли они — отчёт с оценками и запиской о плане устранения и есть управление риском, в письменном виде. Проверку проваливают молчание или заявление, не выдерживающее перепроверки.

Может ли этим заняться мой ИТ-подрядчик? Бесплатными настройками — да: список отправителей, ваша собственная подпись и правило против подделки писем — рутинная работа с DNS, и страницы с исправлениями выше написаны именно для такой передачи. Что подрядчики обоснованно считают вне своей зоны — это уровень суждений: какую политику включать, когда безопасно ужесточать, что говорить клиенту тем временем. Отчёт с оценками превращает эти решения в документ, чтобы никто из вас не импровизировал.

Они правда исключат нас из поставщиков? За пустой ответ или пойманное ложное заявление — со временем да; у клиента есть регулятор, перед которым надо отчитываться. За честный пробел с датой устранения — крайне маловероятно: среди всех 261 086 232 оценённых доменов лишь 10,59% применяют ту политику против подделки, о которой спрашивают эти анкеты (перепись по состоянию на 2026-06-29). Честность с планом оставляет вас в списке.

Мы не подпадаем под NIS2 — можно ли проигнорировать анкету? Обязанность лежит на вашем клиенте, и он исполняет её, выбирая проверяемых поставщиков. Простор, чтобы выделиться, огромен: лишь у 7,4% из всех 261 086 232 оценённых доменов аутентификация почты выровнена и приведена в действие (перепись по состоянию на 2026-06-29). Один вечер ставит вас впереди почти каждого другого имени в том списке поставщиков.

Перешлите отчёт своему ИТ-специалисту

Не перепечатывайте ничего из этого. Запустите бесплатную проверку, затем перешлите две вещи тому, кто присматривает за вашим доменом: отчёт с оценками и эту статью. Отчёт говорит, какие именно настройки менять; страницы с исправлениями дают шаги. Когда исправленный отчёт вернётся, ответы на анкету напишутся сами — оценка за оценкой. Затем сохраните его: следующий клиент спросит те же четыре вещи, ваше продление страховки уже спрашивает, а датированный отчёт, который можно приложить за пять минут, — это разница между одним вечером и авралом.

Проверить свой домен → · Что анкеты проверяют на вашем домене → · Та история о мошенничестве со счетами → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.