Defaults.Exposed

Defaults.Exposed › Raporlar

Tam Korunan Azınlık: İşi Bitiren %3.87

Yayımlanma 2026-07-03 · güncellendi 2026-07-03

Veriler 2026-06-29 tarihi itibarıyla · metodoloji v7. Census verileri, 261 milyon derecelendirilmiş alan adı genelinde alan adı başına kontrolleri birleştirir. Bu makalede “tam korunan” ifadesi, zorunlu kılınmış eksiksiz e-posta kimlik doğrulama yığını anlamına gelir: SPF mevcut, DKIM mevcut ve quarantine veya reject düzeyinde bir DMARC politikası. Maruz kalma piramidi alan adı başına beş temel korumayı sayar — SPF, zorunlu kılınan DMARC, DNSSEC, HTTPS, HSTS. Buradaki örtüşme rakamları alan adı başına birleştirmeden gelir; bu birleştirmenin tekilleştirme granülasyonu, DAMMM sayfalarında verilen politika ayrımı sayımlarından marjinal olarak farklıdır (27,640,987 karşısında 27,639,358 zorunlu kılan alan adı) — her sayfa kendi kaynağını belirtir ve ikisi asla karıştırılmaz. Tüm rakamlar toplamdır — bireysel bir işletmenin notunu asla yayımlamayız.

Tam korunan alan adları neyi farklı yapar: işi bitirirler

İnternetin 261 milyon derecelendirilmiş alan adının yalnızca %3.87‘i — 10,092,481 tanesi — eksiksiz ve zorunlu kılınmış e-posta koruma yığınını çalıştırıyor: SPF ve DKIM yerinde, DMARC quarantine veya reject düzeyinde. Bu grupla ilgili ilginç olan şey, ne olmadığıdır. Bu, daha büyük bütçelere sahip güvenlik ekiplerinden oluşan bir kulüp değildir — işin içindeki her kontrol ücretsiz bir DNS veya web sunucusu ayarıdır. %3.87‘lik kesim herkesten daha akıllı değildir; sistematiktir. Korumaları başlanacak beş ayrı proje olarak değil, bitirilecek tek bir yığın olarak ele aldılar; bu makalenin geri kalanı da bunun census verilerinde nasıl göründüğüyle ilgilidir.

İşi bitirmenin ne kadar olağan dışı olduğunu görmek için, herkesin nerede durduğuyla başlayın.

Maruz kalma piramidi: beş koruma, altı kat

Her alan adını beş en iyi uygulama koruması üzerinden puanlayın — SPF, zorunlu kılınan DMARC, DNSSEC, HTTPS, HSTS — her biri bir puan, ve internet kendini bir piramit halinde düzenler (maruz kalma eğrisi, kat kat görüntülenir). 2026-06-29 tarihi itibarıyla:

KatYerindeki korumalarAlan adı payıAlan adları
0Hiçbiri — tamamen açıkta%8.823,105,485
1Bir (genellikle yalnızca HTTPS)%37.297,206,153
2İki (tipik olarak HTTPS + SPF)%39.7103,527,371
3Üç%12.031,424,343
4Dört%2.15,575,826
5Beşi de — tamamen kilitli%0.09247,054

Şekil, tek bir sayı bile önce bu hikayeyi anlatır. Tüm alan adlarının %76.9‘i — 201 milyon — 1. ve 2. katlarda oturuyor, tam olarak varsayılan olarak gelen korumaları tutuyor ve başka hiçbir şeyi değil. HTTPS oradadır çünkü barındırıcılar ve CDN’ler onu otomatik olarak açtı; SPF oradadır çünkü her e-posta sağlayıcısının başlangıç kılavuzu onunla başlar. 2. katın üzerindeki her şey bir sahibin karar vermesini gerektirir — ve her kararda internetin çoğu durur. 4. ve 5. katlar birlikte alan adlarının yalnızca %2.2‘ini tutar.

Piramit, kimin önemsediğinin bir sıralaması değildir. Varsayılanların bittiği ve kasıtlılığın başladığı yerin bir haritasıdır.

%3.87‘lik kesimin tırmandığı huni

Yığının e-posta yarısını adım adım izleyin ve aynı desen tekrar eder — her aşama, bir öncekine ulaşan alan adlarının yarısından fazlasını döker:

Bu son kesim üzerinde durmaya değer. DMARC’ı zorunlu kılan yaklaşık 28 milyon alan adından yalnızca %36.5‘i politikanın altında hem SPF hem DKIM taşır. Geri kalanların bazıları tam olarak doğru şeyi yapıyor — hiç posta göndermeyen bir alan adı, çıplak bir -all SPF ile p=reject düzeyinde olmalıdır ve DKIM’e ihtiyacı yoktur. Ama bu boşluk aynı zamanda kimlik doğrulaması eksik olan zorunlu kılan alan adlarını da içerir; bu, çatıdan aşağıya doğru inşa edilmiş yığındır. %3.87‘lik kesim tam tersi alışkanlıkla tanımlanır: çatıdan önce zemin, her katman, sonra da üstte politika.

Tek başına SPF, 139 milyon alan adını kapsar ve neredeyse hiçbirini korumaz — census’ün, bitirmeden başlamanın ne kazandırdığına dair en açık gösterimi.

Beş proje değil, tek yığın

İşte %3.87‘lik kesimi ayıran alışkanlık, ve bu teknik değil, örgütseldir.

Çoğu alan adı korumaları piramitin önerdiği şekilde biriktirir: her seferinde bir tane, her biri farklı bir uyarıyla tetiklenir — bir tarayıcı uyarısı, bir teslim edilebilirlik sorunu, bir uyumluluk kontrol listesi — her biri kendi “bitti”si olan kendi küçük projesi olarak ele alınır. Bu modda bitti, kayıt mevcut anlamına gelir. İnternetin 1-2. katlarda 201 milyon alan adıyla sonuçlanmasının nedeni budur: beş yeşil işaret mevcut, bir ya da iki tanesi toplanmış, yolculuk bitmiş.

Tam korunanlar beşini tek bir “bitti” tanımı olan tek bir sistem olarak ele alır: saldırı artık işe yaramaz. Sahte posta yalnızca gözlemlenmez, reddedilir; oturumlar düşürülemez, çünkü HSTS sabitlenmiştir; yanıtlar sessizce değiştirilemez, DNSSEC’in imzalı olduğu yerde. DMARC Benimseme Olgunluk Modeli’nde, bu Aşama 6 zihniyetidir — korumanın bir kez kazanılmış bir rozet değil, izlenen ve sürdürülen bir disiplin olması. Bunun hiçbir yanı, diğer %96’nın sahip olmadığı uzmanlığı gerektirmez. İşi bitirmeyi gerektirir — doğru sırayla, her katmanın gerçekten tuttuğunu kontrol ederek ve “yapılandırıldı”yı varış noktası değil, orta nokta olarak ele alarak.

Yukarıdaki zirve: beşi bir arada

Tam e-posta korumalı olanların üzerinde çok daha küçük bir nüfus oturur: beş korumayı aynı anda tutan 247,054 alan adı — %0.09 — DMARC, DNSSEC ve HSTS’in SPF ve HTTPS’in üzerinde birlikte konuşlandırıldığı. Kapı DNSSEC’tir: alan adlarının yalnızca %1.99‘inde geçerlidir, beşin en nadiridir, bu yüzden piramitin en üst katı zorunlu olarak küçüktür. 5. kat sizin hedeflerinizi tanımlıyorsa, sıra yine de önemlidir — önce e-posta kimlik doğrulamasını zorunlu kılın (gerçekten her gün gelen saldırıları durdurur), sonra taşımayı HSTS ile sabitleyin, sonra bölgeyi imzalayın.

%3.87‘lik kesime nasıl katılınır

Her adım bir yapılandırma değişikliğidir ve her biri ücretsizdir:

  1. Gerçek göndericilerinizi listeleyen, -all ile biten SPF yayımlayın. (SPF’yi düzeltin →)
  2. Sizin adınıza gönderen her hizmetle DKIM’i etkinleştirin — çoğu sağlayıcı bunu bir anahtar haline getirir. (DKIM’i düzeltin →)
  3. Raporlamayla DMARC yayımlayın, gözlemleyin, sonra zorunlu kılın — önce p=none artı rua=, her meşru göndericiyi tanımlayın, sonra quarantine ve reject’e geçin. Bu, çoğu alan adının asla tırmanmadığı duvardır ve para değil, araştırmacı bir çalışmadır. (DMARC’ı düzeltin →)
  4. Sonra web katmanı: HTTPS sitenizde HSTS, ve DNS sağlayıcınız imzalamayı sizin için yönetiyorsa DNSSEC.

Hiç posta göndermeyen bir alan adı gözlem aşamasını tamamen atlayabilir: bugün SPF -all ve p=reject, tek bir DNS değişikliği, doğrudan duvarın ötesine.

Sıkça sorulan sorular

Tam korunan bir alan adı nasıl görünür? SPF ve DKIM yerinde ve üstünde quarantine veya reject düzeyinde bir DMARC politikası — eksiksiz e-posta kimlik doğrulama yığını, zorunlu kılınmış. 10,092,481 alan adı (%3.87) bu çıtayı karşılar. En katı sürüm DNSSEC, HTTPS ve HSTS ekler: beşi bir arada piramitin %0.09‘idir.

Kaç alan adında DMARC, DNSSEC ve HSTS birlikte konuşlandırılmıştır? Census her ikili çapraz tabloyu değil, beş korumalı puanı yayımlar, bu yüzden dürüst yanıt bir sınırdır: en azından beşini de tutan 247,054 alan adının bu üçü birlikte vardır ve en fazla alan adlarının %2.2‘i (4-5. katlar) bunlara sahip olabilir. Her iki durumda da: kırkta birin çok altında.

Tam yığın pahalı mı? Hayır. SPF, DKIM, DMARC, HSTS ve DNSSEC’in hepsi yapılandırmadır — DNS kayıtları ve sunucu başlıkları, lisans yok. Gerçek maliyetler dikkat ve sıradır: DMARC zorunlu kılmadan önceki gönderici tanımlama çalışması, sürekli çaba gerektiren tek adımdır ve çoğu alan adının önünde takılıp kaldığı adımdır.

Hangi koruma önce gelmeli? Zorunlu kılınmış e-posta kimlik doğrulaması, çünkü e-posta taklidi sıradan işletmelerin gerçekten karşılaştığı saldırıdır. HTTPS’e neredeyse kesinlikle sahipsiniz; HSTS tek satırlık bir devam adımıdır; DNSSEC en son ve yalnızca imzalamayı yöneten bir sağlayıcı aracılığıyla. Kat kat tırmanmak, aynı anda beş proje başlatmaktan iyidir — mesele de biraz budur.

Beşten kaçını tuttuğunuzu kontrol edin

1-2. katlardaki %76.9 ile işi bitiren %3.87 arasındaki boşluk yetenek ya da bütçe değil — bir sıradır ve her adımı ücretsizdir. Özel ve ücretsiz olarak kontrol edebilir, 34 kontrolden hangilerini geçtiğinizi ve geçemediğinizi nasıl düzelteceğinizi görebilirsiniz.

Alan adınızı kontrol edin → · DMARC olgunluğunun 6 aşaması → · DMARC ana sayfası → · Yalnızca toplam veriler. Veriler AB’de saklanır ve işlenir.