Defaults.Exposed

Defaults.Exposed › Raporlar

E-posta Sahteciliği Endeksi: Kaç Alan Adı Herkes Tarafından Taklit Edilebilir? (2026)

Yayımlanma 2026-07-03

Rakamlar 2026-06-29 itibarıyla · metodoloji v7. 261 milyon derecelendirilmiş alan adı genelinde toplu sayım — ölçebildiğimiz kadarıyla internet — alan adı başına birleştirilmiştir. Tüm rakamlar toplamdır; asla bir işletmenin bireysel notu değildir. Bkz. nasıl derecelendirdiğimiz.

Kaç alan adı taklit edilebilir?

10 alan adından 9 tanesi. İnternetin %89.4‘i — 233,445,245 alan adı — alıcılara kimlik doğrulamasında başarısız olan postayı reddetmelerini veya gereksiz olarak işaretlemelerini söyleyen hiçbir politika yayınlamıyor. Taklit edilebilir olarak saydığımız şey budur ve bu, sayımın saldırganın gözünden görünümüdür: “e-postayı güvenceye almaya kim başladı” değil, “hâlâ kimin kimliğine bürünülebilir”. Alan adlarının çoğu başlamıştır — SPF yayınlarlar. Çok daha azı bitirmiştir ve bu iki fiil arasındaki boşluk endeksin ta kendisidir.

Burada “taklit edilebilir” ne anlama geliyor?

Kesin bir tanım, çünkü bu sayı alıntılanıyor: bir alan adı, p=quarantine veya p=reject seviyesinde hiçbir DMARC politikası yayınlamadığında taklit edilebilirdir — bu, her büyük alıcının başarısız bir mesajı reddetmesini veya gereksiz olarak işaretlemesini sağlayan tek standartlaştırılmış talimattır. Bazı alıcılar katı bir SPF -all üzerine tek başına harekete geçer, ancak bu davranış isteğe bağlıdır ve dünyanın gelen kutuları arasında tutarsızdır; DMARC uygulaması, hepsinin uyduğu talimattır. Yani taklit edilebilir bir alan adı her yerde mutlaka korumasız değildir — politika gereği korumasızdır, her alıcının iyi niyetine bağlıdır.

Tek başına SPF yayınlamanın bir alan adını bu endeksten çıkarmamasının nedeni de budur: SPF gerçek postanızı tanımlar, ancak uygulama olmadan hiçbir şey alıcılara harekete geçmelerini söylemez sahteciliklere karşı.

Hangi alan adı uzantıları en çok taklit edilebilir?

Uzantıya göre, uygulayıcı DMARC’a sahip olmayan derecelendirilmiş alan adlarının payı:

TLDTaklit edilebilir pay
.xyz%94.9
.de%78.6
.com%90.5
.org%90.0
.uk%86.6
.nl%70.6

İnternette hiçbir mahalle güvende değildir — uzantılar arasındaki fark, maruz kalma derecelerindedir, kategorileri değil. Ülke düzeyindeki uç noktalar kendi başlarına bir hikâyedir: bu endeksin özetlediği ülke bazlı sıralama için bkz. en çok taklit edilebilen ülkeler.

Posta sunucusu kesiti: canlı gelen kutuları, koruma yok

Endeksin en keskin dilimi: tüm derecelendirilmiş alan adlarının %42.7‘i, hiçbir kimlik doğrulaması yayınlamadan canlı bir posta sunucusu çalıştırıyor — 111,369,509 alan adı, hem gerçek posta alıyor hem de sahtecilere korunmasız bir isim sunuyor. Bunlar park edilmiş kabuklar değildir; sahiplerinin hiçbir zaman kilit takmadığı çalışan posta alan adlarıdır.

Bu neden önemli olan sayı?

Benimseme istatistikleri interneti olduğundan iyi gösterir; sahtecilik ise bir saldırganın hâlâ neler yapabileceğini ölçer. Düzeltme her adımda ücretsizdir — SPF, DKIM, ardından p=reject seviyesinde bir DMARC politikası — ve bitiren her alan adı 10’da 9‘den korunan azınlığa geçer. İki makale, zıt uçlardan okunan aynı veri kümesidir: bu makale açık kapıları sayar; o makale kilitli olanları sayar.

Sıkça sorulan sorular

Bir alan adını neye göre taklit edilebilir kılar? Uygulayıcı bir DMARC politikasının (p=quarantine veya p=reject) yokluğu. Onsuz, hiçbir standartlaştırılmış talimat alıcılara SPF/DKIM kontrollerinde başarısız olan postayı reddetmelerini veya gereksiz olarak işaretlemelerini söylemez. 2026-06-29 itibarıyla alan adlarının %89.4‘i — 10’da 9‘ü — bu durumdadır.

SPF yayınlıyorum — alan adım yine de taklit edilebilir mi? Hiçbir şey uygulamıyorsa evet. SPF hangi postanın gerçek olduğunu kanıtlar; alıcılara geri kalanını reddetmelerini söylemez. Mekanizma ve düzeltme DMARC’sız SPF makalesinde ele alınmıştır.

DMARC p=quarantine alan adımı güvenli kılar mı? Sizi bu endeksten çıkarır: başarısız posta gelen kutusuna teslim edilmek yerine gereksiz olarak işaretlenir. p=reject daha da ileri gider ve onu doğrudan reddeder — en güçlü ayar ve önerilen hedef.

Alan adımı taklit edilemez hâle nasıl getiririm? Üç kilidin hepsini takın — SPF, DKIM ve p=reject seviyesinde DMARC — her biri ücretsiz bir DNS değişikliği. DMARC politikanızı düzeltin, sizi endeksten çıkaran uygulama adımıdır.

Sizinkinin 9‘den biri olup olmadığını kontrol edin

Alan adınız ya bu endekstedir ya da değildir ve cevabı almak ücretsizdir, değiştirmek de ücretsizdir.

Alan adınızı kontrol edin → · DMARC’ı düzeltin → · SPF’yi düzeltin → · En çok taklit edilebilen ülkeler → · Korunan azınlık → · Yalnızca toplu veriler. Veriler AB’de saklanır ve işlenir.