Defaults.Exposed › 报告
完成防护的少数派:那 3.87% 跑完全程的域名
发布于 2026-07-03 · 更新 2026-07-03
**数据截至 2026-06-29 · 方法论 v7。**普查数据将每个域名的各项检查项加以关联,覆盖 261 百万个评级域名。本文中的”完成防护”指完整且强制执行的邮件身份验证栈:存在 SPF、存在 DKIM,且 DMARC 策略为
quarantine或reject。暴露金字塔按每个域名统计五项核心防护——SPF、强制执行的 DMARC、DNSSEC、HTTPS、HSTS。此处的重叠数字来自逐域名关联,其去重粒度与 DAMMM 页面上引用的策略拆分计数略有差异(27,640,987 对 27,639,358 个强制执行域名)——每个页面都引用各自的来源,二者从不混用。所有数字均为汇总值——我们从不公布任何单个企业的评级。
完成防护的域名有何不同:它们跑完了全程
**在互联网 261 百万个评级域名中,只有 3.87%——即 10,092,481 个——部署了完整且强制执行的邮件防护栈:SPF 和 DKIM 就位,DMARC 处于 quarantine 或 reject。**这一群体有意思之处在于它不是什么。它不是一个拥有更大预算的安全团队俱乐部——所涉及的每一项控制都是免费的 DNS 或 Web 服务器设置。这 3.87% 并不比其他人更聪明;他们只是更有条理。他们把这些防护当作要跑完的一整个栈,而不是要各自启动的五个独立项目,而本文余下的内容就是要讲清楚这在普查数据里是什么样子。
要看清”跑完全程”有多么罕见,先从其他所有人所处的位置说起。
暴露金字塔:五项防护,六层楼
给每个域名按五项最佳实践防护打分——SPF、强制执行的 DMARC、DNSSEC、HTTPS、HSTS——每项一分,互联网就会排列成一座金字塔(暴露曲线,逐层查看)。截至 2026-06-29:
| 楼层 | 已就位的防护 | 域名占比 | 域名数 |
|---|---|---|---|
| 0 | 无——完全暴露 | 8.8% | 23,105,485 |
| 1 | 一项(通常仅 HTTPS) | 37.2% | 97,206,153 |
| 2 | 两项(通常为 HTTPS + SPF) | 39.7% | 103,527,371 |
| 3 | 三项 | 12.0% | 31,424,343 |
| 4 | 四项 | 2.1% | 5,575,826 |
| 5 | 全部五项——完全锁定 | 0.09% | 247,054 |
在任何单个数字之前,这个形状就已经讲出了故事。所有域名中的 76.9%——即 201 百万个——位于第 1 和第 2 层,恰好只持有默认就自带的那些防护,别无其他。HTTPS 之所以存在,是因为主机商和 CDN 自动为其开启;SPF 之所以存在,是因为每家邮件服务商的上手指南都以它开头。第 2 层之上的一切都需要所有者去决定——而在每一个决定点上,互联网的大多数都止步不前。第 4 层和第 5 层加起来只占 2.2% 的域名。
这座金字塔不是对谁更用心的排名。它是一张地图,标出默认设置在哪里终止、刻意作为从哪里开始。
那 3.87% 攀爬过的漏斗
逐步追踪这个栈的邮件那一半,同样的模式反复出现——每一个阶段都会流失掉超过一半、原本已抵达上一阶段的域名:
- 53.21% 的域名发布了 SPF——这是所有指南都会讲到的一步。
- 24.89% 发布了任何一条 DMARC 记录。
- 10.59% 对其加以强制执行(
quarantine或reject)。 - 3.87% 在下方铺有完整栈的情况下加以强制执行——SPF 与 DKIM 均已就位,因此强制执行是建立在完整身份验证之上的。
最后这一次流失值得停下来看一看。在大约 28 百万个强制执行 DMARC 的域名中,只有 36.5% 在策略之下同时具备 SPF 和 DKIM。其余当中有一些做的恰恰完全正确——一个不发送任何邮件的域名就应当处于 p=reject、配一条裸的 -all SPF,且不需要 DKIM。但这个缺口里也包含了那些身份验证不完整却强制执行的域名,那就是从屋顶往下盖起来的栈。这 3.87% 的定义正在于相反的习惯:先地基后屋顶,每一层都铺,然后才把策略盖在顶上。
单靠 SPF 覆盖了 139 百万个域名,却几乎一个都没保护到——这是普查对”只起步不收尾能换来什么”最直白的示例。
一个栈,而非五个项目
以下就是把那 3.87% 区分开来的习惯,而它是组织层面的,而非技术层面的。
大多数域名累积防护的方式正如金字塔所暗示的那样:一次一项,每一项都由不同的触发因素引发——一条浏览器警告、一个可送达性问题、一份合规清单——每一项都被当作有自己”完成”标准的小项目。在那种模式下,“完成”意味着记录存在。这就是互联网最终落得 201 百万个域名停在第 1–2 层的原因:明明有五个绿色对勾可拿,却只收下一两个,旅程就此结束。
完成防护者把这五项当作一个系统、只有一个”完成”的定义:攻击不再奏效。伪造的邮件被拒收,而不只是被观测;会话无法被降级,因为 HSTS 已被固定;应答无法被悄悄替换,只要签署了 DNSSEC。在 DMARC 采用成熟度模型中,那就是第 6 阶段的心态——把防护当作一种受监控、被维护的纪律,而不是一次挣得便一劳永逸的徽章。这其中没有任何一点需要另外那 96% 所缺乏的专业知识。它需要的是跑完全程——以正确的顺序,逐层确认真正立得住,并把”已配置”当作中点而非终点。
上方的顶峰:全部五项一起
在完成邮件防护者之上,坐着规模小得多的一个群体:即 247,054 个域名——0.09%——它们同时持有全部五项防护,在 SPF 和 HTTPS 之上一并部署了 DMARC、DNSSEC 与 HSTS。关卡在 DNSSEC:仅在 1.99% 的域名上有效,是五项中最稀有的一项,因此金字塔的顶层注定极小。如果第 5 层描述了你的抱负,顺序依然重要——先强制执行邮件身份验证(它拦截的是每天真正会到来的攻击),再用 HSTS 固定传输,最后签署该区域。
如何加入那 3.87%
每一步都是一次配置更改,而且每一步都是免费的:
- 发布 SPF,列出你真正的发件方,以
-all结尾。(修复 SPF →) - 为每一项以你名义发信的服务启用 DKIM——大多数服务商只需一个开关。(修复 DKIM →)
- 发布带报告的 DMARC,先观测,再强制执行——先
p=none加rua=,识别出每一个合法发件方,然后再迁移到quarantine和reject。这是大多数域名从未翻过的那道墙,靠的是调查取证的功夫,而不是钱。(修复 DMARC →) - **然后是 Web 层:**在你的 HTTPS 站点上启用 HSTS,以及若你的 DNS 服务商为你托管签名则启用 DNSSEC。
一个不发送任何邮件的域名可以完全跳过观测阶段:今天就上 SPF -all 和 p=reject,一次 DNS 更改,径直越过那道墙。
常见问题
一个完成防护的域名是什么样子的? SPF 和 DKIM 就位,其上叠加一条 quarantine 或 reject 的 DMARC 策略——即完整且强制执行的邮件身份验证栈。有 10,092,481 个域名(3.87%)达到了这个标准。最严格的版本再加上 DNSSEC、HTTPS 和 HSTS:全部五项一起就是金字塔的那 0.09%。
有多少域名同时部署了 DMARC、DNSSEC 和 HSTS? 普查发布的是五项防护评分,而非每一对两两交叉表,因此诚实的答案是一个区间:至少持有全部五项的那 247,054 个域名同时具备这三项,而最多则可达 2.2% 的域名(第 4–5 层)。无论如何:远低于四十分之一。
完整的栈昂贵吗? 不。SPF、DKIM、DMARC、HSTS 和 DNSSEC 全都是配置——DNS 记录和服务器头,没有许可证。真正的成本是专注与顺序:DMARC 强制执行之前的发件方识别工作是唯一需要持续投入精力的一步,也正是大多数域名停滞不前的那一步。
哪一项防护应当最先做? 强制执行的邮件身份验证,因为邮件冒充是普通企业真正面对的攻击。HTTPS 你几乎肯定已经有了;HSTS 是一行的收尾;DNSSEC 放到最后,而且只经由为你托管签名的服务商来做。逐层攀爬胜过同时启动五个项目——这恰恰正是要点所在。
查一查你持有五项中的几项
第 1–2 层那 76.9% 与已跑完全程的那 3.87% 之间的差距,不是天赋也不是预算——而是一段顺序,且其中每一步都是免费的。你可以私密且免费地查看,看清 34 项检查你通过了哪些、以及如何修复你没通过的那些。
检测你的域名 → · DMARC 成熟度的 6 个阶段 → · DMARC 支柱页 → · 仅汇总数据。数据在欧盟境内存储和处理。