Defaults.Exposed › รายงาน
ดัชนีการปลอมแปลงอีเมล: มีโดเมนกี่รายการที่ใครก็สามารถปลอมแปลง? (2026)
เผยแพร่ 2026-07-03
ตัวเลข ณ 2026-06-29 · ระเบียบวิธี v7 สำมะโนรวมข้ามโดเมน 261 ล้านโดเมนที่ให้เกรด — อินเทอร์เน็ตตามที่เราวัด — รวมต่อโดเมน ตัวเลขทั้งหมดเป็นข้อมูลรวม ไม่เคยเป็นเกรดของธุรกิจแต่ละราย ดู วิธีที่เราให้เกรด
มีโดเมนกี่รายการที่สามารถปลอมแปลงได้?
9 ใน 10 89.4% ของอินเทอร์เน็ต — 233,445,245 โดเมน — ไม่เผยแพร่นโยบายที่บอกให้ผู้รับปฏิเสธหรือทิ้งเมลที่ล้มเหลวการตรวจสอบตัวตน นั่นคือสิ่งที่เรานับว่าปลอมแปลงได้ และมันเป็นมุมมองของผู้โจมตีต่อสำมะโน: ไม่ใช่ “ใครเริ่มรักษาความปลอดภัยอีเมล” แต่ “ใครยังสามารถถูกปลอมแปลงได้” โดเมนส่วนใหญ่เริ่มแล้ว — พวกเขาเผยแพร่ SPF น้อยมากที่เสร็จแล้ว และช่องว่างระหว่างกริยาสองคำนั้นคือดัชนี
”ปลอมแปลงได้” หมายความว่าอะไรที่นี่?
คำจำกัดความที่แม่นยำ เพราะตัวเลขนี้ถูกอ้างอิง: โดเมนสามารถปลอมแปลงได้เมื่อไม่มีนโยบาย DMARC ที่ p=quarantine หรือ p=reject — คำสั่งมาตรฐานเดียวที่ทำให้ mailbox provider รายใหญ่ทุกรายปฏิเสธหรือทิ้งข้อความที่ล้มเหลว ผู้รับบางรายดำเนินการกับ SPF -all เข้มงวดเพียงอย่างเดียว แต่พฤติกรรมนั้นเป็นดุลพินิจและไม่สม่ำเสมอข้าม inbox ของโลก การบังคับใช้ DMARC คือคำสั่งที่ทุกคนเคารพ ดังนั้นโดเมนที่ปลอมแปลงได้ไม่จำเป็นต้องไม่มีการป้องกันทุกที่ — มันไม่มีการป้องกัน ตามนโยบาย ขึ้นอยู่กับความเมตตาของผู้รับแต่ละราย
นั่นยังเป็นเหตุผลที่การเผยแพร่ SPF เพียงอย่างเดียวไม่ย้ายโดเมนออกจากดัชนีนี้: SPF ระบุเมลที่แท้จริงของคุณ แต่ โดยไม่มีการบังคับใช้ไม่มีอะไรสั่งให้ผู้รับดำเนินการ กับการปลอมแปลง
โดเมนที่ปลอมแปลงได้มากที่สุดคือโดเมนไหน?
สัดส่วนของโดเมนที่ให้เกรดที่ขาด DMARC ที่บังคับใช้ ตามโดเมน:
| TLD | สัดส่วนที่ปลอมแปลงได้ |
|---|---|
| .xyz | 94.9% |
| .de | 78.6% |
| .com | 90.5% |
| .org | 90.0% |
| .uk | 86.6% |
| .nl | 70.6% |
ไม่มีย่านไหนบนอินเทอร์เน็ตที่ปลอดภัย — ช่วงระหว่างโดเมนคือระดับการเปิดเผย ไม่ใช่หมวดหมู่ สุดขั้วระดับประเทศเป็นเรื่องของตัวเอง: ดู ประเทศที่ปลอมแปลงได้มากที่สุด สำหรับลีกตามประเทศที่ดัชนีนี้สรุป
การตัด mail-server: inbox สด ไม่มีการป้องกัน
ส่วนที่คมที่สุดของดัชนี: 42.7% ของโดเมนที่ให้เกรดทั้งหมดใช้เซิร์ฟเวอร์เมลสดขณะที่ไม่เผยแพร่การตรวจสอบตัวตนเลย — 111,369,509 โดเมนที่รับเมลจริงและเสนอชื่อที่ไม่มีการป้องกันให้นักปลอมแปลง สิ่งเหล่านี้ไม่ใช่เปลือกที่จอดอยู่ พวกเขาเป็นโดเมนเมลที่ทำงานซึ่งเจ้าของไม่เคยติดล็อค
ทำไมนี่จึงเป็นตัวเลขที่สำคัญ
สถิติการนำไปใช้ทำให้อินเทอร์เน็ตดูดี การวัดความสามารถในการปลอมแปลงวัดสิ่งที่ผู้โจมตียังสามารถทำได้ การแก้ไขฟรีในทุกขั้นตอน — SPF, DKIM จากนั้นนโยบาย DMARC ที่ p=reject — และแต่ละโดเมนที่เสร็จย้ายจาก 9-ใน-10 ไปสู่ ผู้ที่ได้รับการป้องกันน้อยๆ บทความสองบทความเป็นชุดข้อมูลเดียวกันที่อ่านจากสองปลาย: อันนี้นับประตูที่เปิดอยู่ อีกอันนับที่ล็อคแล้ว
คำถามที่พบบ่อย
อะไรทำให้โดเมนปลอมแปลงได้?
การขาดนโยบาย DMARC ที่บังคับใช้ (p=quarantine หรือ p=reject) โดยไม่มีมัน ไม่มีคำสั่งมาตรฐานที่บอกให้ผู้รับปฏิเสธหรือทิ้งเมลที่ล้มเหลวการตรวจสอบ SPF/DKIM 89.4% ของโดเมน — 9 ใน 10 — อยู่ในสถานะนี้ ณ 2026-06-29
ฉันเผยแพร่ SPF — โดเมนของฉันยังปลอมแปลงได้หรือไม่? ถ้าไม่มีอะไรบังคับใช้ ใช่ SPF พิสูจน์ว่าเมลใดแท้จริง ไม่สั่งให้ผู้รับปฏิเสธส่วนที่เหลือ กลไกและการแก้ไขครอบคลุมใน SPF โดยไม่มี DMARC
DMARC p=quarantine ทำให้โดเมนของฉันปลอดภัยหรือไม่?
มันย้ายคุณออกจากดัชนีนี้: เมลที่ล้มเหลวถูกทิ้งแทนที่จะส่งไปที่ inbox p=reject ไปไกลกว่าและปฏิเสธโดยสิ้นเชิง — การตั้งค่าที่แข็งแกร่งที่สุดและจุดหมายปลายทางที่แนะนำ
ฉันจะทำให้โดเมนของฉันปลอมแปลงไม่ได้อย่างไร?
ใส่ล็อคทั้งสาม — SPF, DKIM และ DMARC ที่ p=reject — แต่ละอย่างเป็นการเปลี่ยนแปลง DNS ฟรี แก้ไขนโยบาย DMARC ของคุณ คือขั้นตอนการบังคับใช้ที่นำคุณออกจากดัชนี
ตรวจสอบว่าของคุณเป็นหนึ่งใน 9 หรือไม่
โดเมนของคุณอยู่ในดัชนีนี้หรือออกจากมัน และคำตอบฟรีที่จะได้และฟรีที่จะเปลี่ยน
ตรวจสอบโดเมนของคุณ → · แก้ไข DMARC → · แก้ไข SPF → · ประเทศที่ปลอมแปลงได้มากที่สุด → · ผู้ที่ได้รับการป้องกัน → · เฉพาะข้อมูลรวม ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป