Defaults.Exposed

Defaults.Exposed › 报告

完成防护的少数派:那 3.87% 跑完全程的域名

发布于 2026-07-03 · 更新 2026-07-03

**数据截至 2026-06-29 · 方法论 v7。**普查数据将每个域名的各项检查项加以关联,覆盖 261 百万个评级域名。本文中的”完成防护”指完整且强制执行的邮件身份验证栈:存在 SPF、存在 DKIM,且 DMARC 策略为 quarantinereject。暴露金字塔按每个域名统计五项核心防护——SPF、强制执行的 DMARC、DNSSEC、HTTPS、HSTS。此处的重叠数字来自逐域名关联,其去重粒度与 DAMMM 页面上引用的策略拆分计数略有差异(27,640,987 对 27,639,358 个强制执行域名)——每个页面都引用各自的来源,二者从不混用。所有数字均为汇总值——我们从不公布任何单个企业的评级。

完成防护的域名有何不同:它们跑完了全程

**在互联网 261 百万个评级域名中,只有 3.87%——即 10,092,481 个——部署了完整且强制执行的邮件防护栈:SPF 和 DKIM 就位,DMARC 处于 quarantinereject。**这一群体有意思之处在于它不是什么。它不是一个拥有更大预算的安全团队俱乐部——所涉及的每一项控制都是免费的 DNS 或 Web 服务器设置。这 3.87% 并不比其他人更聪明;他们只是更有条理。他们把这些防护当作要跑完的一整个栈,而不是要各自启动的五个独立项目,而本文余下的内容就是要讲清楚这在普查数据里是什么样子。

要看清”跑完全程”有多么罕见,先从其他所有人所处的位置说起。

暴露金字塔:五项防护,六层楼

给每个域名按五项最佳实践防护打分——SPF、强制执行的 DMARC、DNSSEC、HTTPS、HSTS——每项一分,互联网就会排列成一座金字塔(暴露曲线,逐层查看)。截至 2026-06-29:

楼层已就位的防护域名占比域名数
0无——完全暴露8.8%23,105,485
1一项(通常仅 HTTPS)37.2%97,206,153
2两项(通常为 HTTPS + SPF)39.7%103,527,371
3三项12.0%31,424,343
4四项2.1%5,575,826
5全部五项——完全锁定0.09%247,054

在任何单个数字之前,这个形状就已经讲出了故事。所有域名中的 76.9%——即 201 百万个——位于第 1 和第 2 层,恰好只持有默认就自带的那些防护,别无其他。HTTPS 之所以存在,是因为主机商和 CDN 自动为其开启;SPF 之所以存在,是因为每家邮件服务商的上手指南都以它开头。第 2 层之上的一切都需要所有者去决定——而在每一个决定点上,互联网的大多数都止步不前。第 4 层和第 5 层加起来只占 2.2% 的域名。

这座金字塔不是对谁更用心的排名。它是一张地图,标出默认设置在哪里终止、刻意作为从哪里开始。

那 3.87% 攀爬过的漏斗

逐步追踪这个栈的邮件那一半,同样的模式反复出现——每一个阶段都会流失掉超过一半、原本已抵达上一阶段的域名:

最后这一次流失值得停下来看一看。在大约 28 百万个强制执行 DMARC 的域名中,只有 36.5% 在策略之下同时具备 SPF 和 DKIM。其余当中有一些做的恰恰完全正确——一个不发送任何邮件的域名就应当处于 p=reject、配一条裸的 -all SPF,且不需要 DKIM。但这个缺口里也包含了那些身份验证不完整却强制执行的域名,那就是从屋顶往下盖起来的栈。这 3.87% 的定义正在于相反的习惯:先地基后屋顶,每一层都铺,然后才把策略盖在顶上。

单靠 SPF 覆盖了 139 百万个域名,却几乎一个都没保护到——这是普查对”只起步不收尾能换来什么”最直白的示例。

一个栈,而非五个项目

以下就是把那 3.87% 区分开来的习惯,而它是组织层面的,而非技术层面的。

大多数域名累积防护的方式正如金字塔所暗示的那样:一次一项,每一项都由不同的触发因素引发——一条浏览器警告、一个可送达性问题、一份合规清单——每一项都被当作有自己”完成”标准的小项目。在那种模式下,“完成”意味着记录存在。这就是互联网最终落得 201 百万个域名停在第 1–2 层的原因:明明有五个绿色对勾可拿,却只收下一两个,旅程就此结束。

完成防护者把这五项当作一个系统、只有一个”完成”的定义:攻击不再奏效。伪造的邮件被拒收,而不只是被观测;会话无法被降级,因为 HSTS 已被固定;应答无法被悄悄替换,只要签署了 DNSSEC。在 DMARC 采用成熟度模型中,那就是第 6 阶段的心态——把防护当作一种受监控、被维护的纪律,而不是一次挣得便一劳永逸的徽章。这其中没有任何一点需要另外那 96% 所缺乏的专业知识。它需要的是跑完全程——以正确的顺序,逐层确认真正立得住,并把”已配置”当作中点而非终点。

上方的顶峰:全部五项一起

在完成邮件防护者之上,坐着规模小得多的一个群体:即 247,054 个域名——0.09%——它们同时持有全部五项防护,在 SPF 和 HTTPS 之上一并部署了 DMARC、DNSSEC 与 HSTS。关卡在 DNSSEC:仅在 1.99% 的域名上有效,是五项中最稀有的一项,因此金字塔的顶层注定极小。如果第 5 层描述了你的抱负,顺序依然重要——先强制执行邮件身份验证(它拦截的是每天真正会到来的攻击),再用 HSTS 固定传输,最后签署该区域。

如何加入那 3.87%

每一步都是一次配置更改,而且每一步都是免费的:

  1. 发布 SPF,列出你真正的发件方,以 -all 结尾。(修复 SPF →
  2. 为每一项以你名义发信的服务启用 DKIM——大多数服务商只需一个开关。(修复 DKIM →
  3. 发布带报告的 DMARC,先观测,再强制执行——先 p=nonerua=,识别出每一个合法发件方,然后再迁移到 quarantinereject。这是大多数域名从未翻过的那道墙,靠的是调查取证的功夫,而不是钱。(修复 DMARC →
  4. **然后是 Web 层:**在你的 HTTPS 站点上启用 HSTS,以及若你的 DNS 服务商为你托管签名则启用 DNSSEC

一个不发送任何邮件的域名可以完全跳过观测阶段:今天就上 SPF -allp=reject,一次 DNS 更改,径直越过那道墙。

常见问题

一个完成防护的域名是什么样子的? SPF 和 DKIM 就位,其上叠加一条 quarantinereject 的 DMARC 策略——即完整且强制执行的邮件身份验证栈。有 10,092,481 个域名(3.87%)达到了这个标准。最严格的版本再加上 DNSSEC、HTTPS 和 HSTS:全部五项一起就是金字塔的那 0.09%。

有多少域名同时部署了 DMARC、DNSSEC 和 HSTS? 普查发布的是五项防护评分,而非每一对两两交叉表,因此诚实的答案是一个区间:至少持有全部五项的那 247,054 个域名同时具备这三项,而最多则可达 2.2% 的域名(第 4–5 层)。无论如何:远低于四十分之一。

完整的栈昂贵吗? 不。SPF、DKIM、DMARC、HSTS 和 DNSSEC 全都是配置——DNS 记录和服务器头,没有许可证。真正的成本是专注与顺序:DMARC 强制执行之前的发件方识别工作是唯一需要持续投入精力的一步,也正是大多数域名停滞不前的那一步

哪一项防护应当最先做? 强制执行的邮件身份验证,因为邮件冒充是普通企业真正面对的攻击。HTTPS 你几乎肯定已经有了;HSTS 是一行的收尾;DNSSEC 放到最后,而且只经由为你托管签名的服务商来做。逐层攀爬胜过同时启动五个项目——这恰恰正是要点所在。

查一查你持有五项中的几项

第 1–2 层那 76.9% 与已跑完全程的那 3.87% 之间的差距,不是天赋也不是预算——而是一段顺序,且其中每一步都是免费的。你可以私密且免费地查看,看清 34 项检查你通过了哪些、以及如何修复你没通过的那些。

检测你的域名 → · DMARC 成熟度的 6 个阶段 → · DMARC 支柱页 → · 仅汇总数据。数据在欧盟境内存储和处理。