Defaults.Exposed › Articles
Domänsäkerhetens tillstånd 2026
Published 2026-06-27
Siffror per 2026-06-27 · metodik v7. Detta är en återkommande rapport; varje utgåva mäter samma population på nytt så att siffrorna kan följas över tid. Alla siffror är aggregerade — vi publicerar aldrig ett enskilt företags betyg.
.comär fullständigt betygsatt (129M domäner) och ingår i totalsiffrorna nedan.
Huvudresultatet: de flesta av internets domäner underkänns på grundläggande säkerhet
Vi mätte 261,752,302 aktiva domäner mot 34 säkerhetskontroller — e-postautentisering (SPF, DKIM, DMARC), TLS och certifikat, webbsäkerhetsheaders och DNS (inklusive DNSSEC). Resultatet är tydligt:
- 86.3% får betyget F — det lägsta betyget.
- Färre än 0.02% når A eller A+ — ungefär 1 av 4,700 domäner.
- Bara ungefär 1 av 27 når C eller bättre.
Det här är inte en historia om ett fåtal bortglömda webbplatser. Det är internets normalläge: skydden som hindrar att din e-post förfalskas och att dina besökare vilseleds är helt enkelt inte aktiverade för den stora majoriteten av domäner.
Betygsfördelning (262M domäner)
| Betyg | Domäner | Andel |
|---|---|---|
| A+ | 6,708 | 0.0% |
| A | 49,443 | 0.0% |
| B | 1,142,198 | 0.4% |
| C | 8,566,735 | 3.3% |
| D | 26,225,422 | 10.0% |
| F | 225,761,796 | 86.3% |
Det varierar kraftigt efter land och TLD
Domänsäkerheten varierar stort beroende på land och domänändelse. Etablerade nationella register — särskilt i Europa — tenderar att skydda sina företag bäst, medan billiga, volymdrivna generiska ändelser som används för massregistrering presterar sämst. Men “bäst” är relativt: även de starkaste ändelserna lämnar de flesta av sina domäner med betyget F.
Dessa rankningar förändras när folkräkningen växer, så vi håller dem levande i stället för att frysa dem här:
Vad det betyder för ditt företag
Ett underkänt betyg är inte ett abstrakt poäng. I klartext innebär det vanligtvis att ett eller flera av följande stämmer för din domän:
- Din e-post kan förfalskas. Utan påtvingad SPF och DMARC kan en bedragare skicka e-post som ser ut att komma exakt från dig — till dina kunder, din personal och dina leverantörer — och det hamnar i inkorgen. Det är så bluffinvalturer och VD-bedrägerier fungerar.
- Din riktiga e-post hamnar oftare i skräppost. Google och Yahoo litar alltmer sällan på oautentiserade domäner, så dina genuina offerter och fakturor hamnar tyst i skräppostmappen.
- Du misslyckas med andras säkerhetskontroller. Större kunder gör en snabb kontroll innan de skriver under. “Domän oskyddad — kan spoofas” räcker för att förlora affären.
- Din webbplats kan varna besökare bort. Ett saknat eller trasigt certifikat visar köpare en röd “Inte säkert”-sida.
Den uppmuntrande delen: de flesta av dessa problem är gratis och snabba att åtgärda — vanligtvis några rader i domänens inställningar. Hindret är nästan aldrig kostnaden; det är att ingen berättade för ägaren att det spelade roll.
Hur vi mätte
- 34 kontroller, externt observerbara — ingen åtkomst till någons system krävs. (Fullständig metodik.)
- Godkänd / underkänd / ej tillämplig. Där en kontroll genuint inte kan avgöras markeras den som N/A och exkluderas — den räknas aldrig som ett misslyckande.
- Ett verkligt misslyckande är ett verkligt misslyckande. En domän utan SPF/DMARC får ett lågt betyg eftersom den genuint kan spoofas — inte på grund av hur vi räknade.
- Enbart aggregerat. Dessa är populationsmönster; en enskild domäns betyg visas bara för dess verifierade ägare.
- Data lagras och behandlas inom EU.
(En framtida utgåva kommer att lägga till andelen domäner som inte publicerar något e-postspoofingskydd alls, när den per-kontroll-analysen är klar för hela populationen.)
Se var din egen domän står
Dessa är genomsnitt. Din domän kanske är en av de 0.02% som når A — eller en av de 86.3% som inte gör det. Du kan kontrollera den privat och gratis, och se exakt vilka av de 34 kontrollerna du klarar och hur du åtgärdar dem du inte klarar.