Defaults.Exposed › Обхват на услугата
Обхват на услугата
Последна актуализация: 2026-07-04 · Версия: 1.0 (канонична; планиран външен правен/счетоводен преглед на 2026-09-04)
Включено в Условията за ползване. Където това описание и Условията разглеждат един и същи въпрос, те се четат последователно; Условията се прилагат при евентуален конфликт.
Накратко
- Оценяваме публично видимата конфигурация за сигурност на вашия домейн — имейл удостоверяване, DNS, сертификати и заглавия за сигурност на уебсайта.
- Ние не сме тест за проникване, сканиране за уязвимости на вашите системи или скенер за зловреден софтуер/съдържание и не можем да видим нищо зад вход в системата.
- Добрата оценка значително затруднява фалшифицирането на имейл от вашия точен домейн и намалява риска ви. Тя не е обещание, че няма да бъдете атакувани, подправени или нарушени, и не е застраховка — преминаващата оценка не спира измами с подобен домейн, фалшиво показвано-иметo или компрометирана пощенска кутия, които идват по пътища, които ние не оценяваме.
- Когато дадена доставка е маркирана като „подписана, с времеви маркер, проверима”, това означава, че можете да докажете, че документът, издаден от нас, не е бил променяван и какво сме наблюдавали кога — нищо повече. Това не е правно становище или акредитация. Всяка запечатана доставка е подписана, независимо с времеви маркер (RFC 3161 + OpenTimestamps) и публично проверима на нейната страница
/verify.
1. Какво оценяваме
Всяка оценка разглежда външно наблюдаемата конфигурация на домейн, четима от публичния интернет:
- Имейл удостоверяване — SPF, DKIM, DMARC (наличие, политика, съответствие).
- DNS — DNSSEC, CAA и свързани записи.
- TLS / сертификати — валидност, доверие, изтичане.
- Заглавия за сигурност на уебсайта — HSTS, CSP, X-Frame-Options, X-Content-Type-Options и пренасочването HTTP→HTTPS.
Оценяваме ги спрямо единна, публикувана методология — един и същи двигател и рубрика за безплатното сканиране, мащабния преглед и всяко платено ниво. Това означава, че методът е последователен за всички; той не гарантира идентични резултати, тъй като сканиранията се изпълняват по различно време, от различни позиции и конфигурациите се променят между тях. Всяка оценка е маркирана с версията на рубриката, под която е изпълнена, а всяка платена поръчка фиксира тази версия при покупка — така можете да видите точно коя рубрика е произвела оценката и всяка гаранция се преценява спрямо версията, която сте закупили, а не движеща се цел.
2. Какво НЕ правим
Оценката не е и не трябва да се разчита на нея като на:
- тест за проникване или ангажимент за етично хакване;
- сканиране за уязвимости на вашите сървъри, приложения или мрежа;
- сканиране за зловреден софтуер, фишинг съдържание или уебсайт съдържание;
- преглед на нищо зад вход, вътре в мрежата ви или в съдържанието на имейла ви;
- одит на вашите политики, персонал, крайни точки или доставчици трети страни;
- професионален съвет в областта на информационната сигурност, правен, финансов или застрахователен.
Виждаме само това, което разкрива публичният интернет. Когато доклад казва нещо като „не е намерен DKIM”, това означава при селекторите, които сме тествали — ключ може да съществува под персонализиран селектор, който не сме проучили. Същата уговорка „наблюдавано от публични записи” се прилага към всяка констатация.
3. Момент от времето и нещата се променят
Оценката отразява конфигурацията на домейна в момента на изпълнение. Конфигурациите се променят — по-късна редакция може да повиши или намали реалния риск без наше знание, освен ако не притежавате активен абонамент за Monitor или Fully Managed (или за Grand Slam година), което е точно предназначението на тези нива.
4. Сигурността е вероятностна — оценката не е гаранция
Правилно конфигурираното имейл удостоверяване (SPF, DKIM, DMARC при прилагане) значително затруднява всеки да фалшифицира имейл от вашия точен домейн. Това е реална, конкретна полза — и точното ограничение на това, което носи оценката. Подобряването на оценката ви не:
- гарантира, че няма да бъдете подправени, фишингирани, измамени или нарушени;
- гарантира, че системите ви са „защитени” в абсолютен смисъл; или
- действа като застраховка срещу каквато и да е загуба.
По-специално, преминаващата оценка не спира най-честите реални пътища за измама: подобен домейн (имейл, изпратен от домейн, просто наподобяващ вашия), фалшифициране на показваното-иметo или компрометирана пощенска кутия (имейл, изпратен от истинския ви акаунт от некого, превзел го). Имейл удостоверяването защитава вашия точен домейн; то не контролира тези други пътища и нито една оценка, издадена от нас, не го прави. Висока оценка затваря важна, честа врата — тя не премахва всяка врата. Когато нашите продажбени страници описват загуби от измама с банков превод или представяне, четете ги заедно с този раздел: те обясняват защо фалшифицирането на домейн е важно, а не обещание, че оценката предотвратява всеки вид измама.
5. За числата, които цитираме
Числата на сайта и в докладите за индустриални загуби, средни суми на измами или дялът на изложените домейни са публикуван изследователски контекст, за да обяснят защо това е важно. Те не са прогноза за вашия конкретен бизнес, количествено определяне на риска ви или обещание за вашия резултат.
Откъде идват:
- „86.2% от бизнес домейните получават оценка F” идва от мащабния преглед на Defaults.Exposed — нашето собствено сканиране на 260M+ домейна, публикувано с методология и данни на страницата /data.
- „Откраднати $2.9B” и „~$137 хил. на жертва” идват от доклада за BEC на FBI IC3 за 2023 г. (загуби от компрометиране на бизнес имейл, докладвани в Центъра за интернет престъпления на FBI).
Две правила управляват как тези числа се появяват, за да не се налага настоящото описание само да поправя необоснована претенция:
- Всяка основна цифра носи своя източник и дата в момента, в който е показана — датирано цитиране до самата цифра, от текущия мащабен преглед/източник на данни, не само от тази страница за обхват.
- Пълният текст „контекст, не прогноза” живее в долния колонтитул / линка за обхват, а не до призива за действие при покупка, за да остане честен, без да омаловажава рамкирането на страницата, подкрепено с данни от мащабния преглед, когато купувачът взема решение.
6. Какво означава „подписан, с времеви маркер и проверим”
Всяка запечатана доставка — Security Dossier, всеки месечен сертификат на Monitor и всяка годишна повторна сертификация на Grand Slam — се обработва по един начин: пакетът с доказателства се канонизира и хешира (SHA-256), подписва се с нашия Ed25519 ключ за подписване (публичният ключ е публикуван на страницата за верификация) и независимо с времеви маркер два пъти — от трета страна с RFC 3161 орган за времеви маркери и от OpenTimestamps (закотвен в Bitcoin блокчейна) като втори, независим котва. Всяка запечатана доставка има публична страница за верификация на /verify/<id>, която всеки може да използва, завинаги, без акаунт. (A-Grade Playbook умишлено не е запечатан — той е съвет, а не доказателство.)
Тези печати позволяват на всеки да потвърди две неща и само тях:
- Цялостност — конкретният документ, издаден от нас, не е бил променяван от момента на издаването му.
- Наблюдение — какво е било публично наблюдаемото състояние на домейна в записаното време.
Те не правят документа правно становище, акредитация, сертификат за съответствие, застрахователен сертификат или твърдение за нещо, което не сме наблюдавали. Описваме такива записи като устойчиви на фалшифициране и независимо проверими — доказателствата са подписани и независимо с времеви маркер, така че всеки може да провери, че не са били променяни и че са съществували в посоченото време. Дали даден документ е допустим или убедителен в правен процес е за съда да реши и ние не правим претенции в тази насока.
7. Без отношение на професионален съветник
Използването на Услугите не създава отношение на професионален съветник, доверено лице или консултант-клиент извън конкретно закупената услуга. За решения с правни, регулаторни, застрахователни или съществени финансови последици, потърсете съвет от подходящо квалифициран специалист. Продаваме приоритетно на бизнеси, на собственици на домейни, от Defaults Exposed FZ-LLC, компания от свободна зона в ОАЕ — но се приемат и покупки от физически лица и нищо в това описание не премахва задължителни права, дадени ви от законодателството за защита на потребителите в собствената ви страна.
8. Предварителни условия за достъп за услуги „направено вместо вас”
За Fix It For Me, Grand Slam и Fully Managed, работата започва само след като потвърдим достъпността на вашия домейн — което означава, че можем да работим с лицето, контролиращо вашия DNS, регистратор и имейл платформа. Никога не искаме и не приемаме пароли или идентификационни данни; достъпът е чрез DNS делегиране или направлявана промяна само.
Ако вашият регистратор, DNS доставчик или имейл платформа не може да поддържа задължителен запис или конфигурация (например DNSSEC, CAA), или ако отказвате да предоставите достъпа, изискван от работата, обясняваме ограничението преди да платите и ви насочваме към подходящия гаранционен резултат, а не вземаме пари за резултат, който не можем да доставим. Вижте Политиката за възстановяване и гаранции §4.3.