Defaults.Exposed

Defaults.Exposed › 報告

電子郵件可偽造指數:有多少域名任何人都能偽造?(2026)

發布於 2026-07-03

數據截至 2026-06-29 · 方法論 v7。 對 261 百萬個已評級域名(我們所測量的整個互聯網)進行的彙總普查,按域名逐一聯接。所有數據均為彙總數據;絕不涉及任何單個企業的評級。參見我們如何評級

有多少域名可以被偽造?

10 箇中有 9 個。互聯網上 89.4%——即 233,445,245 個域名——沒有發佈任何策略來告知接收方拒收或將驗證失敗的郵件丟入垃圾箱。 這就是我們所統計的”可偽造”域名,也是從攻擊者視角看到的這次普查:不是”誰開始保護電子郵件”,而是”誰仍然可以被冒充”。大多數域名都已經起步——它們發佈了 SPF。真正完成的卻少得多,而這兩個動作之間的差距,正是這個指數。

這裡的”可偽造”是什麼意思?

一個精確的定義,因為這個數字會被廣泛引用:當一個域名沒有發佈 p=quarantinep=reject 級別的 DMARC 策略時,它就是可偽造的——這是唯一能讓所有主流接收方拒收或丟棄驗證失敗郵件的標準化指令。有些接收方確實會單憑嚴格的 SPF -all 採取行動,但這種行為是自主決定的,在全球各個收件箱之間並不一致;而 DMARC 強制執行才是它們全都會遵守的指令。因此,一個可偽造的域名並不一定在任何地方都毫無防護——它是在策略層面無防護,取決於每個接收方的善意。

這也是為什麼僅僅發佈 SPF 並不能讓一個域名脫離這個指數:SPF 標識出你真實的郵件,但沒有強制執行,就沒有任何東西指示接收方對偽造郵件採取行動

哪些域名後綴最容易被偽造?

已評級域名中缺少強制執行 DMARC 的比例,按後綴劃分:

TLD可偽造比例
.xyz94.9%
.de78.6%
.com90.5%
.org90.0%
.uk86.6%
.nl70.6%

互聯網上沒有哪個”街區”是安全的——各後綴之間的差異只是暴露程度的不同,而非有無之別。國家層面的極端情況本身另有故事:參見最容易被偽造的國家,瞭解本指數所彙總的按國家排名。

郵件服務器切片:活躍的收件箱,毫無防護

本指數中最尖銳的一片:在所有已評級域名中,42.7% 運行著活躍的郵件服務器,卻完全沒有發佈任何身份驗證——共 111,369,509 個域名,它們既接收真實郵件,又為偽造者提供了一個不設防的名號。這些不是停放的空殼;它們是正在運營的郵件域名,而其所有者從未裝上鎖。

為什麼這才是最要緊的數字

採用率統計數據美化了互聯網;可偽造性衡量的則是攻擊者仍然能做什麼。修復在每一步都是免費的——SPF、DKIM,然後是 p=reject 級別的 DMARC 策略——每一個完成修復的域名,都會從 10 箇中 9 個的行列,邁入受保護的少數。這兩篇文章是同一份數據集從相反兩端讀出的結果:這一篇統計敞開的門;那一篇統計上了鎖的門。

常見問題

是什麼讓一個域名變得可偽造? 缺少一個強制執行的 DMARC 策略(p=quarantinep=reject)。沒有它,就沒有標準化的指令告知接收方拒收或丟棄通過不了 SPF/DKIM 檢查的郵件。截至 2026-06-29,89.4% 的域名——10 箇中 9 個——處於這種狀態。

我發佈了 SPF——我的域名還會被偽造嗎? 如果沒有任何東西強制執行,那就會。SPF 證明哪些郵件是真實的;它並不指示接收方拒收其餘的郵件。其機制和修復方法在 SPF 而無 DMARC 中有介紹。

DMARC p=quarantine 能讓我的域名安全嗎? 它能讓你脫離這個指數:驗證失敗的郵件會被丟入垃圾箱,而不是投遞到收件箱。p=reject 更進一步,直接拒收這類郵件——這是最強的設置,也是我們推薦的目標。

我要如何讓我的域名無法被偽造? 裝上全部三把鎖——SPF、DKIM,以及 p=reject 級別的 DMARC——每一把都是一次免費的 DNS 更改。修復你的 DMARC 策略就是那個讓你脫離指數的強制執行步驟。

檢查一下你的域名是否屬於那 9 個之一

你的域名要麼在這個指數上,要麼不在,而答案的獲取是免費的,改變它也是免費的。

檢查你的域名 → · 修復 DMARC → · 修復 SPF → · 最容易被偽造的國家 → · 受保護的少數 → · 僅彙總數據。數據在歐盟境內存儲和處理。