Defaults.Exposed

Defaults.Exposed › Reporty

Tí plne chránení: 3.87 % tých, čo to dokončili

Publikované 2026-07-03 · aktualizované 2026-07-03

Údaje k dátumu 2026-06-29 · metodika v7. Údaje z cenzu spájajúce kontroly na doménu naprieč 261 miliónmi ohodnotených domén. „Plne chránená“ znamená v tomto článku kompletný, vynútený stack e-mailovej autentifikácie: prítomné SPF, prítomné DKIM a politika DMARC typu quarantine alebo reject. Pyramída expozície počíta päť základných ochrán na doménu — SPF, vynucujúce DMARC, DNSSEC, HTTPS, HSTS. Údaje o prekryve tu vychádzajú zo spojenia na úrovni domény, ktorého zrnitosť deduplikácie sa okrajovo líši od počtov rozdelených podľa politiky uvádzaných na stránkach DAMMM (27,640,987 oproti 27,639,358 vynucujúcich domén) — každá stránka cituje svoj vlastný zdroj a tie dva sa nikdy nemiešajú. Všetky údaje sú súhrnné — nikdy nezverejňujeme hodnotenie konkrétneho podniku.

Čo robia plne chránené domény inak: dokončia to

Iba 3.87 % z 261 miliónov ohodnotených domén internetu — 10,092,481 z nich — prevádzkuje kompletný, vynútený stack e-mailovej ochrany: SPF a DKIM na mieste, DMARC na quarantine alebo reject. Zaujímavé na tejto skupine je to, čím nie je. Nie je to klub bezpečnostných tímov s väčšími rozpočtami — každý zapojený prvok je bezplatné nastavenie v DNS alebo na webovom serveri. Tých 3.87 % nie je múdrejších než ostatní; sú systematickí. K ochranám pristupovali ako k jednému stacku, ktorý treba dokončiť, a nie ako k piatim samostatným projektom, ktoré treba začať, a zvyšok tohto článku je o tom, ako to vyzerá v údajoch cenzu.

Aby ste videli, aké nezvyčajné je dokončiť, začnite tým, kde stoja všetci ostatní.

Pyramída expozície: päť ochrán, šesť poschodí

Ohodnoťte každú doménu podľa piatich osvedčených ochrán — SPF, vynucujúce DMARC, DNSSEC, HTTPS, HSTS — po jednom bode za každú, a internet sa usporiada do pyramídy (krivka expozície, pozorovaná poschodie po poschodí). K dátumu 2026-06-29:

PoschodieOchrany na miestePodiel doménDomény
0Žiadne — plne exponované8.8 %23,105,485
1Jedna (zvyčajne len HTTPS)37.2 %97,206,153
2Dve (typicky HTTPS + SPF)39.7 %103,527,371
3Tri12.0 %31,424,343
4Štyri2.1 %5,575,826
5Všetkých päť — plne uzamknuté0.09 %247,054

Tvar rozpráva príbeh skôr, než to urobí ktorékoľvek jednotlivé číslo. 76.9 % všetkých domén — 201 miliónov — sedí na poschodiach 1 a 2, kde majú presne tie ochrany, ktoré prišli predvolene, a nič viac. HTTPS je tam, pretože hostingy a CDN ho zapli automaticky; SPF je tam, pretože každá príručka na nasadenie od poskytovateľa pošty ním začína. Všetko nad poschodím 2 vyžaduje, aby sa vlastník rozhodol — a pri každom rozhodnutí sa väčšina internetu zastaví. Poschodia 4 a 5 spolu držia iba 2.2 % domén.

Pyramída nie je rebríček toho, komu na tom záleží. Je to mapa toho, kde končia predvolené nastavenia a kde začína zámernosť.

Lievik, po ktorom tých 3.87 % vyšplhalo

Sledujte e-mailovú polovicu stacku krok za krokom a ten istý vzor sa opakuje — každá fáza stráca viac než polovicu domén, ktoré dosiahli predchádzajúcu:

Pri tom poslednom kroku sa oplatí zastaviť. Z približne 28 miliónov domén, ktoré vynucujú DMARC, má iba 36.5 % pod politikou SPF aj DKIM. Časť zvyšku robí presne správnu vec — doména, ktorá neposiela žiadnu poštu, by mala byť na p=reject s holým -all v SPF a nepotrebuje žiadne DKIM. Ale medzera obsahuje aj vynucujúce domény, ktorých autentifikácia je neúplná, čo je stack postavený od strechy nadol. Tých 3.87 % je definovaných opačným návykom: najprv základ, potom strecha, každá vrstva, a nakoniec politika na vrchu.

Samotné SPF pokrýva 139 miliónov domén a chráni z nich takmer žiadnu — najpriamejšia ukážka cenzu toho, čo prináša začať bez dokončenia.

Jeden stack, nie päť projektov

Tu je návyk, ktorý oddeľuje tých 3.87 %, a je organizačný, nie technický.

Väčšina domén hromadí ochrany tak, ako naznačuje pyramída: po jednej, každú spustenú iným podnetom — varovaním prehliadača, problémom s doručiteľnosťou, súladovým kontrolným zoznamom — každú riešenú ako vlastný malý projekt s vlastným „hotovo“. Hotovo v tomto režime znamená, že záznam existuje. Takto internet skončí s 201 miliónmi domén na poschodiach 1 – 2: päť zelených fajok dostupných, jedna alebo dve pozbierané, cesta ukončená.

Plne chránení pristupujú k tým piatim ako k jednému systému s jednou definíciou hotovosti: útok už nefunguje. Falšovaná pošta je odmietnutá, nielen pozorovaná; relácie nemožno degradovať, pretože HSTS je pripnuté; odpovede nemožno potichu vymeniť tam, kde je DNSSEC podpísané. V modeli zrelosti nasadenia DMARC je to zmýšľanie 6. fázy — ochrana ako disciplína, ktorá sa monitoruje a udržiava, nie odznak, ktorý sa raz získal. Nič z toho nevyžaduje odbornosť, ktorá zvyšným 96 % chýba. Vyžaduje to dokončenie — v správnom poradí, s overením, že každá vrstva skutočne drží, a s prístupom k „nakonfigurované“ ako k polovici cesty, nie k cieľu.

Vrchol nad tým: všetkých päť spolu

Nad plne e-mailovo chránenými sedí oveľa menšia populácia: 247,054 domén — 0.09 % — ktoré držia všetkých päť ochrán naraz, s DMARC, DNSSEC a HSTS nasadenými spolu nad SPF a HTTPS. Bránou je DNSSEC: platné len na 1.99 % domén, je najvzácnejšie z piatich, takže najvyššie poschodie pyramídy je nevyhnutne nepatrné. Ak poschodie 5 opisuje vaše ambície, na poradí stále záleží — najprv vynúťte e-mailovú autentifikáciu (zastaví útoky, ktoré skutočne prichádzajú denne), potom pripnite prenos pomocou HSTS a potom podpíšte zónu.

Ako sa pridať k tým 3.87 %

Každý krok je zmena konfigurácie a každý je bezplatný:

  1. Publikujte SPF so zoznamom vašich skutočných odosielateľov, končiace na -all. (Opraviť SPF →)
  2. Povoľte DKIM pri každej službe, ktorá odosiela vo vašom mene — väčšina poskytovateľov to robí prepínačom. (Opraviť DKIM →)
  3. Publikujte DMARC s reportovaním, pozorujte, potom vynucujte — najprv p=none plus rua=, identifikujte každého legitímneho odosielateľa, potom prejdite na quarantine a reject. Toto je múr, ktorý väčšina domén nikdy nevyšplhá, a je to vyšetrovacia práca, nie peniaze. (Opraviť DMARC →)
  4. Potom webová vrstva: HSTS na vašom HTTPS webe a DNSSEC, ak vám podpisovanie spravuje váš DNS poskytovateľ.

Doména, ktorá neposiela žiadnu poštu, môže fázu pozorovania úplne preskočiť: SPF -all a p=reject ešte dnes, jedna zmena v DNS, rovno za múr.

Často kladené otázky

Ako vyzerá plne chránená doména? SPF a DKIM na mieste a nad nimi politika DMARC typu quarantine alebo reject — kompletný, vynútený stack e-mailovej autentifikácie. Túto latku spĺňa 10,092,481 domén (3.87 %). Najprísnejšia verzia pridáva DNSSEC, HTTPS a HSTS: všetkých päť spolu je 0.09 % z pyramídy.

Koľko domén má DMARC, DNSSEC a HSTS nasadené spolu? Cenzus zverejňuje päťochranné skóre, a nie každú párovú krížovú tabuľku, takže úprimná odpoveď je ohraničenie: aspoň tých 247,054 domén držiacich všetkých päť má tie tri spolu a nanajvýš 2.2 % domén (poschodia 4 – 5) by ich mohlo mať. Tak či onak: výrazne menej než jedna zo štyridsiatich.

Je kompletný stack drahý? Nie. SPF, DKIM, DMARC, HSTS a DNSSEC sú všetko konfigurácia — záznamy v DNS a hlavičky servera, žiadne licencie. Skutočné náklady sú pozornosť a poradie: práca na identifikácii odosielateľov pred vynucovaním DMARC je jediný krok, ktorý si vyžaduje trvalé úsilie, a je to ten, pred ktorým väčšina domén uviazne.

Ktorá ochrana by mala byť prvá? Vynútená e-mailová autentifikácia, pretože e-mailové vydávanie sa za niekoho iného je útok, ktorému bežné podniky skutočne čelia. HTTPS už takmer určite máte; HSTS je jednoriadkové doplnenie; DNSSEC nakoniec, a len prostredníctvom poskytovateľa, ktorý spravuje podpisovanie. Šplhanie poschodie po poschodí je lepšie než začínanie piatich projektov naraz — o to práve ide.

Skontrolujte, koľko z tých piatich máte

Rozdiel medzi tými 76.9 % na poschodiach 1 – 2 a tými 3.87 %, čo to dokončili, nie je talent ani rozpočet — je to postupnosť a každý jej krok je bezplatný. Môžete to skontrolovať súkromne a zdarma a zistiť, ktoré z 34 kontrol prejdete a ako opraviť tie, ktoré neprejdete.

Skontrolujte svoju doménu → · 6 fáz zrelosti DMARC → · Pilier DMARC → · Iba súhrnné údaje. Údaje uložené a spracované v EÚ.