Defaults.Exposed › Reporty
Tí plne chránení: 3.87 % tých, čo to dokončili
Publikované 2026-07-03 · aktualizované 2026-07-03
Údaje k dátumu 2026-06-29 · metodika v7. Údaje z cenzu spájajúce kontroly na doménu naprieč 261 miliónmi ohodnotených domén. „Plne chránená“ znamená v tomto článku kompletný, vynútený stack e-mailovej autentifikácie: prítomné SPF, prítomné DKIM a politika DMARC typu
quarantinealeboreject. Pyramída expozície počíta päť základných ochrán na doménu — SPF, vynucujúce DMARC, DNSSEC, HTTPS, HSTS. Údaje o prekryve tu vychádzajú zo spojenia na úrovni domény, ktorého zrnitosť deduplikácie sa okrajovo líši od počtov rozdelených podľa politiky uvádzaných na stránkach DAMMM (27,640,987 oproti 27,639,358 vynucujúcich domén) — každá stránka cituje svoj vlastný zdroj a tie dva sa nikdy nemiešajú. Všetky údaje sú súhrnné — nikdy nezverejňujeme hodnotenie konkrétneho podniku.
Čo robia plne chránené domény inak: dokončia to
Iba 3.87 % z 261 miliónov ohodnotených domén internetu — 10,092,481 z nich — prevádzkuje kompletný, vynútený stack e-mailovej ochrany: SPF a DKIM na mieste, DMARC na quarantine alebo reject. Zaujímavé na tejto skupine je to, čím nie je. Nie je to klub bezpečnostných tímov s väčšími rozpočtami — každý zapojený prvok je bezplatné nastavenie v DNS alebo na webovom serveri. Tých 3.87 % nie je múdrejších než ostatní; sú systematickí. K ochranám pristupovali ako k jednému stacku, ktorý treba dokončiť, a nie ako k piatim samostatným projektom, ktoré treba začať, a zvyšok tohto článku je o tom, ako to vyzerá v údajoch cenzu.
Aby ste videli, aké nezvyčajné je dokončiť, začnite tým, kde stoja všetci ostatní.
Pyramída expozície: päť ochrán, šesť poschodí
Ohodnoťte každú doménu podľa piatich osvedčených ochrán — SPF, vynucujúce DMARC, DNSSEC, HTTPS, HSTS — po jednom bode za každú, a internet sa usporiada do pyramídy (krivka expozície, pozorovaná poschodie po poschodí). K dátumu 2026-06-29:
| Poschodie | Ochrany na mieste | Podiel domén | Domény |
|---|---|---|---|
| 0 | Žiadne — plne exponované | 8.8 % | 23,105,485 |
| 1 | Jedna (zvyčajne len HTTPS) | 37.2 % | 97,206,153 |
| 2 | Dve (typicky HTTPS + SPF) | 39.7 % | 103,527,371 |
| 3 | Tri | 12.0 % | 31,424,343 |
| 4 | Štyri | 2.1 % | 5,575,826 |
| 5 | Všetkých päť — plne uzamknuté | 0.09 % | 247,054 |
Tvar rozpráva príbeh skôr, než to urobí ktorékoľvek jednotlivé číslo. 76.9 % všetkých domén — 201 miliónov — sedí na poschodiach 1 a 2, kde majú presne tie ochrany, ktoré prišli predvolene, a nič viac. HTTPS je tam, pretože hostingy a CDN ho zapli automaticky; SPF je tam, pretože každá príručka na nasadenie od poskytovateľa pošty ním začína. Všetko nad poschodím 2 vyžaduje, aby sa vlastník rozhodol — a pri každom rozhodnutí sa väčšina internetu zastaví. Poschodia 4 a 5 spolu držia iba 2.2 % domén.
Pyramída nie je rebríček toho, komu na tom záleží. Je to mapa toho, kde končia predvolené nastavenia a kde začína zámernosť.
Lievik, po ktorom tých 3.87 % vyšplhalo
Sledujte e-mailovú polovicu stacku krok za krokom a ten istý vzor sa opakuje — každá fáza stráca viac než polovicu domén, ktoré dosiahli predchádzajúcu:
- 53.21 % domén publikuje SPF — krok, ktorý pokrývajú všetky príručky.
- 24.89 % publikuje vôbec nejaký záznam DMARC.
- 10.59 % ho vynucuje (
quarantinealeboreject). - 3.87 % ho vynucuje s kompletným stackom pod ním — prítomné SPF aj DKIM, takže vynucovanie stojí na kompletnej autentifikácii.
Pri tom poslednom kroku sa oplatí zastaviť. Z približne 28 miliónov domén, ktoré vynucujú DMARC, má iba 36.5 % pod politikou SPF aj DKIM. Časť zvyšku robí presne správnu vec — doména, ktorá neposiela žiadnu poštu, by mala byť na p=reject s holým -all v SPF a nepotrebuje žiadne DKIM. Ale medzera obsahuje aj vynucujúce domény, ktorých autentifikácia je neúplná, čo je stack postavený od strechy nadol. Tých 3.87 % je definovaných opačným návykom: najprv základ, potom strecha, každá vrstva, a nakoniec politika na vrchu.
Samotné SPF pokrýva 139 miliónov domén a chráni z nich takmer žiadnu — najpriamejšia ukážka cenzu toho, čo prináša začať bez dokončenia.
Jeden stack, nie päť projektov
Tu je návyk, ktorý oddeľuje tých 3.87 %, a je organizačný, nie technický.
Väčšina domén hromadí ochrany tak, ako naznačuje pyramída: po jednej, každú spustenú iným podnetom — varovaním prehliadača, problémom s doručiteľnosťou, súladovým kontrolným zoznamom — každú riešenú ako vlastný malý projekt s vlastným „hotovo“. Hotovo v tomto režime znamená, že záznam existuje. Takto internet skončí s 201 miliónmi domén na poschodiach 1 – 2: päť zelených fajok dostupných, jedna alebo dve pozbierané, cesta ukončená.
Plne chránení pristupujú k tým piatim ako k jednému systému s jednou definíciou hotovosti: útok už nefunguje. Falšovaná pošta je odmietnutá, nielen pozorovaná; relácie nemožno degradovať, pretože HSTS je pripnuté; odpovede nemožno potichu vymeniť tam, kde je DNSSEC podpísané. V modeli zrelosti nasadenia DMARC je to zmýšľanie 6. fázy — ochrana ako disciplína, ktorá sa monitoruje a udržiava, nie odznak, ktorý sa raz získal. Nič z toho nevyžaduje odbornosť, ktorá zvyšným 96 % chýba. Vyžaduje to dokončenie — v správnom poradí, s overením, že každá vrstva skutočne drží, a s prístupom k „nakonfigurované“ ako k polovici cesty, nie k cieľu.
Vrchol nad tým: všetkých päť spolu
Nad plne e-mailovo chránenými sedí oveľa menšia populácia: 247,054 domén — 0.09 % — ktoré držia všetkých päť ochrán naraz, s DMARC, DNSSEC a HSTS nasadenými spolu nad SPF a HTTPS. Bránou je DNSSEC: platné len na 1.99 % domén, je najvzácnejšie z piatich, takže najvyššie poschodie pyramídy je nevyhnutne nepatrné. Ak poschodie 5 opisuje vaše ambície, na poradí stále záleží — najprv vynúťte e-mailovú autentifikáciu (zastaví útoky, ktoré skutočne prichádzajú denne), potom pripnite prenos pomocou HSTS a potom podpíšte zónu.
Ako sa pridať k tým 3.87 %
Každý krok je zmena konfigurácie a každý je bezplatný:
- Publikujte SPF so zoznamom vašich skutočných odosielateľov, končiace na
-all. (Opraviť SPF →) - Povoľte DKIM pri každej službe, ktorá odosiela vo vašom mene — väčšina poskytovateľov to robí prepínačom. (Opraviť DKIM →)
- Publikujte DMARC s reportovaním, pozorujte, potom vynucujte — najprv
p=noneplusrua=, identifikujte každého legitímneho odosielateľa, potom prejdite naquarantineareject. Toto je múr, ktorý väčšina domén nikdy nevyšplhá, a je to vyšetrovacia práca, nie peniaze. (Opraviť DMARC →) - Potom webová vrstva: HSTS na vašom HTTPS webe a DNSSEC, ak vám podpisovanie spravuje váš DNS poskytovateľ.
Doména, ktorá neposiela žiadnu poštu, môže fázu pozorovania úplne preskočiť: SPF -all a p=reject ešte dnes, jedna zmena v DNS, rovno za múr.
Často kladené otázky
Ako vyzerá plne chránená doména? SPF a DKIM na mieste a nad nimi politika DMARC typu quarantine alebo reject — kompletný, vynútený stack e-mailovej autentifikácie. Túto latku spĺňa 10,092,481 domén (3.87 %). Najprísnejšia verzia pridáva DNSSEC, HTTPS a HSTS: všetkých päť spolu je 0.09 % z pyramídy.
Koľko domén má DMARC, DNSSEC a HSTS nasadené spolu? Cenzus zverejňuje päťochranné skóre, a nie každú párovú krížovú tabuľku, takže úprimná odpoveď je ohraničenie: aspoň tých 247,054 domén držiacich všetkých päť má tie tri spolu a nanajvýš 2.2 % domén (poschodia 4 – 5) by ich mohlo mať. Tak či onak: výrazne menej než jedna zo štyridsiatich.
Je kompletný stack drahý? Nie. SPF, DKIM, DMARC, HSTS a DNSSEC sú všetko konfigurácia — záznamy v DNS a hlavičky servera, žiadne licencie. Skutočné náklady sú pozornosť a poradie: práca na identifikácii odosielateľov pred vynucovaním DMARC je jediný krok, ktorý si vyžaduje trvalé úsilie, a je to ten, pred ktorým väčšina domén uviazne.
Ktorá ochrana by mala byť prvá? Vynútená e-mailová autentifikácia, pretože e-mailové vydávanie sa za niekoho iného je útok, ktorému bežné podniky skutočne čelia. HTTPS už takmer určite máte; HSTS je jednoriadkové doplnenie; DNSSEC nakoniec, a len prostredníctvom poskytovateľa, ktorý spravuje podpisovanie. Šplhanie poschodie po poschodí je lepšie než začínanie piatich projektov naraz — o to práve ide.
Skontrolujte, koľko z tých piatich máte
Rozdiel medzi tými 76.9 % na poschodiach 1 – 2 a tými 3.87 %, čo to dokončili, nie je talent ani rozpočet — je to postupnosť a každý jej krok je bezplatný. Môžete to skontrolovať súkromne a zdarma a zistiť, ktoré z 34 kontrol prejdete a ako opraviť tie, ktoré neprejdete.
Skontrolujte svoju doménu → · 6 fáz zrelosti DMARC → · Pilier DMARC → · Iba súhrnné údaje. Údaje uložené a spracované v EÚ.