Defaults.Exposed › 報告
網絡保險與供應商安全問卷:它們如何核查你的域名(2026)
發布於 2026-07-01
數據截至 2026-06-29 · 方法論 v7。 覆蓋 261 百萬個已評級域名的彙總普查數據。以下數據是典型問卷所詢問的每項控制措施在全互聯網範圍內的通過率。參見我們如何評級。
網絡保險申請和供應商安全問卷越來越多地詢問位於你公共 DNS 中的那些具體控制措施——而大多數組織無法如實勾選它們。 這些都是可外部驗證的:核保人或客戶無需你的配合即可核查答案。在 261 百萬個域名中,僅有 3.87% 實現了完整的郵件保護,只有 0.09% 鎖定了全部核心控制措施。以下是它們核查的內容,以及互聯網實際所處的狀況。
它們詢問的控制措施——以及真實通過率
數值越高越好。每一行都是你在問卷中會認得的一個問題,並附上截至 2026-06-29 全部域名中能夠通過該項的比例:
| 它們詢問的內容 | 控制措施 | 互聯網通過率 |
|---|---|---|
| “你是否強制執行 DMARC 以阻止冒充?” | DMARC quarantine/reject | 10.59% |
| “你的發送域名是否已發佈 SPF?” | SPF 已存在 | 53.21% |
| “網站是否通過 HTTPS 提供服務?” | HTTPS | 78.02% |
| “是否啟用了 HSTS?” | HSTS | 22.91% |
| “你是否提供現代 TLS(1.2 及以上)?” | 已協商 TLS 1.3 | 90.51% |
| “是否啟用了 DNSSEC?” | DNSSEC 有效 | 1.99% |
| “你是否限制證書籤發(CAA)?” | CAA 已存在 | 1.56% |
“我們認為已經覆蓋”與“我們能夠證明”之間的差距,正是申請被拖延、保費上漲之處。
為什麼大多數組織答錯這些問題
兩種失敗模式最為常見:
- 把“已發佈”誤當作“正在強制執行”。 一個帶有
p=noneDMARC 記錄或寬鬆 SPF 的域名看似已配置,實則毫無攔截作用——誠實的答案應是“否”。只有 10.59% 真正強制執行了 DMARC。 - 沒有單一負責人。 DNS、郵件和網站往往由不同團隊或供應商管理,因此沒有人能為整套配置背書。這一點顯而易見:8.8% 的域名完全沒有任何核心控制措施,處於完全暴露狀態。
如何準確回答——並提高得分
- 先檢查域名,讓你的答案基於證據而非猜測。見下文。
- 彌補郵件缺口——在 SPF 和 DKIM 之上,將 DMARC 提升至強制執行。這是大多數問卷中權重最高的一項。
- 加固 Web 層——全站 HTTPS、添加 HSTS,並禁用舊版 TLS。
- 增強 DNS 完整性——在你的託管商支持的地方啟用 DNSSEC 和 CAA。
- 提交前重新檢查,確保你勾選的項與評估人員將看到的一致。
參見NIS2 是否要求 DMARC以及域名暴露評分,瞭解這些控制措施如何組合在一起。
常見問題
網絡保險問卷會核查哪些域名控制措施? 大多數會詢問 DMARC 強制執行、SPF、HTTPS、HSTS、TLS 版本,並且越來越多地涉及 DNSSEC 和 CAA——所有這些都可從你的 DNS 和網站響應中進行外部驗證。
保險公司真的能驗證我的答案嗎? 可以。這些都是公開信號;核保人或客戶無需訪問你的系統即可確認它們。對某個他們能看出是“否”的事項回答“是”,是個糟糕的主意。
哪項控制措施最重要? DMARC 強制執行通常權重最高,也是最常見的失敗項——只有 10.59% 的域名能通過。它直接應對冒充和發票欺詐。
改進需要多長時間? 郵件類控制措施通常是一個下午的 DNS 工作外加一段監控期;Web 和 DNS 類控制措施則是配置更改。所有這些都是免費的。
我如何知道自己所處的狀況? 對你自己的域名運行一次免費、私密的檢查(見下文)——它與這些問卷項直接對應。
免費對照問卷檢查你的域名
準確瞭解你能通過哪些控制措施、會在哪些控制措施上失敗——私密進行,僅域名所有者可見。
檢查你的域名 → · 修復 DMARC → · NIS2 是否要求 DMARC? → · 我們如何評級 → · 僅彙總數據。數據在歐盟境內存儲和處理。