Defaults.Exposed › 报告
网络保险与供应商安全问卷:它们如何核查你的域名(2026)
发布于 2026-07-01
数据截至 2026-06-29 · 方法论 v7。 覆盖 261 百万个已评级域名的汇总普查数据。以下数据是典型问卷所询问的每项控制措施在全互联网范围内的通过率。参见我们如何评级。
网络保险申请和供应商安全问卷越来越多地询问位于你公共 DNS 中的那些具体控制措施——而大多数组织无法如实勾选它们。 这些都是可外部验证的:核保人或客户无需你的配合即可核查答案。在 261 百万个域名中,仅有 3.87% 实现了完整的邮件保护,只有 0.09% 锁定了全部核心控制措施。以下是它们核查的内容,以及互联网实际所处的状况。
它们询问的控制措施——以及真实通过率
数值越高越好。每一行都是你在问卷中会认得的一个问题,并附上截至 2026-06-29 全部域名中能够通过该项的比例:
| 它们询问的内容 | 控制措施 | 互联网通过率 |
|---|---|---|
| “你是否强制执行 DMARC 以阻止冒充?” | DMARC quarantine/reject | 10.59% |
| “你的发送域名是否已发布 SPF?” | SPF 已存在 | 53.21% |
| “网站是否通过 HTTPS 提供服务?” | HTTPS | 78.02% |
| “是否启用了 HSTS?” | HSTS | 22.91% |
| “你是否提供现代 TLS(1.2 及以上)?” | 已协商 TLS 1.3 | 90.51% |
| “是否启用了 DNSSEC?” | DNSSEC 有效 | 1.99% |
| “你是否限制证书签发(CAA)?” | CAA 已存在 | 1.56% |
“我们认为已经覆盖”与“我们能够证明”之间的差距,正是申请被拖延、保费上涨之处。
为什么大多数组织答错这些问题
两种失败模式最为常见:
- 把“已发布”误当作“正在强制执行”。 一个带有
p=noneDMARC 记录或宽松 SPF 的域名看似已配置,实则毫无拦截作用——诚实的答案应是“否”。只有 10.59% 真正强制执行了 DMARC。 - 没有单一负责人。 DNS、邮件和网站往往由不同团队或供应商管理,因此没有人能为整套配置背书。这一点显而易见:8.8% 的域名完全没有任何核心控制措施,处于完全暴露状态。
如何准确回答——并提高得分
- 先检查域名,让你的答案基于证据而非猜测。见下文。
- 弥补邮件缺口——在 SPF 和 DKIM 之上,将 DMARC 提升至强制执行。这是大多数问卷中权重最高的一项。
- 加固 Web 层——全站 HTTPS、添加 HSTS,并禁用旧版 TLS。
- 增强 DNS 完整性——在你的托管商支持的地方启用 DNSSEC 和 CAA。
- 提交前重新检查,确保你勾选的项与评估人员将看到的一致。
参见NIS2 是否要求 DMARC以及域名暴露评分,了解这些控制措施如何组合在一起。
常见问题
网络保险问卷会核查哪些域名控制措施? 大多数会询问 DMARC 强制执行、SPF、HTTPS、HSTS、TLS 版本,并且越来越多地涉及 DNSSEC 和 CAA——所有这些都可从你的 DNS 和网站响应中进行外部验证。
保险公司真的能验证我的答案吗? 可以。这些都是公开信号;核保人或客户无需访问你的系统即可确认它们。对某个他们能看出是“否”的事项回答“是”,是个糟糕的主意。
哪项控制措施最重要? DMARC 强制执行通常权重最高,也是最常见的失败项——只有 10.59% 的域名能通过。它直接应对冒充和发票欺诈。
改进需要多长时间? 邮件类控制措施通常是一个下午的 DNS 工作外加一段监控期;Web 和 DNS 类控制措施则是配置更改。所有这些都是免费的。
我如何知道自己所处的状况? 对你自己的域名运行一次免费、私密的检查(见下文)——它与这些问卷项直接对应。
免费对照问卷检查你的域名
准确了解你能通过哪些控制措施、会在哪些控制措施上失败——私密进行,仅域名所有者可见。
检查你的域名 → · 修复 DMARC → · NIS2 是否要求 DMARC? → · 我们如何评级 → · 仅汇总数据。数据在欧盟境内存储和处理。