Defaults.Exposed

Defaults.Exposed › Rapporter

De få fullt skyddade: de 3.87% som gjorde klart

Publicerad 2026-07-03 · uppdaterad 2026-07-03

Siffror per 2026-06-29 · metodik v7. Folkräkningsdata som kopplar samman kontroller per domän över 261 miljoner betygsatta domäner. “Fullt skyddad” i den här artikeln betyder den kompletta e-postautentiseringsstacken, framtvingad: SPF finns, DKIM finns och en DMARC-policy på quarantine eller reject. Exponeringspyramiden räknar fem kärnskydd per domän — SPF, framtvingande DMARC, DNSSEC, HTTPS, HSTS. Överlappssiffrorna här kommer från kopplingen per domän, vars dedup-granularitet skiljer sig marginellt från policyuppdelningens antal som citeras på DAMMM-sidorna (27,640,987 mot 27,639,358 framtvingande domäner) — varje sida citerar sin egen källa, och de två blandas aldrig. Alla siffror är aggregerade — vi publicerar aldrig ett enskilt företags betyg.

Vad fullt skyddade domäner gör annorlunda: de gör klart

Bara 3.87% av internets 261 miljoner betygsatta domäner — 10,092,481 av dem — kör den kompletta, framtvingade e-postskyddsstacken: SPF och DKIM på plats, DMARC på quarantine eller reject. Det intressanta med den här gruppen är vad den inte är. Det är ingen klubb för säkerhetsteam med större budgetar — varje kontroll som ingår är en gratis DNS- eller webbserverinställning. De 3.87% är inte smartare än alla andra; de är systematiska. De behandlade skydden som en stack att göra klart snarare än fem separata projekt att påbörja, och resten av den här artikeln handlar om hur det ser ut i folkräkningsdatan.

För att se hur ovanligt det är att göra klart, börja med var alla andra står.

Exponeringspyramiden: fem skydd, sex våningar

Betygsätt varje domän på fem skydd enligt bästa praxis — SPF, framtvingande DMARC, DNSSEC, HTTPS, HSTS — en poäng var, och internet ordnar sig i en pyramid (exponeringskurvan, sedd våning för våning). Per 2026-06-29:

VåningSkydd på platsAndel av domänerDomäner
0Inga — fullt exponerad8.8%23,105,485
1Ett (vanligtvis enbart HTTPS)37.2%97,206,153
2Två (typiskt HTTPS + SPF)39.7%103,527,371
3Tre12.0%31,424,343
4Fyra2.1%5,575,826
5Alla fem — fullt låst0.09%247,054

Formen berättar historien innan någon enskild siffra gör det. 76.9% av alla domäner — 201 miljoner — sitter på våning 1 och 2, och har exakt de skydd som kom som standard och inget mer. HTTPS finns där för att värdar och CDN:er slog på det automatiskt; SPF finns där för att varje e-postleverantörs introduktionsguide börjar med det. Allt ovanför våning 2 kräver att en ägare beslutar — och vid varje beslut stannar större delen av internet. Våning 4 och 5 tillsammans rymmer bara 2.2% av domänerna.

Pyramiden är ingen rangordning av vem som bryr sig. Det är en karta över var standardvärden slutar och medvetenhet börjar.

Tratten som de 3.87% klättrade uppför

Följ e-posthalvan av stacken steg för steg och samma mönster upprepas — varje steg tappar mer än hälften av de domäner som nådde det föregående:

Det sista steget är värt att stanna upp vid. Av de ungefär 28 miljoner domäner som framtvingar DMARC bär bara 36.5% både SPF och DKIM under policyn. En del av de återstående gör precis rätt sak — en domän som inte skickar någon e-post bör vara på p=reject med ett naket -all SPF och behöver ingen DKIM. Men gapet innehåller också framtvingande domäner vars autentisering är ofullständig, vilket är en stack byggd uppifrån och ner. De 3.87% definieras av den motsatta vanan: grund före tak, varje lager, sedan policyn överst.

SPF ensamt täcker 139 miljoner domäner och skyddar nästan ingen av dem — folkräkningens rakaste illustration av vad det ger att börja utan att göra klart.

En stack, inte fem projekt

Här är vanan som skiljer de 3.87% åt, och den är organisatorisk, inte teknisk.

De flesta domäner samlar på sig skydd på det sätt som pyramiden antyder: ett i taget, vart och ett utlöst av en annan impuls — en webbläsarvarning, ett leveransbarhetsproblem, en efterlevnadschecklista — vart och ett behandlat som sitt eget lilla projekt med sitt eget “klart”. Klart betyder, i det läget, att posten finns. Så här hamnar internet med 201 miljoner domäner på våning 1–2: fem gröna bockar tillgängliga, en eller två insamlade, resan över.

De fullt skyddade behandlar de fem som ett system med en definition av klart: attacken fungerar inte längre. Förfalskad e-post avvisas, inte bara observeras; sessioner kan inte nedgraderas, för att HSTS är fastnaglat; svar kan inte i tysthet bytas ut, där DNSSEC är signerat. I DMARC:s mognadsmodell för införande är det Steg 6-tänket — skydd som en disciplin som övervakas och underhålls, inte ett märke som förtjänades en gång. Inget med det kräver expertis som de övriga 96% saknar. Det kräver att man gör klart — i rätt ordning, kontrollerar att varje lager faktiskt håller, och behandlar “konfigurerad” som mittpunkten snarare än destinationen.

Toppen ovanför: alla fem tillsammans

Ovanför de fullt e-postskyddade sitter en mycket mindre population: de 247,054 domäner — 0.09% — som har alla fem skydden samtidigt, med DMARC, DNSSEC och HSTS utrullade tillsammans ovanpå SPF och HTTPS. Grinden är DNSSEC: giltigt på bara 1.99% av domänerna, är det det sällsyntaste av de fem, så pyramidens toppvåning är med nödvändighet liten. Om våning 5 beskriver din ambition spelar ordningen fortfarande roll — framtvinga e-postautentisering först (den stoppar attackerna som faktiskt kommer dagligen), fastnagla sedan transporten med HSTS, signera sedan zonen.

Så ansluter du dig till de 3.87%

Varje steg är en konfigurationsändring, och varje är gratis:

  1. Publicera SPF som listar dina verkliga avsändare och slutar med -all. (Åtgärda SPF →)
  2. Aktivera DKIM med varje tjänst som skickar som dig — de flesta leverantörer gör det till en enkel omkopplare. (Åtgärda DKIM →)
  3. Publicera DMARC med rapportering, observera, framtvinga sedanp=none plus rua= först, identifiera varje legitim avsändare, gå sedan vidare till quarantine och reject. Detta är muren som de flesta domäner aldrig klättrar över, och det är utredningsarbete, inte pengar. (Åtgärda DMARC →)
  4. Sedan webbnivån: HSTS på din HTTPS-webbplats, och DNSSEC om din DNS-leverantör hanterar signeringen åt dig.

En domän som inte skickar någon e-post kan hoppa över observationsfasen helt: SPF -all och p=reject idag, en DNS-ändring, rakt förbi muren.

Vanliga frågor

Hur ser en fullt skyddad domän ut? SPF och DKIM på plats och en DMARC-policy på quarantine eller reject överst — den kompletta e-postautentiseringsstacken, framtvingad. 10,092,481 domäner (3.87%) når upp till den nivån. Den striktaste versionen lägger till DNSSEC, HTTPS och HSTS: alla fem tillsammans är pyramidens 0.09%.

Hur många domäner har DMARC, DNSSEC och HSTS utrullade tillsammans? Folkräkningen publicerar femskyddspoängen snarare än varje parvis korstabell, så det ärliga svaret är en gräns: minst de 247,054 domäner som har alla fem har de tre tillsammans, och som mest kan 2.2% av domänerna (våning 4–5) ha det. Hur som helst: klart under en på fyrtio.

Är hela stacken dyr? Nej. SPF, DKIM, DMARC, HSTS och DNSSEC är alla konfiguration — DNS-poster och serverrubriker, inga licenser. De verkliga kostnaderna är uppmärksamhet och ordningsföljd: avsändaridentifieringsarbetet före DMARC-framtvingande är det enda steget som kräver ihållande ansträngning, och det är det som de flesta domäner kör fast framför.

Vilket skydd bör komma först? Framtvingad e-postautentisering, eftersom e-postimitation är den attack som vanliga företag faktiskt möter. HTTPS har du nästan säkert; HSTS är en enradsuppföljning; DNSSEC sist, och bara via en leverantör som hanterar signering. Att klättra våning för våning slår att påbörja fem projekt på en gång — det är just poängen.

Kontrollera hur många av de fem du har

Gapet mellan de 76.9% på våning 1–2 och de 3.87% som gjorde klart är inte talang eller budget — det är en ordningsföljd, och varje steg av den är gratis. Du kan kontrollera privat och gratis, och se vilka av de 34 kontrollerna du klarar och hur du åtgärdar dem du inte klarar.

Kontrollera din domän → · De 6 stegen i DMARC-mognad → · DMARC-pelaren → · Endast aggregerade data. Data lagras och behandlas inom EU.