Defaults.Exposed › Poročila
Peščica popolnoma zaščitenih: 3.87 %, ki so zadevo dokončali
Objavljeno 2026-07-03 · posodobljeno 2026-07-03
Podatki na dan 2026-06-29 · metodologija v7. Podatki popisa združujejo preverjanja po posamezni domeni čez 261 milijonov ocenjenih domen. “Popolnoma zaščiten” v tem članku pomeni celoten, uveljavljen sklad za e-poštno avtentikacijo: prisoten SPF, prisoten DKIM in pravilnik DMARC z vrednostjo
quarantinealireject. Piramida izpostavljenosti šteje pet ključnih zaščit na domeno — SPF, uveljavljajoči DMARC, DNSSEC, HTTPS, HSTS. Podatki o prekrivanju tukaj izhajajo iz združevanja po posamezni domeni, katerega zrno za odstranjevanje dvojnikov se malenkostno razlikuje od štetja po razdelitvi pravilnikov, navedenega na straneh DAMMM (27,640,987 v primerjavi z 27,639,358 uveljavljajočih domen) — vsaka stran navaja svoj lasten vir in oba se nikoli ne mešata. Vsi podatki so agregatni — nikoli ne objavimo ocene posameznega podjetja.
Kaj popolnoma zaščitene domene delajo drugače: dokončajo
Le 3.87 % od 261 milijonov ocenjenih domen na internetu — 10,092,481 od njih — poganja celoten, uveljavljen sklad za e-poštno zaščito: vzpostavljena SPF in DKIM, DMARC na quarantine ali reject. Zanimivo pri tej skupini je to, kar ni. Ni klub varnostnih ekip z večjimi proračuni — vsak vpleten nadzor je brezplačna nastavitev DNS ali spletnega strežnika. Teh 3.87 % ni pametnejših od vseh drugih; so sistematični. Zaščite so obravnavali kot en sklad, ki ga je treba dokončati, in ne kot pet ločenih projektov, ki jih je treba začeti, preostanek tega članka pa govori o tem, kako to izgleda v podatkih popisa.
Da vidimo, kako nenavadno je dokončanje, začnimo pri tem, kje stojijo vsi drugi.
Piramida izpostavljenosti: pet zaščit, šest nadstropij
Vsako domeno ocenite po petih zaščitah najboljše prakse — SPF, uveljavljajoči DMARC, DNSSEC, HTTPS, HSTS — po eno točko za vsako, in internet se razvrsti v piramido (krivulja izpostavljenosti, gledana nadstropje za nadstropjem). Na dan 2026-06-29:
| Nadstropje | Vzpostavljene zaščite | Delež domen | Domene |
|---|---|---|---|
| 0 | Nobene — popolnoma izpostavljene | 8.8 % | 23,105,485 |
| 1 | Ena (običajno samo HTTPS) | 37.2 % | 97,206,153 |
| 2 | Dve (tipično HTTPS + SPF) | 39.7 % | 103,527,371 |
| 3 | Tri | 12.0 % | 31,424,343 |
| 4 | Štiri | 2.1 % | 5,575,826 |
| 5 | Vseh pet — popolnoma zaklenjene | 0.09 % | 247,054 |
Oblika pove zgodbo, preden to stori katera koli posamezna številka. 76.9 % vseh domen — 201 milijonov — sedi na nadstropjih 1 in 2 in ima natanko tiste zaščite, ki so prišle privzeto, in nič več. HTTPS je tam, ker so ga gostitelji in CDN-ji samodejno vklopili; SPF je tam, ker se vodnik za uvajanje vsakega ponudnika e-pošte začne z njim. Vse nad nadstropjem 2 zahteva, da se lastnik odloči — in ob vsaki odločitvi se večina interneta ustavi. Nadstropji 4 in 5 skupaj zadržita le 2.2 % domen.
Piramida ni razvrstitev tega, komu je mar. Je zemljevid tega, kje se privzete nastavitve končajo in kje se začne premišljenost.
Lijak, ki so ga teh 3.87 % preplezali
Sledite e-poštni polovici sklada korak za korakom in isti vzorec se ponavlja — vsaka stopnja odvrže več kot polovico domen, ki so dosegle prejšnjo:
- 53.21 % domen objavi SPF — korak, ki ga pokrivajo vsi vodniki.
- 24.89 % objavi kakršen koli zapis DMARC.
- 10.59 % ga uveljavi (
quarantinealireject). - 3.87 % ga uveljavi s celotnim skladom pod njim — prisotna sta tako SPF kot DKIM, tako da uveljavljanje stoji na popolni avtentikaciji.
Pri tem zadnjem rezu se je vredno ustaviti. Od približno 28 milijonov domen, ki uveljavljajo DMARC, jih le 36.5 % pod pravilnikom nosi tako SPF kot DKIM. Nekatere med preostalimi delajo popolnoma pravilno — domena, ki ne pošilja pošte, bi morala biti na p=reject z golim -all SPF in ne potrebuje DKIM. A vrzel vsebuje tudi uveljavljajoče domene, katerih avtentikacija je nepopolna, kar je sklad, zgrajen od strehe navzdol. Teh 3.87 % opredeljuje nasprotna navada: temelj pred streho, vsaka plast, nato pravilnik na vrhu.
Samo SPF pokriva 139 milijonov domen in skoraj nobene ne zaščiti — najbolj neprizanesljiva ilustracija popisa o tem, kaj kupi začenjanje brez dokončanja.
En sklad, ne pet projektov
Tukaj je navada, ki loči teh 3.87 %, in je organizacijska, ne tehnična.
Večina domen kopiči zaščite tako, kot nakazuje piramida: eno za drugo, vsako sproži drug povod — opozorilo brskalnika, težava z dostavljivostjo, kontrolni seznam skladnosti — vsaka obravnavana kot svoj mali projekt s svojim “opravljeno”. “Opravljeno” v tem načinu pomeni zapis obstaja. Tako internet konča z 201 milijoni domen na nadstropjih 1–2: pet zelenih kljukic na voljo, ena ali dve zbrani, potovanje končano.
Popolnoma zaščiteni obravnavajo teh pet kot en sistem z eno definicijo dokončanosti: napad ne deluje več. Ponarejena pošta je zavrnjena, ne le opazovana; sej ni mogoče znižati, ker je HSTS pripet; odgovorov ni mogoče tiho zamenjati, kjer je DNSSEC podpisan. V modelu zrelosti sprejemanja DMARC je to miselnost stopnje 6 — zaščita kot disciplina, ki se spremlja in vzdržuje, in ne značka, ki je bila enkrat prislužena. Nič pri tem ne zahteva strokovnega znanja, ki ga preostalih 96 % nima. Zahteva dokončanje — v pravilnem vrstnem redu, ob preverjanju, da vsaka plast dejansko drži, in ob obravnavanju “nastavljeno” kot vmesne točke namesto cilja.
Vrh nad tem: vseh pet skupaj
Nad popolnoma e-poštno zaščitenimi sedi precej manjša populacija: 247,054 domen — 0.09 % — ki ima vseh pet zaščit hkrati, DMARC, DNSSEC in HSTS uvedene skupaj nad SPF in HTTPS. Vrata so DNSSEC: veljaven na le 1.99 % domen je najredkejši med petimi, zato je najvišje nadstropje piramide nujno drobno. Če nadstropje 5 opisuje vaše ambicije, je vrstni red še vedno pomemben — najprej uveljavite e-poštno avtentikacijo (ta ustavi napade, ki dejansko prihajajo vsak dan), nato pripnite prenos s HSTS, nato podpišite cono.
Kako se pridružiti teh 3.87 %
Vsak korak je sprememba konfiguracije in vsak je brezplačen:
- Objavite SPF s seznamom vaših resničnih pošiljateljev, ki se konča z
-all. (Popravite SPF →) - Omogočite DKIM pri vsaki storitvi, ki pošilja v vašem imenu — večina ponudnikov to naredi kot preklopno stikalo. (Popravite DKIM →)
- Objavite DMARC s poročanjem, opazujte, nato uveljavite — najprej
p=noneskupaj zrua=, prepoznajte vsakega legitimnega pošiljatelja, nato preidite naquarantineinreject. To je zid, ki ga večina domen nikoli ne prepleza, in gre za preiskovalno delo, ne za denar. (Popravite DMARC →) - Nato spletna raven: HSTS na vašem spletnem mestu HTTPS in DNSSEC, če vaš ponudnik DNS podpisovanje upravlja namesto vas.
Domena, ki ne pošilja pošte, lahko fazo opazovanja povsem preskoči: SPF -all in p=reject še danes, ena sprememba DNS, naravnost mimo zidu.
Pogosto zastavljena vprašanja
Kako izgleda popolnoma zaščitena domena? Vzpostavljena SPF in DKIM ter pravilnik DMARC z vrednostjo quarantine ali reject na vrhu — celoten, uveljavljen sklad za e-poštno avtentikacijo. 10,092,481 domen (3.87 %) izpolnjuje to mejo. Najstrožja različica doda DNSSEC, HTTPS in HSTS: vseh pet skupaj je 0.09 % piramide.
Koliko domen ima DMARC, DNSSEC in HSTS uvedene skupaj? Popis objavlja oceno petih zaščit namesto vsake parne navzkrižne tabele, zato je pošten odgovor meja: najmanj 247,054 domen, ki imajo vseh pet, ima te tri skupaj, in največ 2.2 % domen (nadstropji 4–5) bi jih lahko imelo. Tako ali tako: precej manj kot ena od štiridesetih.
Ali je celoten sklad drag? Ne. SPF, DKIM, DMARC, HSTS in DNSSEC so vse konfiguracija — zapisi DNS in glave strežnika, brez licenc. Resnični stroški so pozornost in zaporedje: delo prepoznavanja pošiljateljev pred uveljavljanjem DMARC je edini korak, ki zahteva vztrajen napor, in je tisti, pred katerim se večina domen zaustavi.
Katera zaščita bi morala priti najprej? Uveljavljena e-poštna avtentikacija, ker je posnemanje e-pošte napad, s katerim se navadna podjetja dejansko soočajo. HTTPS skoraj zagotovo že imate; HSTS je enovrstična nadaljnja poteza; DNSSEC nazadnje in le prek ponudnika, ki upravlja podpisovanje. Plezanje nadstropje za nadstropjem je boljše od začenjanja petih projektov naenkrat — to je pravzaprav bistvo.
Preverite, koliko od petih jih imate
Vrzel med teh 76.9 % na nadstropjih 1–2 in teh 3.87 %, ki so dokončali, ni talent ali proračun — je zaporedje in vsak njegov korak je brezplačen. Preverite lahko zasebno in brezplačno ter vidite, katera od 34 preverjanj prestanete in kako popraviti tista, ki jih ne.
Preverite svojo domeno → · 6 stopenj zrelosti DMARC → · Steber DMARC → · Samo agregatni podatki. Podatki so shranjeni in obdelani v EU.