Defaults.Exposed

Defaults.Exposed › Báo cáo

Số ít được bảo vệ hoàn toàn: 3.87% đã về đích

Đã xuất bản 2026-07-03 · cập nhật 2026-07-03

Số liệu tính đến 2026-06-29 · phương pháp luận v7. Dữ liệu điều tra tổng thể ghép các phép kiểm tra theo từng tên miền trên 261 triệu tên miền đã được chấm điểm. “Được bảo vệ hoàn toàn” trong bài viết này nghĩa là ngăn xếp xác thực email đầy đủ, được cưỡng chế: có SPF, có DKIM, và một chính sách DMARC ở mức quarantine hoặc reject. Kim tự tháp phơi nhiễm đếm năm lớp bảo vệ cốt lõi trên mỗi tên miền — SPF, DMARC cưỡng chế, DNSSEC, HTTPS, HSTS. Số liệu chồng lấn ở đây đến từ phép ghép theo từng tên miền, mà độ hạt khử trùng lặp của nó khác biệt chút ít so với các con số phân tách theo chính sách được trích trên các trang DAMMM (27,640,987 so với 27,639,358 tên miền cưỡng chế) — mỗi trang trích dẫn nguồn riêng của nó, và hai nguồn không bao giờ bị trộn lẫn. Mọi số liệu đều mang tính tổng hợp — chúng tôi không bao giờ công bố điểm của một doanh nghiệp cụ thể.

Điều mà các tên miền được bảo vệ hoàn toàn làm khác biệt: họ về đích

Chỉ 3.87% trong số 261 triệu tên miền đã chấm điểm của internet — 10,092,481 tên miền trong số đó — vận hành ngăn xếp bảo vệ email hoàn chỉnh và được cưỡng chế: có SPF và DKIM, DMARC ở mức quarantine hoặc reject. Điều thú vị về nhóm này lại là điều nó không phải. Nó không phải một câu lạc bộ của các đội an ninh có ngân sách lớn hơn — mọi biện pháp kiểm soát liên quan đều là một thiết lập DNS hoặc máy chủ web miễn phí. 3.87% này không thông minh hơn tất cả những người khác; họ có hệ thống. Họ xem các lớp bảo vệ như một ngăn xếp cần hoàn tất chứ không phải năm dự án riêng biệt cần khởi động, và phần còn lại của bài viết này nói về điều đó trông ra sao trong dữ liệu điều tra.

Để thấy việc về đích bất thường đến mức nào, hãy bắt đầu từ chỗ mà tất cả những người khác đang đứng.

Kim tự tháp phơi nhiễm: năm lớp bảo vệ, sáu tầng

Chấm điểm mọi tên miền dựa trên năm lớp bảo vệ theo thông lệ tốt nhất — SPF, DMARC cưỡng chế, DNSSEC, HTTPS, HSTS — mỗi thứ một điểm, và internet tự sắp xếp thành một kim tự tháp (đường cong phơi nhiễm, nhìn theo từng tầng). Tính đến 2026-06-29:

TầngLớp bảo vệ đang cóTỷ lệ tên miềnTên miền
0Không có gì — phơi nhiễm hoàn toàn8.8%23,105,485
1Một (thường chỉ HTTPS)37.2%97,206,153
2Hai (thường là HTTPS + SPF)39.7%103,527,371
3Ba12.0%31,424,343
4Bốn2.1%5,575,826
5Cả năm — khóa chặt hoàn toàn0.09%247,054

Hình dạng kể câu chuyện trước cả khi bất kỳ con số đơn lẻ nào lên tiếng. 76.9% tổng số tên miền — 201 triệu — nằm ở tầng 1 và 2, nắm giữ đúng những lớp bảo vệ đã đến theo mặc định và không gì hơn. HTTPS có ở đó vì các nhà cung cấp hosting và CDN tự động bật nó; SPF có ở đó vì hướng dẫn thiết lập của mọi nhà cung cấp email đều bắt đầu bằng nó. Mọi thứ trên tầng 2 đòi hỏi chủ sở hữu phải quyết định — và tại mỗi quyết định đó, phần lớn internet dừng lại. Tầng 4 và 5 cộng lại chỉ nắm giữ 2.2% tên miền.

Kim tự tháp không phải bảng xếp hạng ai quan tâm hơn. Nó là tấm bản đồ về nơi mặc định kết thúc và sự chủ ý bắt đầu.

Cái phễu mà 3.87% đã leo qua

Lần theo nửa email của ngăn xếp từng bước một, và cùng một khuôn mẫu lặp lại — mỗi giai đoạn làm rụng đi hơn một nửa số tên miền đã đến được giai đoạn trước:

Nhát cắt cuối cùng đó đáng để dừng lại. Trong khoảng 28 triệu tên miền cưỡng chế DMARC, chỉ 36.5% mang cả SPF lẫn DKIM bên dưới chính sách. Một phần trong số còn lại đang làm đúng chính xác điều cần làm — một tên miền không gửi email nào thì nên ở mức p=reject với một SPF -all trần trụi và không cần DKIM. Nhưng khoảng trống đó cũng chứa những tên miền cưỡng chế mà việc xác thực còn dở dang, tức là ngăn xếp được xây từ mái xuống. 3.87% được định nghĩa bởi thói quen ngược lại: nền trước, rồi mái, từng lớp một, rồi mới đến chính sách trên cùng.

SPF đơn độc bao phủ 139 triệu tên miền và gần như chẳng bảo vệ tên miền nào trong số đó — minh họa thẳng thừng nhất của cuộc điều tra về cái giá của việc khởi động mà không về đích.

Một ngăn xếp, không phải năm dự án

Đây là thói quen tách biệt 3.87%, và nó mang tính tổ chức, không phải kỹ thuật.

Hầu hết tên miền tích lũy các lớp bảo vệ theo đúng cách kim tự tháp gợi ý: mỗi lần một lớp, mỗi lớp được kích hoạt bởi một lời nhắc khác nhau — một cảnh báo của trình duyệt, một vấn đề về khả năng gửi tới, một danh mục tuân thủ — mỗi thứ được xem như một dự án nhỏ riêng với “hoàn thành” riêng của nó. Trong chế độ đó, hoàn thành nghĩa là bản ghi đã tồn tại. Đó là cách internet rốt cuộc có 201 triệu tên miền ở tầng 1–2: năm dấu tích xanh sẵn có, thu về một hoặc hai, kết thúc hành trình.

Những người được bảo vệ hoàn toàn xem năm lớp như một hệ thống với một định nghĩa duy nhất về hoàn thành: cuộc tấn công không còn hiệu quả nữa. Email giả mạo bị từ chối, chứ không chỉ được quan sát; phiên không thể bị hạ cấp, vì HSTS đã được ghim; câu trả lời không thể bị lặng lẽ tráo đổi, nơi DNSSEC đã được ký. Trong Mô hình Trưởng thành Áp dụng DMARC, đó là tư duy Giai đoạn 6 — bảo vệ như một kỷ luật được giám sát và duy trì, chứ không phải một huy hiệu đã kiếm được một lần. Không có gì trong đó đòi hỏi chuyên môn mà 96% còn lại thiếu. Nó đòi hỏi việc về đích — theo đúng thứ tự, kiểm tra rằng mỗi lớp thực sự đứng vững, và xem “đã cấu hình” là điểm giữa chứ không phải đích đến.

Đỉnh cao bên trên: cả năm cùng lúc

Bên trên nhóm được bảo vệ email hoàn toàn là một quần thể nhỏ hơn nhiều: 247,054 tên miền — 0.09% — nắm giữ cả năm lớp bảo vệ cùng lúc, với DMARC, DNSSEC và HSTS được triển khai đồng thời bên trên SPF và HTTPS. Cửa ải là DNSSEC: hợp lệ trên chỉ 1.99% tên miền, nó là lớp hiếm nhất trong năm, nên tầng trên cùng của kim tự tháp tất yếu là bé nhỏ. Nếu tầng 5 là tham vọng của bạn, thứ tự vẫn quan trọng — cưỡng chế xác thực email trước (nó chặn những cuộc tấn công thực sự đến hằng ngày), rồi ghim tầng vận chuyển bằng HSTS, rồi ký zone.

Cách gia nhập 3.87%

Mỗi bước là một thay đổi cấu hình, và mỗi bước đều miễn phí:

  1. Công bố SPF liệt kê những người gửi thực của bạn, kết thúc bằng -all. (Sửa SPF →)
  2. Bật DKIM với mọi dịch vụ gửi thư dưới danh nghĩa bạn — hầu hết nhà cung cấp biến nó thành một công tắc bật/tắt. (Sửa DKIM →)
  3. Công bố DMARC kèm báo cáo, quan sát, rồi cưỡng chếp=none cùng rua= trước, xác định mọi người gửi hợp pháp, rồi chuyển sang quarantinereject. Đây là bức tường mà hầu hết tên miền không bao giờ leo qua, và đó là công việc điều tra, không phải tiền bạc. (Sửa DMARC →)
  4. Rồi đến tầng web: HSTS trên trang HTTPS của bạn, và DNSSEC nếu nhà cung cấp DNS của bạn quản lý việc ký thay bạn.

Một tên miền không gửi email nào có thể bỏ qua hoàn toàn giai đoạn quan sát: SPF -allp=reject ngay hôm nay, một thay đổi DNS, vượt thẳng qua bức tường.

Câu hỏi thường gặp

Một tên miền được bảo vệ hoàn toàn trông như thế nào? Có SPF và DKIM cùng một chính sách DMARC ở mức quarantine hoặc reject trên cùng — ngăn xếp xác thực email hoàn chỉnh, được cưỡng chế. 10,092,481 tên miền (3.87%) đạt được ngưỡng đó. Phiên bản nghiêm ngặt nhất bổ sung DNSSEC, HTTPS và HSTS: cả năm cùng lúc là 0.09% của kim tự tháp.

Có bao nhiêu tên miền có DMARC, DNSSEC và HSTS được triển khai cùng lúc? Cuộc điều tra công bố điểm năm-lớp-bảo-vệ thay vì mọi bảng chéo từng cặp, nên câu trả lời trung thực là một cận: ít nhất 247,054 tên miền nắm giữ cả năm lớp đều có ba thứ đó cùng nhau, và nhiều nhất 2.2% tên miền (tầng 4–5) có thể có. Dù thế nào: rõ ràng là chưa tới một trên bốn mươi.

Ngăn xếp đầy đủ có tốn kém không? Không. SPF, DKIM, DMARC, HSTS và DNSSEC đều là cấu hình — bản ghi DNS và header máy chủ, không cần giấy phép. Chi phí thực là sự chú tâm và trình tự: công việc xác định người gửi trước khi cưỡng chế DMARC là bước duy nhất đòi hỏi nỗ lực bền bỉ, và đó là bước hầu hết tên miền bị kẹt lại trước nó.

Lớp bảo vệ nào nên đến trước? Xác thực email được cưỡng chế, vì mạo danh email là cuộc tấn công mà các doanh nghiệp bình thường thực sự đối mặt. HTTPS thì gần như chắc chắn bạn đã có; HSTS là bước tiếp theo chỉ một dòng; DNSSEC cuối cùng, và chỉ qua một nhà cung cấp quản lý việc ký. Leo từng tầng một tốt hơn việc khởi động năm dự án cùng lúc — đó chính là điều cốt lõi.

Kiểm tra bạn nắm giữ bao nhiêu trong năm lớp

Khoảng cách giữa 76.9% ở tầng 1–2 và 3.87% đã về đích không phải là tài năng hay ngân sách — nó là một trình tự, và mọi bước của nó đều miễn phí. Bạn có thể kiểm tra một cách riêng tư và miễn phí, và xem bạn vượt qua những phép nào trong 34 phép kiểm tra và cách sửa những phép bạn chưa vượt qua.

Kiểm tra tên miền của bạn → · 6 giai đoạn trưởng thành DMARC → · Trụ cột DMARC → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.