Defaults.Exposed

Defaults.Exposed › Izveštaji

Malobrojni potpuno zaštićeni: 3.87% koji su dovršili posao

Objavljeno 2026-07-03 · ažurirano 2026-07-03

Podaci na dan 2026-06-29 · metodologija v7. Podaci popisa koji spajaju provere po domenu za 261 miliona ocenjenih domena. „Potpuno zaštićen“ u ovom članku znači kompletan sloj autentifikacije e-pošte, primenjen: SPF prisutan, DKIM prisutan i DMARC politika quarantine ili reject. Piramida izloženosti broji pet osnovnih zaštita po domenu — SPF, primenjeni DMARC, DNSSEC, HTTPS, HSTS. Podaci o preklapanju ovde potiču iz spajanja po domenu, čija se granularnost deduplikacije neznatno razlikuje od brojki podele po politici navedenih na DAMMM stranicama (27,640,987 naspram 27,639,358 domena koje primenjuju) — svaka stranica navodi sopstveni izvor, i to dvoje se nikada ne meša. Svi podaci su agregatni — nikada ne objavljujemo ocenu pojedinačnog preduzeća.

Šta potpuno zaštićene domene rade drugačije: dovršavaju posao

Samo 3.87% od 261 miliona ocenjenih domena na internetu — 10,092,481 njih — koristi kompletan, primenjen sloj zaštite e-pošte: SPF i DKIM postavljeni, DMARC na quarantine ili reject. Zanimljivo kod ove grupe je ono što ona nije. Nije klub bezbednosnih timova sa većim budžetima — svaka od uključenih kontrola je besplatno DNS ili veb-serverska podešavanja. Tih 3.87% nisu pametniji od svih ostalih; oni su sistematični. Zaštite su tretirali kao jedan sloj koji treba dovršiti, a ne kao pet zasebnih projekata koje treba započeti, i ostatak ovog članka govori o tome kako to izgleda u podacima popisa.

Da bismo videli koliko je dovršavanje neuobičajeno, počnimo od toga gde stoje svi ostali.

Piramida izloženosti: pet zaštita, šest spratova

Ocenite svaku domenu po pet zaštita najbolje prakse — SPF, primenjeni DMARC, DNSSEC, HTTPS, HSTS — po jedan poen za svaku, i internet se raspoređuje u piramidu (kriva izloženosti, posmatrana sprat po sprat). Na dan 2026-06-29:

SpratZaštite na mestuUdeo domenaDomene
0Nijedna — potpuno izložene8.8%23,105,485
1Jedna (obično samo HTTPS)37.2%97,206,153
2Dve (obično HTTPS + SPF)39.7%103,527,371
3Tri12.0%31,424,343
4Četiri2.1%5,575,826
5Svih pet — potpuno zaključane0.09%247,054

Oblik priča priču pre nego što ijedan pojedinačan broj to učini. 76.9% svih domena — 201 miliona — sedi na spratovima 1 i 2, držeći tačno one zaštite koje su stigle podrazumevano i ništa više. HTTPS je tu jer su ga hosti i CDN-ovi automatski uključili; SPF je tu jer vodič za uključivanje svakog provajdera e-pošte počinje njime. Sve iznad sprata 2 zahteva da vlasnik odluči — i pri svakoj odluci, veći deo interneta staje. Spratovi 4 i 5 zajedno drže tek 2.2% domena.

Piramida nije rangiranje toga ko mari. To je mapa gde se podrazumevane vrednosti završavaju, a namernost počinje.

Levak uz koji su se popeli tih 3.87%

Pratite e-mail polovinu sloja korak po korak i ponavlja se isti obrazac — svaka faza odbaci više od polovine domena koje su dostigle prethodnu:

Kod tog poslednjeg reza vredi zastati. Od otprilike 28 miliona domena koje primenjuju DMARC, samo 36.5% nosi i SPF i DKIM ispod politike. Neke od ostatka rade tačno ono što treba — domena koja ne šalje poštu trebalo bi da bude na p=reject sa golim -all SPF-om i ne treba joj DKIM. Ali jaz takođe sadrži domene koje primenjuju, a čija je autentifikacija nepotpuna, što je sloj sagrađen od krova nadole. Tih 3.87% definisano je suprotnom navikom: temelj pre krova, svaki sloj, pa politika na vrhu.

Sam SPF pokriva 139 miliona domena i zaštiti gotovo nijednu od njih — najbrutalnija ilustracija popisa o tome šta donosi započinjanje bez dovršavanja.

Jedan sloj, a ne pet projekata

Evo navike koja izdvaja tih 3.87%, a ona je organizaciona, ne tehnička.

Većina domena gomila zaštite onako kako piramida sugeriše: jednu po jednu, svaku pokrenutu drugačijim povodom — upozorenjem pregledača, problemom sa isporukom, spiskom za usklađenost — svaku tretiranu kao sopstveni mali projekat sa sopstvenim „gotovo“. Gotovo, u tom režimu, znači zapis postoji. Tako internet završava sa 201 miliona domena na spratovima 1–2: pet dostupnih zelenih kvačica, jedna ili dve prikupljene, putovanje završeno.

Potpuno zaštićeni tretiraju tih pet kao jedan sistem sa jednom definicijom dovršenog: napad više ne funkcioniše. Lažirana pošta se odbija, ne samo posmatra; sesije se ne mogu degradirati, jer je HSTS zakačen; odgovori se ne mogu tiho zameniti, tamo gde je DNSSEC potpisan. U Modelu zrelosti usvajanja DMARC-a, to je način razmišljanja Faze 6 — zaštita kao disciplina koja se prati i održava, a ne bedž koji je jednom zarađen. Ništa u tome ne zahteva stručnost koju ostalih 96% nema. To zahteva dovršavanje — pravim redosledom, uz proveru da svaki sloj zaista drži, i tretiranje „konfigurisano“ kao sredine puta, a ne odredišta.

Vrh iznad: svih pet zajedno

Iznad potpuno e-mail zaštićenih sedi mnogo manja populacija: 247,054 domena — 0.09% — koje drže svih pet zaštita odjednom, DMARC, DNSSEC i HSTS raspoređeni zajedno povrh SPF-a i HTTPS-a. Kapija je DNSSEC: važeći na tek 1.99% domena, on je najređi od pet, pa je najviši sprat piramide neizbežno sićušan. Ako sprat 5 opisuje vaše ambicije, redosled i dalje ima značaja — prvo primenite autentifikaciju e-pošte (ona zaustavlja napade koji zaista svakodnevno stižu), zatim učvrstite transport sa HSTS, pa potpišite zonu.

Kako se pridružiti tih 3.87%

Svaki korak je promena konfiguracije, i svaki je besplatan:

  1. Objavite SPF koji navodi vaše prave pošiljaoce, sa završetkom -all. (Popravite SPF →)
  2. Omogućite DKIM kod svake usluge koja šalje u vaše ime — većina provajdera to čini prekidačem. (Popravite DKIM →)
  3. Objavite DMARC sa izveštavanjem, posmatrajte, pa primenite — prvo p=none uz rua=, identifikujte svakog legitimnog pošiljaoca, pa pređite na quarantine i reject. Ovo je zid koji većina domena nikada ne prelazi, i to je istražni posao, a ne novac. (Popravite DMARC →)
  4. Zatim veb sloj: HSTS na vašem HTTPS sajtu, i DNSSEC ako vaš DNS provajder upravlja potpisivanjem umesto vas.

Domena koja ne šalje poštu može potpuno preskočiti fazu posmatranja: SPF -all i p=reject već danas, jedna DNS promena, pravo preko zida.

Često postavljana pitanja

Kako izgleda potpuno zaštićena domena? SPF i DKIM na mestu i DMARC politika quarantine ili reject povrh — kompletan sloj autentifikacije e-pošte, primenjen. 10,092,481 domena (3.87%) dostiže tu granicu. Najstroža verzija dodaje DNSSEC, HTTPS i HSTS: svih pet zajedno je 0.09% piramide.

Koliko domena ima DMARC, DNSSEC i HSTS raspoređene zajedno? Popis objavljuje ocenu od pet zaštita, a ne svaku unakrsnu tabelu po parovima, pa je pošten odgovor granica: bar 247,054 domena koje drže svih pet imaju te tri zajedno, a najviše 2.2% domena (spratovi 4–5) bi moglo. U svakom slučaju: dobrano ispod jedne od četrdeset.

Da li je kompletan sloj skup? Ne. SPF, DKIM, DMARC, HSTS i DNSSEC su sve konfiguracija — DNS zapisi i serverska zaglavlja, bez licenci. Pravi troškovi su pažnja i redosled: posao identifikacije pošiljalaca pre primene DMARC-a je jedini korak koji zahteva istrajan trud, i to je onaj ispred kojeg većina domena zapinje.

Koja zaštita treba da bude prva? Primenjena autentifikacija e-pošte, jer je lažno predstavljanje putem e-pošte napad sa kojim se obična preduzeća zaista suočavaju. HTTPS gotovo sigurno već imate; HSTS je jednolinijski nastavak; DNSSEC poslednji, i samo preko provajdera koji upravlja potpisivanjem. Penjanje sprat po sprat bolje je od pokretanja pet projekata odjednom — to je upravo poenta.

Proverite koliko od pet zaštita imate

Jaz između 76.9% na spratovima 1–2 i 3.87% koji su dovršili posao nije talenat ni budžet — to je redosled, i svaki korak u njemu je besplatan. Možete proveriti privatno i besplatno, i videti koje od 34 provere prolazite i kako da popravite one koje ne prolazite.

Proverite svoju domenu → · 6 faza zrelosti DMARC-a → · DMARC stub → · Samo agregatni podaci. Podaci se čuvaju i obrađuju u EU.