Defaults.Exposed

Defaults.Exposed › 報告

完成防護的少數派:那 3.87% 跑完全程的域名

發布於 2026-07-03 · 更新 2026-07-03

**數據截至 2026-06-29 · 方法論 v7。**普查數據將每個域名的各項檢查項加以關聯,覆蓋 261 百萬個評級域名。本文中的”完成防護”指完整且強制執行的郵件身份驗證棧:存在 SPF、存在 DKIM,且 DMARC 策略為 quarantinereject。暴露金字塔按每個域名統計五項核心防護——SPF、強制執行的 DMARC、DNSSEC、HTTPS、HSTS。此處的重疊數字來自逐域名關聯,其去重粒度與 DAMMM 頁面上引用的策略拆分計數略有差異(27,640,987 對 27,639,358 個強制執行域名)——每個頁面都引用各自的來源,二者從不混用。所有數字均為彙總值——我們從不公佈任何單個企業的評級。

完成防護的域名有何不同:它們跑完了全程

**在互聯網 261 百萬個評級域名中,只有 3.87%——即 10,092,481 個——部署了完整且強制執行的郵件防護棧:SPF 和 DKIM 就位,DMARC 處於 quarantinereject。**這一群體有意思之處在於它不是什麼。它不是一個擁有更大預算的安全團隊俱樂部——所涉及的每一項控制都是免費的 DNS 或 Web 服務器設置。這 3.87% 並不比其他人更聰明;他們只是更有條理。他們把這些防護當作要跑完的一整個棧,而不是要各自啟動的五個獨立項目,而本文餘下的內容就是要講清楚這在普查數據裡是什麼樣子。

要看清”跑完全程”有多麼罕見,先從其他所有人所處的位置說起。

暴露金字塔:五項防護,六層樓

給每個域名按五項最佳實踐防護打分——SPF、強制執行的 DMARC、DNSSEC、HTTPS、HSTS——每項一分,互聯網就會排列成一座金字塔(暴露曲線,逐層查看)。截至 2026-06-29:

樓層已就位的防護域名佔比域名數
0無——完全暴露8.8%23,105,485
1一項(通常僅 HTTPS)37.2%97,206,153
2兩項(通常為 HTTPS + SPF)39.7%103,527,371
3三項12.0%31,424,343
4四項2.1%5,575,826
5全部五項——完全鎖定0.09%247,054

在任何單個數字之前,這個形狀就已經講出了故事。所有域名中的 76.9%——即 201 百萬個——位於第 1 和第 2 層,恰好只持有默認就自帶的那些防護,別無其他。HTTPS 之所以存在,是因為主機商和 CDN 自動為其開啟;SPF 之所以存在,是因為每家郵件服務商的上手指南都以它開頭。第 2 層之上的一切都需要所有者去決定——而在每一個決定點上,互聯網的大多數都止步不前。第 4 層和第 5 層加起來只佔 2.2% 的域名。

這座金字塔不是對誰更用心的排名。它是一張地圖,標出默認設置在哪裡終止、刻意作為從哪裡開始。

那 3.87% 攀爬過的漏斗

逐步追蹤這個棧的郵件那一半,同樣的模式反覆出現——每一個階段都會流失掉超過一半、原本已抵達上一階段的域名:

最後這一次流失值得停下來看一看。在大約 28 百萬個強制執行 DMARC 的域名中,只有 36.5% 在策略之下同時具備 SPF 和 DKIM。其餘當中有一些做的恰恰完全正確——一個不發送任何郵件的域名就應當處於 p=reject、配一條裸的 -all SPF,且不需要 DKIM。但這個缺口裡也包含了那些身份驗證不完整卻強制執行的域名,那就是從屋頂往下蓋起來的棧。這 3.87% 的定義正在於相反的習慣:先地基後屋頂,每一層都鋪,然後才把策略蓋在頂上。

單靠 SPF 覆蓋了 139 百萬個域名,卻幾乎一個都沒保護到——這是普查對”只起步不收尾能換來什麼”最直白的示例。

一個棧,而非五個項目

以下就是把那 3.87% 區分開來的習慣,而它是組織層面的,而非技術層面的。

大多數域名累積防護的方式正如金字塔所暗示的那樣:一次一項,每一項都由不同的觸發因素引發——一條瀏覽器警告、一個可送達性問題、一份合規清單——每一項都被當作有自己”完成”標準的小項目。在那種模式下,“完成”意味著記錄存在。這就是互聯網最終落得 201 百萬個域名停在第 1–2 層的原因:明明有五個綠色對勾可拿,卻只收下一兩個,旅程就此結束。

完成防護者把這五項當作一個系統、只有一個”完成”的定義:攻擊不再奏效。偽造的郵件被拒收,而不只是被觀測;會話無法被降級,因為 HSTS 已被固定;應答無法被悄悄替換,只要簽署了 DNSSEC。在 DMARC 採用成熟度模型中,那就是第 6 階段的心態——把防護當作一種受監控、被維護的紀律,而不是一次掙得便一勞永逸的徽章。這其中沒有任何一點需要另外那 96% 所缺乏的專業知識。它需要的是跑完全程——以正確的順序,逐層確認真正立得住,並把”已配置”當作中點而非終點。

上方的頂峰:全部五項一起

在完成郵件防護者之上,坐著規模小得多的一個群體:即 247,054 個域名——0.09%——它們同時持有全部五項防護,在 SPF 和 HTTPS 之上一併部署了 DMARC、DNSSEC 與 HSTS。關卡在 DNSSEC:僅在 1.99% 的域名上有效,是五項中最稀有的一項,因此金字塔的頂層註定極小。如果第 5 層描述了你的抱負,順序依然重要——先強制執行郵件身份驗證(它攔截的是每天真正會到來的攻擊),再用 HSTS 固定傳輸,最後簽署該區域。

如何加入那 3.87%

每一步都是一次配置更改,而且每一步都是免費的:

  1. 發佈 SPF,列出你真正的發件方,以 -all 結尾。(修復 SPF →
  2. 為每一項以你名義發信的服務啟用 DKIM——大多數服務商只需一個開關。(修復 DKIM →
  3. 發佈帶報告的 DMARC,先觀測,再強制執行——先 p=nonerua=,識別出每一個合法發件方,然後再遷移到 quarantinereject。這是大多數域名從未翻過的那道牆,靠的是調查取證的功夫,而不是錢。(修復 DMARC →
  4. **然後是 Web 層:**在你的 HTTPS 站點上啟用 HSTS,以及若你的 DNS 服務商為你託管簽名則啟用 DNSSEC

一個不發送任何郵件的域名可以完全跳過觀測階段:今天就上 SPF -allp=reject,一次 DNS 更改,徑直越過那道牆。

常見問題

一個完成防護的域名是什麼樣子的? SPF 和 DKIM 就位,其上疊加一條 quarantinereject 的 DMARC 策略——即完整且強制執行的郵件身份驗證棧。有 10,092,481 個域名(3.87%)達到了這個標準。最嚴格的版本再加上 DNSSEC、HTTPS 和 HSTS:全部五項一起就是金字塔的那 0.09%。

有多少域名同時部署了 DMARC、DNSSEC 和 HSTS? 普查發佈的是五項防護評分,而非每一對兩兩交叉表,因此誠實的答案是一個區間:至少持有全部五項的那 247,054 個域名同時具備這三項,而最多則可達 2.2% 的域名(第 4–5 層)。無論如何:遠低於四十分之一。

完整的棧昂貴嗎? 不。SPF、DKIM、DMARC、HSTS 和 DNSSEC 全都是配置——DNS 記錄和服務器頭,沒有許可證。真正的成本是專注與順序:DMARC 強制執行之前的發件方識別工作是唯一需要持續投入精力的一步,也正是大多數域名停滯不前的那一步

哪一項防護應當最先做? 強制執行的郵件身份驗證,因為郵件冒充是普通企業真正面對的攻擊。HTTPS 你幾乎肯定已經有了;HSTS 是一行的收尾;DNSSEC 放到最後,而且只經由為你託管簽名的服務商來做。逐層攀爬勝過同時啟動五個項目——這恰恰正是要點所在。

查一查你持有五項中的幾項

第 1–2 層那 76.9% 與已跑完全程的那 3.87% 之間的差距,不是天賦也不是預算——而是一段順序,且其中每一步都是免費的。你可以私密且免費地查看,看清 34 項檢查你通過了哪些、以及如何修復你沒通過的那些。

檢測你的域名 → · DMARC 成熟度的 6 個階段 → · DMARC 支柱頁 → · 僅彙總數據。數據在歐盟境內存儲和處理。