Defaults.Exposed › Rapporter
Indexet för e-postförfalskning: hur många domäner kan vem som helst förfalska? (2026)
Publicerad 2026-07-03
Siffror per 2026-06-29 · metodik v7. Sammanlagd folkräkning över 261 miljoner graderade domäner — internet så som vi mäter det — sammanfogade per domän. Alla siffror är sammanlagda; aldrig ett enskilt företags betyg. Se hur vi graderar.
Hur många domäner kan förfalskas?
9 av 10. 89.4% av internet — 233,445,245 domäner — publicerar ingen policy som säger åt mottagare att avvisa eller skräppostmarkera e-post som misslyckas med autentiseringen. Det är vad vi räknar som förfalskningsbart, och det är angriparens vy av folkräkningen: inte “vem som började säkra e-post”, utan “vem som fortfarande kan imiteras”. De flesta domäner har börjat — de publicerar SPF. Långt färre har blivit klara, och gapet mellan de två verben är indexet.
Vad betyder “förfalskningsbar” här?
En exakt definition, eftersom den här siffran citeras: en domän är förfalskningsbar när den inte publicerar någon DMARC-policy på p=quarantine eller p=reject — den enda standardiserade instruktionen som får varje större mottagare att avvisa eller skräppostmarkera ett underkänt meddelande. Vissa mottagare agerar visserligen på en strikt SPF -all i sig själv, men det beteendet är valfritt och inkonsekvent över världens inkorgar; DMARC-tillämpning är instruktionen som alla följer. Så en förfalskningsbar domän är inte nödvändigtvis oförsvarad överallt — den är oförsvarad enligt policy, beroende av varje mottagares goda vilja.
Det är också därför att bara publicera SPF inte flyttar en domän bort från detta index: SPF identifierar din äkta e-post, men utan tillämpning finns det ingenting som instruerar mottagare att agera på förfalskningarna.
Vilka domänändelser är mest förfalskningsbara?
Andelen graderade domäner som saknar tillämpande DMARC, per ändelse:
| TLD | Förfalskningsbar andel |
|---|---|
| .xyz | 94.9% |
| .de | 78.6% |
| .com | 90.5% |
| .org | 90.0% |
| .uk | 86.6% |
| .nl | 70.6% |
Inget område på internet är säkert — skillnaden mellan ändelser är grader av exponering, inte kategorier av den. Extremvärden på landsnivå är sin egen historia: se de mest förfalskningsbara länderna för den landsvisa ligan som detta index sammanfattar.
Snittet för e-postservrar: levande inkorgar, inget skydd
Indexets skarpaste skiva: 42.7% av alla graderade domäner driver en levande e-postserver samtidigt som de inte publicerar någon autentisering alls — 111,369,509 domäner som både tar emot riktig e-post och erbjuder förfalskare ett obevakat namn. Det här är inte parkerade skal; det är e-postdomäner i drift vars ägare aldrig satte dit låsen.
Varför det är siffran som spelar roll
Antagandestatistik smickrar internet; förfalskningsbarhet mäter vad en angripare fortfarande kan göra. Åtgärden är gratis i varje steg — SPF, DKIM, sedan en DMARC-policy på p=reject — och varje domän som blir klar flyttar från 9-av-10 till de skyddade få. De två artiklarna är samma dataset läst från motsatta ändar: den här räknar de öppna dörrarna; den andra räknar de låsta.
Vanliga frågor
Vad gör en domän förfalskningsbar?
Frånvaron av en tillämpande DMARC-policy (p=quarantine eller p=reject). Utan den finns ingen standardiserad instruktion som säger åt mottagare att avvisa eller skräppostmarkera e-post som misslyckas med SPF/DKIM-kontroller. 89.4% av domänerna — 9 av 10 — befinner sig i detta tillstånd per 2026-06-29.
Jag publicerar SPF — kan min domän ändå förfalskas? Om ingenting tillämpar, ja. SPF bevisar vilken e-post som är äkta; det instruerar inte mottagare att avvisa resten. Mekanismen och åtgärden beskrivs i SPF utan DMARC.
Gör DMARC p=quarantine min domän säker?
Det flyttar dig bort från detta index: underkänd e-post skräppostmarkeras i stället för att levereras till inkorgen. p=reject går längre och avvisar den helt — den starkaste inställningen, och den rekommenderade destinationen.
Hur gör jag min domän omöjlig att förfalska?
Sätt dit alla tre låsen — SPF, DKIM och DMARC på p=reject — vardera en gratis DNS-ändring. Åtgärda din DMARC-policy är tillämpningssteget som tar dig bort från indexet.
Kontrollera om din är en av 9
Din domän är antingen på detta index eller borta från det, och svaret är gratis att få och gratis att ändra.
Kontrollera din domän → · Åtgärda DMARC → · Åtgärda SPF → · De mest förfalskningsbara länderna → · De skyddade få → · Endast sammanlagd data. Data lagras och behandlas i EU.