Defaults.Exposed

Defaults.Exposed › Rapporter

Indexet för e-postförfalskning: hur många domäner kan vem som helst förfalska? (2026)

Publicerad 2026-07-03

Siffror per 2026-06-29 · metodik v7. Sammanlagd folkräkning över 261 miljoner graderade domäner — internet så som vi mäter det — sammanfogade per domän. Alla siffror är sammanlagda; aldrig ett enskilt företags betyg. Se hur vi graderar.

Hur många domäner kan förfalskas?

9 av 10. 89.4% av internet — 233,445,245 domäner — publicerar ingen policy som säger åt mottagare att avvisa eller skräppostmarkera e-post som misslyckas med autentiseringen. Det är vad vi räknar som förfalskningsbart, och det är angriparens vy av folkräkningen: inte “vem som började säkra e-post”, utan “vem som fortfarande kan imiteras”. De flesta domäner har börjat — de publicerar SPF. Långt färre har blivit klara, och gapet mellan de två verben är indexet.

Vad betyder “förfalskningsbar” här?

En exakt definition, eftersom den här siffran citeras: en domän är förfalskningsbar när den inte publicerar någon DMARC-policy på p=quarantine eller p=reject — den enda standardiserade instruktionen som får varje större mottagare att avvisa eller skräppostmarkera ett underkänt meddelande. Vissa mottagare agerar visserligen på en strikt SPF -all i sig själv, men det beteendet är valfritt och inkonsekvent över världens inkorgar; DMARC-tillämpning är instruktionen som alla följer. Så en förfalskningsbar domän är inte nödvändigtvis oförsvarad överallt — den är oförsvarad enligt policy, beroende av varje mottagares goda vilja.

Det är också därför att bara publicera SPF inte flyttar en domän bort från detta index: SPF identifierar din äkta e-post, men utan tillämpning finns det ingenting som instruerar mottagare att agera på förfalskningarna.

Vilka domänändelser är mest förfalskningsbara?

Andelen graderade domäner som saknar tillämpande DMARC, per ändelse:

TLDFörfalskningsbar andel
.xyz94.9%
.de78.6%
.com90.5%
.org90.0%
.uk86.6%
.nl70.6%

Inget område på internet är säkert — skillnaden mellan ändelser är grader av exponering, inte kategorier av den. Extremvärden på landsnivå är sin egen historia: se de mest förfalskningsbara länderna för den landsvisa ligan som detta index sammanfattar.

Snittet för e-postservrar: levande inkorgar, inget skydd

Indexets skarpaste skiva: 42.7% av alla graderade domäner driver en levande e-postserver samtidigt som de inte publicerar någon autentisering alls — 111,369,509 domäner som både tar emot riktig e-post och erbjuder förfalskare ett obevakat namn. Det här är inte parkerade skal; det är e-postdomäner i drift vars ägare aldrig satte dit låsen.

Varför det är siffran som spelar roll

Antagandestatistik smickrar internet; förfalskningsbarhet mäter vad en angripare fortfarande kan göra. Åtgärden är gratis i varje steg — SPF, DKIM, sedan en DMARC-policy på p=reject — och varje domän som blir klar flyttar från 9-av-10 till de skyddade få. De två artiklarna är samma dataset läst från motsatta ändar: den här räknar de öppna dörrarna; den andra räknar de låsta.

Vanliga frågor

Vad gör en domän förfalskningsbar? Frånvaron av en tillämpande DMARC-policy (p=quarantine eller p=reject). Utan den finns ingen standardiserad instruktion som säger åt mottagare att avvisa eller skräppostmarkera e-post som misslyckas med SPF/DKIM-kontroller. 89.4% av domänerna — 9 av 10 — befinner sig i detta tillstånd per 2026-06-29.

Jag publicerar SPF — kan min domän ändå förfalskas? Om ingenting tillämpar, ja. SPF bevisar vilken e-post som är äkta; det instruerar inte mottagare att avvisa resten. Mekanismen och åtgärden beskrivs i SPF utan DMARC.

Gör DMARC p=quarantine min domän säker? Det flyttar dig bort från detta index: underkänd e-post skräppostmarkeras i stället för att levereras till inkorgen. p=reject går längre och avvisar den helt — den starkaste inställningen, och den rekommenderade destinationen.

Hur gör jag min domän omöjlig att förfalska? Sätt dit alla tre låsen — SPF, DKIM och DMARC på p=reject — vardera en gratis DNS-ändring. Åtgärda din DMARC-policy är tillämpningssteget som tar dig bort från indexet.

Kontrollera om din är en av 9

Din domän är antingen på detta index eller borta från det, och svaret är gratis att få och gratis att ändra.

Kontrollera din domän → · Åtgärda DMARC → · Åtgärda SPF → · De mest förfalskningsbara länderna → · De skyddade få → · Endast sammanlagd data. Data lagras och behandlas i EU.