Defaults.Exposed › 报告
电子邮件可伪造指数:有多少域名任何人都能伪造?(2026)
发布于 2026-07-03
数据截至 2026-06-29 · 方法论 v7。 对 261 百万个已评级域名(我们所测量的整个互联网)进行的汇总普查,按域名逐一联接。所有数据均为汇总数据;绝不涉及任何单个企业的评级。参见我们如何评级。
有多少域名可以被伪造?
10 个中有 9 个。互联网上 89.4%——即 233,445,245 个域名——没有发布任何策略来告知接收方拒收或将验证失败的邮件丢入垃圾箱。 这就是我们所统计的”可伪造”域名,也是从攻击者视角看到的这次普查:不是”谁开始保护电子邮件”,而是”谁仍然可以被冒充”。大多数域名都已经起步——它们发布了 SPF。真正完成的却少得多,而这两个动作之间的差距,正是这个指数。
这里的”可伪造”是什么意思?
一个精确的定义,因为这个数字会被广泛引用:当一个域名没有发布 p=quarantine 或 p=reject 级别的 DMARC 策略时,它就是可伪造的——这是唯一能让所有主流接收方拒收或丢弃验证失败邮件的标准化指令。有些接收方确实会单凭严格的 SPF -all 采取行动,但这种行为是自主决定的,在全球各个收件箱之间并不一致;而 DMARC 强制执行才是它们全都会遵守的指令。因此,一个可伪造的域名并不一定在任何地方都毫无防护——它是在策略层面无防护,取决于每个接收方的善意。
这也是为什么仅仅发布 SPF 并不能让一个域名脱离这个指数:SPF 标识出你真实的邮件,但没有强制执行,就没有任何东西指示接收方对伪造邮件采取行动。
哪些域名后缀最容易被伪造?
已评级域名中缺少强制执行 DMARC 的比例,按后缀划分:
| TLD | 可伪造比例 |
|---|---|
| .xyz | 94.9% |
| .de | 78.6% |
| .com | 90.5% |
| .org | 90.0% |
| .uk | 86.6% |
| .nl | 70.6% |
互联网上没有哪个”街区”是安全的——各后缀之间的差异只是暴露程度的不同,而非有无之别。国家层面的极端情况本身另有故事:参见最容易被伪造的国家,了解本指数所汇总的按国家排名。
邮件服务器切片:活跃的收件箱,毫无防护
本指数中最尖锐的一片:在所有已评级域名中,42.7% 运行着活跃的邮件服务器,却完全没有发布任何身份验证——共 111,369,509 个域名,它们既接收真实邮件,又为伪造者提供了一个不设防的名号。这些不是停放的空壳;它们是正在运营的邮件域名,而其所有者从未装上锁。
为什么这才是最要紧的数字
采用率统计数据美化了互联网;可伪造性衡量的则是攻击者仍然能做什么。修复在每一步都是免费的——SPF、DKIM,然后是 p=reject 级别的 DMARC 策略——每一个完成修复的域名,都会从 10 个中 9 个的行列,迈入受保护的少数。这两篇文章是同一份数据集从相反两端读出的结果:这一篇统计敞开的门;那一篇统计上了锁的门。
常见问题
是什么让一个域名变得可伪造?
缺少一个强制执行的 DMARC 策略(p=quarantine 或 p=reject)。没有它,就没有标准化的指令告知接收方拒收或丢弃通过不了 SPF/DKIM 检查的邮件。截至 2026-06-29,89.4% 的域名——10 个中 9 个——处于这种状态。
我发布了 SPF——我的域名还会被伪造吗? 如果没有任何东西强制执行,那就会。SPF 证明哪些邮件是真实的;它并不指示接收方拒收其余的邮件。其机制和修复方法在 SPF 而无 DMARC 中有介绍。
DMARC p=quarantine 能让我的域名安全吗?
它能让你脱离这个指数:验证失败的邮件会被丢入垃圾箱,而不是投递到收件箱。p=reject 更进一步,直接拒收这类邮件——这是最强的设置,也是我们推荐的目标。
我要如何让我的域名无法被伪造?
装上全部三把锁——SPF、DKIM,以及 p=reject 级别的 DMARC——每一把都是一次免费的 DNS 更改。修复你的 DMARC 策略就是那个让你脱离指数的强制执行步骤。
检查一下你的域名是否属于那 9 个之一
你的域名要么在这个指数上,要么不在,而答案的获取是免费的,改变它也是免费的。
检查你的域名 → · 修复 DMARC → · 修复 SPF → · 最容易被伪造的国家 → · 受保护的少数 → · 仅汇总数据。数据在欧盟境内存储和处理。