Defaults.Exposed › รายงาน
ผู้ที่ได้รับการป้องกันอย่างเต็มที่: 3.87% ที่เสร็จสมบูรณ์
เผยแพร่ 2026-07-03 · อัปเดต 2026-07-03
ตัวเลข ณ 2026-06-29 · ระเบียบวิธี v7 ข้อมูลสำมะโนรวมต่อโดเมนข้ามโดเมน 261 ล้านโดเมนที่ให้เกรด “ป้องกันอย่างเต็มที่” ในบทความนี้หมายถึง email-authentication stack ครบถ้วน บังคับใช้: มี SPF, มี DKIM และนโยบาย DMARC ของ
quarantineหรือrejectpyramid การเปิดเผยนับการป้องกันหลักห้าอย่างต่อโดเมน — SPF, DMARC ที่บังคับใช้ DNSSEC, HTTPS, HSTS ตัวเลข overlap ที่นี่มาจากการ join ต่อโดเมน ซึ่ง grain dedup แตกต่างกันเล็กน้อยจากการนับที่แยกตามนโยบายที่อ้างบนหน้า DAMMM (27,640,987 vs 27,639,358 โดเมนที่บังคับใช้) — แต่ละหน้าอ้างแหล่งของตัวเองและไม่เคยผสม ตัวเลขทั้งหมดเป็นข้อมูลรวม — เราไม่เคยเผยแพร่เกรดของธุรกิจแต่ละราย
สิ่งที่โดเมนที่ป้องกันอย่างเต็มที่ทำต่างกัน: พวกเขาเสร็จ
มีเพียง 3.87% ของโดเมน 261 ล้านโดเมนที่ให้เกรดของอินเทอร์เน็ต — 10,092,481 รายการ — ที่ใช้ email-protection stack ครบถ้วนที่บังคับใช้: มี SPF และ DKIM, DMARC ที่ quarantine หรือ reject สิ่งที่น่าสนใจเกี่ยวกับกลุ่มนี้คือสิ่งที่มัน ไม่ได้เป็น มันไม่ใช่ club ของทีมความปลอดภัยที่มีงบประมาณมากกว่า — การควบคุมทุกอย่างที่เกี่ยวข้องเป็น DNS หรือ web-server setting ฟรี 3.87% ไม่ได้ฉลาดกว่าคนอื่น 96% พวกเขาเป็นระบบ พวกเขาปฏิบัติกับการป้องกันเป็น stack เดียวที่ต้องเสร็จ ไม่ใช่ห้า project แยกกันที่ต้องเริ่ม และส่วนที่เหลือของบทความนี้เกี่ยวกับสิ่งที่นั้นดูเป็นอย่างไรในข้อมูลสำมะโน
เพื่อดูว่าการเสร็จนั้นผิดปกติแค่ไหน ให้เริ่มจากที่ที่คนอื่นๆ ยืนอยู่
Pyramid การเปิดเผย: การป้องกันห้าอย่าง หกชั้น
ให้คะแนนทุกโดเมนบนการป้องกัน best-practice ห้าอย่าง — SPF, DMARC ที่บังคับใช้ DNSSEC, HTTPS, HSTS — หนึ่งคะแนนแต่ละอย่าง และอินเทอร์เน็ตจัดตัวเองเป็น pyramid (กราฟการเปิดเผย ดูทีละชั้น) ณ 2026-06-29:
| ชั้น | การป้องกันที่มี | สัดส่วนของโดเมน | โดเมน |
|---|---|---|---|
| 0 | ไม่มี — เปิดเผยอย่างเต็มที่ | 8.8% | 23,105,485 |
| 1 | หนึ่ง (ปกติ HTTPS เพียงอย่างเดียว) | 37.2% | 97,206,153 |
| 2 | สอง (โดยทั่วไป HTTPS + SPF) | 39.7% | 103,527,371 |
| 3 | สาม | 12.0% | 31,424,343 |
| 4 | สี่ | 2.1% | 5,575,826 |
| 5 | ครบทั้งห้า — ล็อคอย่างเต็มที่ | 0.09% | 247,054 |
รูปร่างบอกเรื่องราวก่อนตัวเลขใดๆ 76.9% ของโดเมนทั้งหมด — 201 ล้าน — อยู่ที่ชั้น 1 และ 2 มีการป้องกันที่มาถึงโดยค่าเริ่มต้นและไม่มีอะไรอื่น HTTPS อยู่ที่นั่นเพราะ host และ CDN เปิดให้อัตโนมัติ SPF อยู่ที่นั่นเพราะคู่มือ onboarding ของผู้ให้บริการเมลทุกรายเริ่มต้นด้วยมัน ทุกอย่างเหนือชั้น 2 ต้องการเจ้าของที่ ตัดสินใจ — และในแต่ละการตัดสินใจ อินเทอร์เน็ตส่วนใหญ่หยุด ชั้น 4 และ 5 รวมกันมีเพียง 2.2% ของโดเมน
Pyramid ไม่ใช่การจัดอันดับว่าใครสนใจ มันเป็นแผนที่ว่าค่าเริ่มต้นสิ้นสุดที่ไหนและเจตนาเริ่มต้นที่ไหน
Funnel ที่ 3.87% ปีนขึ้น
ติดตาม email half ของ stack ทีละขั้นและรูปแบบเดิมซ้ำ — แต่ละขั้นสูญเสียมากกว่าครึ่งหนึ่งของโดเมนที่ถึงขั้นก่อนหน้า:
- 53.21% ของโดเมนเผยแพร่ SPF — ขั้นตอนที่คู่มือทุกอย่างครอบคลุม
- 24.89% เผยแพร่ DMARC record ใดๆ เลย
- 10.59% บังคับใช้มัน (
quarantineหรือreject) - 3.87% บังคับใช้มัน พร้อม stack ครบอยู่ใต้ — มี SPF และ DKIM ทั้งคู่ ดังนั้นการบังคับใช้ยืนบนการตรวจสอบตัวตนที่ครบ
การตัดสุดท้ายนั้นคุ้มค่าที่จะหยุด จากโดเมนประมาณ 28 ล้านที่บังคับใช้ DMARC มีเพียง 36.5% ที่มี SPF และ DKIM อยู่ใต้นโยบาย บางส่วนที่เหลือทำสิ่งที่ถูกต้องอย่างแน่นอน — โดเมนที่ไม่ส่งเมลควรอยู่ที่ p=reject พร้อม SPF -all เปล่าและไม่ต้องการ DKIM แต่ช่องว่างยังมีโดเมนที่บังคับใช้ซึ่งการตรวจสอบตัวตนไม่ครบ ซึ่งเป็น stack ที่สร้างจากหลังคาลงมา 3.87% ถูกกำหนดโดยนิสัยตรงกันข้าม: พื้นก่อนหลังคา ทุกชั้น จากนั้นนโยบายด้านบน
SPF เพียงอย่างเดียวครอบคลุม 139 ล้านโดเมนและปกป้องแทบไม่มีเลย — ภาพที่ตรงไปตรงมาที่สุดของสำมะโนว่าการเริ่มโดยไม่เสร็จซื้ออะไร
Stack เดียว ไม่ใช่ห้า project
นี่คือนิสัยที่แยก 3.87% ออกมา และมันเป็นองค์กร ไม่ใช่เทคนิค
โดเมนส่วนใหญ่สะสมการป้องกันในแบบที่ pyramid แนะนำ: ทีละอย่าง แต่ละอย่างถูกกระตุ้นโดย prompt ที่แตกต่างกัน — คำเตือนเบราว์เซอร์ ปัญหาการส่ง checklist การปฏิบัติตาม — แต่ละอย่างถูกปฏิบัติเป็น project เล็กๆ ของตัวเองพร้อม “done” ของตัวเอง Done ในโหมดนั้นหมายถึง record มีอยู่ นั่นคือวิธีที่อินเทอร์เน็ตลงเอยกับโดเมน 201 ล้านโดเมนบนชั้น 1–2: เครื่องหมายสีเขียวห้าอัน เก็บได้หนึ่งหรือสอง การเดินทางจบ
ผู้ที่ได้รับการป้องกันอย่างเต็มที่ปฏิบัติกับห้าอย่างเป็นระบบเดียวพร้อมคำจำกัดความ done เดียว: การโจมตีไม่ทำงานอีกต่อไป เมลที่ปลอมแปลงถูกปฏิเสธ ไม่ใช่แค่สังเกต session ไม่สามารถถูก downgrade ได้ เพราะ HSTS ถูก pin คำตอบไม่สามารถถูกเปลี่ยนอย่างเงียบๆ ที่ DNSSEC เซ็น ใน DMARC Adoption Maturity Model นั่นคือ mindset ขั้นที่ 6 — การป้องกันในฐานะ วินัย ที่ได้รับการตรวจสอบและดูแล ไม่ใช่เหรียญตราที่ได้รับครั้งหนึ่ง ไม่มีอะไรเกี่ยวกับมันที่ต้องการความเชี่ยวชาญที่ 96% อื่นๆ ขาด มันต้องการการเสร็จ — ตามลำดับที่ถูกต้อง ตรวจสอบว่าแต่ละชั้นยึดอยู่จริงๆ และปฏิบัติกับ “กำหนดค่าแล้ว” เป็นจุดกึ่งกลางแทนที่จะเป็นจุดหมายปลายทาง
จุดสูงสุดด้านบน: ครบทั้งห้าด้วยกัน
เหนือผู้ที่ป้องกันอีเมลอย่างเต็มที่อยู่ประชากรที่เล็กกว่ามาก: โดเมน 247,054 รายการ — 0.09% — ที่มีการป้องกันครบทั้งห้าพร้อมกัน DMARC, DNSSEC และ HSTS deployed ร่วมกันบน SPF และ HTTPS ประตูคือ DNSSEC: ถูกต้องบนเพียง 1.99% ของโดเมน มันเป็นที่หายากที่สุดในห้า ดังนั้นชั้นสูงสุดของ pyramid จึงเล็กมากอย่างจำเป็น ถ้าชั้น 5 อธิบายความทะเยอทะยานของคุณ ลำดับยังคงสำคัญ — บังคับใช้การตรวจสอบตัวตนทางอีเมลก่อน (มันหยุดการโจมตีที่มาถึงจริงๆ ทุกวัน) จากนั้น pin การขนส่งด้วย HSTS จากนั้นเซ็น zone
วิธีเข้าร่วม 3.87%
ทุกขั้นตอนเป็นการเปลี่ยนแปลงการกำหนดค่า และทุกอย่างฟรี:
- เผยแพร่ SPF ระบุผู้ส่งจริงของคุณ จบด้วย
-all(แก้ไข SPF →) - เปิดใช้ DKIM กับบริการทุกอย่างที่ส่งในนามคุณ — ผู้ให้บริการส่วนใหญ่ทำให้มันเป็นสวิตช์ (แก้ไข DKIM →)
- เผยแพร่ DMARC พร้อมรายงาน สังเกต จากนั้นบังคับใช้ —
p=noneบวกrua=ก่อน ระบุผู้ส่งที่ถูกต้องทุกราย จากนั้นย้ายไปที่quarantineและrejectนี่คือ กำแพงที่โดเมนส่วนใหญ่ไม่เคยปีน และมันคืองานสอบสวน ไม่ใช่เงิน (แก้ไข DMARC →) - จากนั้น web tier: HSTS บนไซต์ HTTPS ของคุณ และ DNSSEC ถ้าผู้ให้บริการ DNS ของคุณจัดการการเซ็นสำหรับคุณ
โดเมนที่ไม่ส่งเมลสามารถข้ามช่วงการสังเกตทั้งหมด: SPF -all และ p=reject วันนี้ การเปลี่ยนแปลง DNS เดียว ผ่านกำแพงตรงๆ
คำถามที่พบบ่อย
โดเมนที่ป้องกันอย่างเต็มที่ดูเป็นอย่างไร? มี SPF และ DKIM และนโยบาย DMARC ของ quarantine หรือ reject ด้านบน — email-authentication stack ครบถ้วน บังคับใช้ โดเมน 10,092,481 รายการ (3.87%) ผ่านเกณฑ์นั้น เวอร์ชันที่เข้มงวดที่สุดเพิ่ม DNSSEC, HTTPS และ HSTS: ครบทั้งห้าด้วยกันคือ 0.09% ของ pyramid
มีโดเมนกี่รายการที่มี DMARC, DNSSEC และ HSTS deployed ร่วมกัน? สำมะโนเผยแพร่คะแนนการป้องกันห้าอย่างแทนที่จะเป็น cross-tab คู่ทุกคู่ ดังนั้นคำตอบที่ซื่อสัตย์คือขอบเขต: อย่างน้อยโดเมน 247,054 รายการที่มีทั้งห้ามีสามอย่างนั้นร่วมกัน และสูงสุด 2.2% ของโดเมน (ชั้น 4–5) อาจมีได้ ไม่ว่าจะอย่างไร: น้อยกว่าหนึ่งในสี่สิบ
Stack เต็มรูปแบบแพงหรือไม่? ไม่ SPF, DKIM, DMARC, HSTS และ DNSSEC ล้วนเป็นการกำหนดค่า — DNS records และ server headers ไม่มีใบอนุญาต ค่าใช้จ่ายจริงคือความตั้งใจและลำดับ: งานระบุผู้ส่งก่อนการบังคับใช้ DMARC คือขั้นตอนเดียวที่ต้องใช้ความพยายามอย่างต่อเนื่อง และเป็นขั้นที่ โดเมนส่วนใหญ่หยุดอยู่ข้างหน้า
การป้องกันใดควรมาก่อน? การตรวจสอบตัวตนทางอีเมลที่บังคับใช้ เพราะการปลอมแปลงอีเมลคือการโจมตีที่ธุรกิจทั่วไปเผชิญจริงๆ HTTPS คุณน่าจะมีอยู่แล้ว HSTS คือการติดตามหนึ่งบรรทัด DNSSEC สุดท้าย และเฉพาะผ่านผู้ให้บริการที่จัดการการเซ็น การปีนทีละชั้นดีกว่าการเริ่มห้า project พร้อมกัน — นั่นคือประเด็น
ตรวจสอบว่าคุณมีห้าอย่างกี่อย่าง
ช่องว่างระหว่าง 76.9% บนชั้น 1–2 และ 3.87% ที่เสร็จไม่ใช่ความสามารถหรืองบประมาณ — มันเป็นลำดับ และทุกขั้นตอนของมันฟรี คุณสามารถตรวจสอบอย่างเป็นส่วนตัวและฟรี และดูว่าคุณผ่านการตรวจสอบ 34 รายการไหนและวิธีแก้ไขที่ไม่ผ่าน
ตรวจสอบโดเมนของคุณ → · 6 ขั้นตอนของความครบกำหนด DMARC → · เสา DMARC → · เฉพาะข้อมูลรวม ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป