Defaults.Exposed

Defaults.Exposed › Poročila

Peščica popolnoma zaščitenih: 3.87 %, ki so zadevo dokončali

Objavljeno 2026-07-03 · posodobljeno 2026-07-03

Podatki na dan 2026-06-29 · metodologija v7. Podatki popisa združujejo preverjanja po posamezni domeni čez 261 milijonov ocenjenih domen. “Popolnoma zaščiten” v tem članku pomeni celoten, uveljavljen sklad za e-poštno avtentikacijo: prisoten SPF, prisoten DKIM in pravilnik DMARC z vrednostjo quarantine ali reject. Piramida izpostavljenosti šteje pet ključnih zaščit na domeno — SPF, uveljavljajoči DMARC, DNSSEC, HTTPS, HSTS. Podatki o prekrivanju tukaj izhajajo iz združevanja po posamezni domeni, katerega zrno za odstranjevanje dvojnikov se malenkostno razlikuje od štetja po razdelitvi pravilnikov, navedenega na straneh DAMMM (27,640,987 v primerjavi z 27,639,358 uveljavljajočih domen) — vsaka stran navaja svoj lasten vir in oba se nikoli ne mešata. Vsi podatki so agregatni — nikoli ne objavimo ocene posameznega podjetja.

Kaj popolnoma zaščitene domene delajo drugače: dokončajo

Le 3.87 % od 261 milijonov ocenjenih domen na internetu — 10,092,481 od njih — poganja celoten, uveljavljen sklad za e-poštno zaščito: vzpostavljena SPF in DKIM, DMARC na quarantine ali reject. Zanimivo pri tej skupini je to, kar ni. Ni klub varnostnih ekip z večjimi proračuni — vsak vpleten nadzor je brezplačna nastavitev DNS ali spletnega strežnika. Teh 3.87 % ni pametnejših od vseh drugih; so sistematični. Zaščite so obravnavali kot en sklad, ki ga je treba dokončati, in ne kot pet ločenih projektov, ki jih je treba začeti, preostanek tega članka pa govori o tem, kako to izgleda v podatkih popisa.

Da vidimo, kako nenavadno je dokončanje, začnimo pri tem, kje stojijo vsi drugi.

Piramida izpostavljenosti: pet zaščit, šest nadstropij

Vsako domeno ocenite po petih zaščitah najboljše prakse — SPF, uveljavljajoči DMARC, DNSSEC, HTTPS, HSTS — po eno točko za vsako, in internet se razvrsti v piramido (krivulja izpostavljenosti, gledana nadstropje za nadstropjem). Na dan 2026-06-29:

NadstropjeVzpostavljene zaščiteDelež domenDomene
0Nobene — popolnoma izpostavljene8.8 %23,105,485
1Ena (običajno samo HTTPS)37.2 %97,206,153
2Dve (tipično HTTPS + SPF)39.7 %103,527,371
3Tri12.0 %31,424,343
4Štiri2.1 %5,575,826
5Vseh pet — popolnoma zaklenjene0.09 %247,054

Oblika pove zgodbo, preden to stori katera koli posamezna številka. 76.9 % vseh domen — 201 milijonov — sedi na nadstropjih 1 in 2 in ima natanko tiste zaščite, ki so prišle privzeto, in nič več. HTTPS je tam, ker so ga gostitelji in CDN-ji samodejno vklopili; SPF je tam, ker se vodnik za uvajanje vsakega ponudnika e-pošte začne z njim. Vse nad nadstropjem 2 zahteva, da se lastnik odloči — in ob vsaki odločitvi se večina interneta ustavi. Nadstropji 4 in 5 skupaj zadržita le 2.2 % domen.

Piramida ni razvrstitev tega, komu je mar. Je zemljevid tega, kje se privzete nastavitve končajo in kje se začne premišljenost.

Lijak, ki so ga teh 3.87 % preplezali

Sledite e-poštni polovici sklada korak za korakom in isti vzorec se ponavlja — vsaka stopnja odvrže več kot polovico domen, ki so dosegle prejšnjo:

Pri tem zadnjem rezu se je vredno ustaviti. Od približno 28 milijonov domen, ki uveljavljajo DMARC, jih le 36.5 % pod pravilnikom nosi tako SPF kot DKIM. Nekatere med preostalimi delajo popolnoma pravilno — domena, ki ne pošilja pošte, bi morala biti na p=reject z golim -all SPF in ne potrebuje DKIM. A vrzel vsebuje tudi uveljavljajoče domene, katerih avtentikacija je nepopolna, kar je sklad, zgrajen od strehe navzdol. Teh 3.87 % opredeljuje nasprotna navada: temelj pred streho, vsaka plast, nato pravilnik na vrhu.

Samo SPF pokriva 139 milijonov domen in skoraj nobene ne zaščiti — najbolj neprizanesljiva ilustracija popisa o tem, kaj kupi začenjanje brez dokončanja.

En sklad, ne pet projektov

Tukaj je navada, ki loči teh 3.87 %, in je organizacijska, ne tehnična.

Večina domen kopiči zaščite tako, kot nakazuje piramida: eno za drugo, vsako sproži drug povod — opozorilo brskalnika, težava z dostavljivostjo, kontrolni seznam skladnosti — vsaka obravnavana kot svoj mali projekt s svojim “opravljeno”. “Opravljeno” v tem načinu pomeni zapis obstaja. Tako internet konča z 201 milijoni domen na nadstropjih 1–2: pet zelenih kljukic na voljo, ena ali dve zbrani, potovanje končano.

Popolnoma zaščiteni obravnavajo teh pet kot en sistem z eno definicijo dokončanosti: napad ne deluje več. Ponarejena pošta je zavrnjena, ne le opazovana; sej ni mogoče znižati, ker je HSTS pripet; odgovorov ni mogoče tiho zamenjati, kjer je DNSSEC podpisan. V modelu zrelosti sprejemanja DMARC je to miselnost stopnje 6 — zaščita kot disciplina, ki se spremlja in vzdržuje, in ne značka, ki je bila enkrat prislužena. Nič pri tem ne zahteva strokovnega znanja, ki ga preostalih 96 % nima. Zahteva dokončanje — v pravilnem vrstnem redu, ob preverjanju, da vsaka plast dejansko drži, in ob obravnavanju “nastavljeno” kot vmesne točke namesto cilja.

Vrh nad tem: vseh pet skupaj

Nad popolnoma e-poštno zaščitenimi sedi precej manjša populacija: 247,054 domen — 0.09 % — ki ima vseh pet zaščit hkrati, DMARC, DNSSEC in HSTS uvedene skupaj nad SPF in HTTPS. Vrata so DNSSEC: veljaven na le 1.99 % domen je najredkejši med petimi, zato je najvišje nadstropje piramide nujno drobno. Če nadstropje 5 opisuje vaše ambicije, je vrstni red še vedno pomemben — najprej uveljavite e-poštno avtentikacijo (ta ustavi napade, ki dejansko prihajajo vsak dan), nato pripnite prenos s HSTS, nato podpišite cono.

Kako se pridružiti teh 3.87 %

Vsak korak je sprememba konfiguracije in vsak je brezplačen:

  1. Objavite SPF s seznamom vaših resničnih pošiljateljev, ki se konča z -all. (Popravite SPF →)
  2. Omogočite DKIM pri vsaki storitvi, ki pošilja v vašem imenu — večina ponudnikov to naredi kot preklopno stikalo. (Popravite DKIM →)
  3. Objavite DMARC s poročanjem, opazujte, nato uveljavite — najprej p=none skupaj z rua=, prepoznajte vsakega legitimnega pošiljatelja, nato preidite na quarantine in reject. To je zid, ki ga večina domen nikoli ne prepleza, in gre za preiskovalno delo, ne za denar. (Popravite DMARC →)
  4. Nato spletna raven: HSTS na vašem spletnem mestu HTTPS in DNSSEC, če vaš ponudnik DNS podpisovanje upravlja namesto vas.

Domena, ki ne pošilja pošte, lahko fazo opazovanja povsem preskoči: SPF -all in p=reject še danes, ena sprememba DNS, naravnost mimo zidu.

Pogosto zastavljena vprašanja

Kako izgleda popolnoma zaščitena domena? Vzpostavljena SPF in DKIM ter pravilnik DMARC z vrednostjo quarantine ali reject na vrhu — celoten, uveljavljen sklad za e-poštno avtentikacijo. 10,092,481 domen (3.87 %) izpolnjuje to mejo. Najstrožja različica doda DNSSEC, HTTPS in HSTS: vseh pet skupaj je 0.09 % piramide.

Koliko domen ima DMARC, DNSSEC in HSTS uvedene skupaj? Popis objavlja oceno petih zaščit namesto vsake parne navzkrižne tabele, zato je pošten odgovor meja: najmanj 247,054 domen, ki imajo vseh pet, ima te tri skupaj, in največ 2.2 % domen (nadstropji 4–5) bi jih lahko imelo. Tako ali tako: precej manj kot ena od štiridesetih.

Ali je celoten sklad drag? Ne. SPF, DKIM, DMARC, HSTS in DNSSEC so vse konfiguracija — zapisi DNS in glave strežnika, brez licenc. Resnični stroški so pozornost in zaporedje: delo prepoznavanja pošiljateljev pred uveljavljanjem DMARC je edini korak, ki zahteva vztrajen napor, in je tisti, pred katerim se večina domen zaustavi.

Katera zaščita bi morala priti najprej? Uveljavljena e-poštna avtentikacija, ker je posnemanje e-pošte napad, s katerim se navadna podjetja dejansko soočajo. HTTPS skoraj zagotovo že imate; HSTS je enovrstična nadaljnja poteza; DNSSEC nazadnje in le prek ponudnika, ki upravlja podpisovanje. Plezanje nadstropje za nadstropjem je boljše od začenjanja petih projektov naenkrat — to je pravzaprav bistvo.

Preverite, koliko od petih jih imate

Vrzel med teh 76.9 % na nadstropjih 1–2 in teh 3.87 %, ki so dokončali, ni talent ali proračun — je zaporedje in vsak njegov korak je brezplačen. Preverite lahko zasebno in brezplačno ter vidite, katera od 34 preverjanj prestanete in kako popraviti tista, ki jih ne.

Preverite svojo domeno → · 6 stopenj zrelosti DMARC → · Steber DMARC → · Samo agregatni podatki. Podatki so shranjeni in obdelani v EU.