Defaults.Exposed

Defaults.Exposed › Звіти

Небагато повністю захищених: 3.87%, які довели справу до кінця

Опубліковано 2026-07-03 · оновлено 2026-07-03

Дані станом на 2026-06-29 · методологія v7. Дані перепису, що об’єднують перевірки по кожному домену серед 261 мільйонів оцінених доменів. «Повністю захищений» у цій статті означає повний стек email-автентифікації з примусовим застосуванням: наявний SPF, наявний DKIM і політика DMARC quarantine або reject. Піраміда вразливості рахує п’ять основних видів захисту на домен — SPF, примусовий DMARC, DNSSEC, HTTPS, HSTS. Показники перетину тут походять із поперекодоменного об’єднання, гранулярність дедуплікації якого незначно відрізняється від підрахунків за розбивкою політик, наведених на сторінках DAMMM (27,640,987 проти 27,639,358 доменів із примусовим застосуванням) — кожна сторінка посилається на власне джерело, і ці два ніколи не змішуються. Усі показники агреговані — ми ніколи не публікуємо оцінку окремого бізнесу.

Що повністю захищені домени роблять інакше: вони доводять справу до кінця

Лише 3.87% із 261 мільйонів оцінених доменів інтернету — 10,092,481 з них — використовують повний примусовий стек email-захисту: наявні SPF і DKIM, DMARC у режимі quarantine або reject. Найцікавіше в цій групі — те, чим вона не є. Це не клуб команд безпеки з більшими бюджетами — кожен задіяний засіб контролю є безкоштовним налаштуванням DNS або вебсервера. Ті 3.87% не розумніші за всіх інших; вони системні. Вони розглядали захист як один стек, який треба завершити, а не як п’ять окремих проєктів, які треба почати, і решта цієї статті — про те, як це виглядає в даних перепису.

Щоб побачити, наскільки незвичним є доведення справи до кінця, почнемо з того, де стоять усі інші.

Піраміда вразливості: п’ять видів захисту, шість поверхів

Оцініть кожен домен за п’ятьма найкращими практиками захисту — SPF, примусовий DMARC, DNSSEC, HTTPS, HSTS — по одному балу за кожну, і інтернет вишикується в піраміду (крива вразливості, яку розглядають поверх за поверхом). Станом на 2026-06-29:

ПоверхНаявний захистЧастка доменівДомени
0Жодного — повністю відкриті8.8%23,105,485
1Один (зазвичай лише HTTPS)37.2%97,206,153
2Два (типово HTTPS + SPF)39.7%103,527,371
3Три12.0%31,424,343
4Чотири2.1%5,575,826
5Усі п’ять — повністю заблоковані0.09%247,054

Форма розповідає історію ще до того, як це зробить будь-яке окреме число. 76.9% усіх доменів — 201 мільйонів — сидять на поверхах 1 і 2, маючи рівно той захист, що з’явився за замовчуванням, і нічого більше. HTTPS присутній, бо хости та CDN увімкнули його автоматично; SPF присутній, бо посібник із підключення кожного поштового провайдера починається саме з нього. Усе вище поверху 2 вимагає, щоб власник ухвалив рішення — і на кожному рішенні більшість інтернету зупиняється. Поверхи 4 і 5 разом утримують лише 2.2% доменів.

Піраміда — це не рейтинг того, кому не байдуже. Це карта того, де закінчуються значення за замовчуванням і починається обдуманість.

Лійка, якою піднялися ці 3.87%

Простежте email-половину стека крок за кроком — і той самий патерн повторюється: кожен етап відсіює понад половину доменів, що досягли попереднього:

На останньому відсіюванні варто зупинитися. Із приблизно 28 мільйонів доменів, що примусово застосовують DMARC, лише 36.5% несуть під політикою і SPF, і DKIM. Дехто з решти робить рівно правильну річ — домен, який не надсилає пошти, має бути на p=reject з голим -all у SPF і не потребує DKIM. Але цей розрив також містить домени з примусовим застосуванням, автентифікація яких неповна, — це стек, побудований від даху донизу. Ті 3.87% визначаються протилежною звичкою: спершу фундамент, потім дах, кожен шар, а вже потім політика зверху.

Сам лише SPF охоплює 139 мільйонів доменів і майже жодного з них не захищає — найпрямолінійніша ілюстрація перепису того, що дає початок без завершення.

Один стек, а не п’ять проєктів

Ось звичка, яка відрізняє ці 3.87%, і вона організаційна, а не технічна.

Більшість доменів накопичують захист саме так, як підказує піраміда: по одному за раз, кожен запущений іншим сигналом — попередженням браузера, проблемою доставлення, чеклістом відповідності — і кожен розглядається як власний маленький проєкт із власним «готово». «Готово» в цьому режимі означає запис існує. Ось як інтернет опиняється з 201 мільйонами доменів на поверхах 1–2: доступні п’ять зелених галочок, зібрано одну чи дві, подорож завершено.

Повністю захищені розглядають ці п’ять як одну систему з одним визначенням «готово»: атака більше не працює. Підроблену пошту відхиляють, а не просто спостерігають; сеанси неможливо знизити до менш захищених, бо HSTS зафіксовано; відповіді неможливо непомітно підмінити там, де DNSSEC підписано. У моделі зрілості впровадження DMARC це мислення Етапу 6 — захист як дисципліна, яку моніторять і підтримують, а не значок, отриманий одного разу. Ніщо в цьому не вимагає експертизи, якої бракує решті 96%. Це вимагає завершення — у правильному порядку, з перевіркою, що кожен шар справді тримається, і зі ставленням до «налаштовано» як до середини шляху, а не пункту призначення.

Вершина вгорі: усі п’ять разом

Над повністю email-захищеними стоїть значно менша популяція: 247,054 доменів — 0.09% — які утримують усі п’ять видів захисту одночасно: DMARC, DNSSEC і HSTS, розгорнуті разом поверх SPF і HTTPS. Воротами є DNSSEC: чинний лише на 1.99% доменів, він найрідкісніший із п’яти, тож верхній поверх піраміди неминуче крихітний. Якщо поверх 5 описує ваші амбіції, порядок усе одно має значення — спершу примусово застосуйте email-автентифікацію (вона зупиняє атаки, що реально надходять щодня), потім зафіксуйте транспорт за допомогою HSTS, а потім підпишіть зону.

Як приєднатися до цих 3.87%

Кожен крок — це зміна конфігурації, і кожен із них безкоштовний:

  1. Опублікуйте SPF із переліком ваших реальних відправників, завершивши -all. (Виправити SPF →)
  2. Увімкніть DKIM для кожного сервісу, що надсилає від вашого імені — більшість провайдерів робить це перемикачем. (Виправити DKIM →)
  3. Опублікуйте DMARC зі звітністю, поспостерігайте, а тоді застосовуйте примусово — спершу p=none разом із rua=, визначте кожного легітимного відправника, а потім переходьте до quarantine і reject. Це стіна, на яку більшість доменів так і не піднімається, і це дослідницька робота, а не гроші. (Виправити DMARC →)
  4. Потім вебрівень: HSTS на вашому HTTPS-сайті та DNSSEC, якщо ваш DNS-провайдер керує підписуванням за вас.

Домен, який не надсилає пошти, може повністю пропустити фазу спостереження: SPF -all і p=reject уже сьогодні, одна зміна DNS — і одразу за стіну.

Поширені запитання

Як виглядає повністю захищений домен? Наявні SPF і DKIM та політика DMARC quarantine або reject зверху — повний стек email-автентифікації з примусовим застосуванням. 10,092,481 доменів (3.87%) відповідають цій планці. Найсуворіша версія додає DNSSEC, HTTPS і HSTS: усі п’ять разом — це 0.09% піраміди.

Скільки доменів мають DMARC, DNSSEC і HSTS, розгорнуті разом? Перепис публікує оцінку за п’ятьма видами захисту, а не кожну попарну кросс-таблицю, тож чесна відповідь — це межа: щонайменше 247,054 доменів, які утримують усі п’ять, мають ці три разом, і щонайбільше 2.2% доменів (поверхи 4–5) могли б. Так чи інакше: значно менше ніж один із сорока.

Чи дорогий повний стек? Ні. SPF, DKIM, DMARC, HSTS і DNSSEC — усе це конфігурація: DNS-записи та серверні заголовки, без ліцензій. Справжні витрати — це увага та послідовність: робота з ідентифікації відправників перед примусовим застосуванням DMARC — єдиний крок, що потребує тривалих зусиль, і це той, перед яким застрягає більшість доменів.

Який захист має йти першим? Примусова email-автентифікація, бо саме уособлення відправника в пошті — це атака, з якою реально стикається звичайний бізнес. HTTPS ви майже напевно вже маєте; HSTS — це однорядкове продовження; DNSSEC — останнім, і лише через провайдера, який керує підписуванням. Підйом поверх за поверхом кращий за старт п’яти проєктів одразу — у цьому, власне, і суть.

Перевірте, скільки з п’яти ви маєте

Розрив між 76.9% на поверхах 1–2 і 3.87%, які довели справу до кінця, — це не талант і не бюджет, а послідовність, і кожен її крок безкоштовний. Ви можете перевірити приватно й безкоштовно та побачити, які з 34 перевірок ви проходите і як виправити ті, які ні.

Перевірте свій домен → · 6 етапів зрілості DMARC → · Основна сторінка про DMARC → · Тільки агреговані дані. Дані зберігаються та обробляються в ЄС.