Defaults.Exposed › পরিষেবার পরিধি
পরিষেবার পরিধি
শেষ আপডেট: ২০২৬-০৭-০৪ · সংস্করণ: ১.০ (ক্যানোনিকাল; নির্ধারিত বাহ্যিক আইনি/হিসাবরক্ষক পর্যালোচনা ২০২৬-০৯-০৪)
পরিষেবার শর্তাবলী-এ অন্তর্ভুক্ত। যেখানে এই দাবিত্যাগ এবং শর্তাবলী একই বিষয় সম্বোধন করে, সেগুলো ধারাবাহিকভাবে পড়ার উদ্দেশ্যে; কোনো দ্বন্দ্ব থাকলে শর্তাবলী প্রাধান্য পায়।
সংক্ষিপ্ত সংস্করণ
- আমরা আপনার ডোমেইনের সর্বজনীনভাবে দৃশ্যমান সিকিউরিটি কনফিগারেশন গ্রেড করি — ইমেইল প্রমাণীকরণ, DNS, সার্টিফিকেট, এবং ওয়েবসাইট সিকিউরিটি হেডার।
- আমরা না একটি পেনিট্রেশন পরীক্ষা, আপনার সিস্টেমের দুর্বলতা স্ক্যান, বা ম্যালওয়্যার/কন্টেন্ট স্ক্যানার, এবং আমরা লগইনের পেছনে কিছু দেখতে পারি না।
- একটি ভালো গ্রেড আপনার ঠিক ডোমেইন থেকে মেইল জাল করা অনেক কঠিন করে তোলে এবং আপনার ঝুঁকি কমায়। এটি না একটি প্রতিশ্রুতি যে আপনাকে আক্রমণ করা, স্পুফ করা, বা ভঙ্গ করা হবে না, এবং এটি বীমা নয় — একটি পাসিং গ্রেড লুক-অ্যালাইক-ডোমেইন, ডিসপ্লে-নেম, বা কম্প্রোমাইজড-মেইলবক্স জালিয়াতি থামায় না, যা আমরা মূল্যায়ন করি না এমন পথ দিয়ে আসে।
- যেখানে একটি ডেলিভারেবল “স্বাক্ষরিত, টাইমস্ট্যাম্পযুক্ত, যাচাইযোগ্য” চিহ্নিত, মানে হলো আপনি প্রমাণ করতে পারেন
আমরা যে নথি ইস্যু করেছি পরিবর্তিত হয়নি এবং আমরা কখন কী পর্যবেক্ষণ করেছি — আর কিছু নয়। এটি কোনো আইনি
মতামত বা স্বীকৃতি নয়। প্রতিটি সিল করা ডেলিভারেবল স্বাক্ষরিত, স্বাধীনভাবে টাইমস্ট্যাম্পযুক্ত
(RFC 3161 + OpenTimestamps), এবং এর
/verifyপেজে সর্বজনীনভাবে পরীক্ষাযোগ্য।
১. আমরা কী মূল্যায়ন করি
প্রতিটি মূল্যায়ন একটি ডোমেইনের বাহ্যিকভাবে পর্যবেক্ষণযোগ্য কনফিগারেশন পরীক্ষা করে, সর্বজনীন ইন্টারনেট থেকে পঠনযোগ্য:
- ইমেইল প্রমাণীকরণ — SPF, DKIM, DMARC (উপস্থিতি, নীতি, সারিবদ্ধতা)।
- DNS — DNSSEC, CAA, এবং সংশ্লিষ্ট রেকর্ড।
- TLS / সার্টিফিকেট — বৈধতা, বিশ্বাস, মেয়াদ।
- ওয়েবসাইট সিকিউরিটি হেডার — HSTS, CSP, X-Frame-Options, X-Content-Type-Options, এবং HTTP→HTTPS রিডাইরেক্ট।
আমরা এগুলো একটি একক, প্রকাশিত পদ্ধতির বিরুদ্ধে গ্রেড করি — বিনামূল্যের স্ক্যান, আদমশুমারি, এবং প্রতিটি পেইড স্তরের পেছনে একই ইঞ্জিন এবং রুব্রিক। এর মানে পদ্ধতি তাদের মধ্যে সামঞ্জস্যপূর্ণ; এটি অভিন্ন ফলাফল গ্যারান্টি দেয় না, কারণ স্ক্যান ভিন্ন সময়ে, ভিন্ন দৃষ্টিকোণ থেকে চলে, এবং কনফিগারেশন তাদের মধ্যে পরিবর্তিত হয়। প্রতিটি মূল্যায়ন যে রুব্রিক সংস্করণে চলেছে তার সাথে স্ট্যাম্প করা, এবং প্রতিটি পেইড অর্ডার কেনার সময় সেই রুব্রিক সংস্করণ পিন করে — তাই আপনি ঠিক কোন রুব্রিক একটি গ্রেড তৈরি করেছে তা দেখতে পারেন, এবং যেকোনো গ্যারান্টি আপনি যে সংস্করণ কিনেছেন তার বিরুদ্ধে বিচার করা হয়, একটি চলমান লক্ষ্য নয়।
২. আমরা যা করি না
একটি মূল্যায়ন নয়, এবং এর উপর নির্ভর করা উচিত নয়:
- একটি পেনিট্রেশন পরীক্ষা বা এথিক্যাল-হ্যাকিং এনগেজমেন্ট;
- আপনার সার্ভার, অ্যাপ্লিকেশন বা নেটওয়ার্কের দুর্বলতা স্ক্যান;
- একটি ম্যালওয়্যার, ফিশিং-কন্টেন্ট, বা ওয়েবসাইট-কন্টেন্ট স্ক্যান;
- একটি লগইনের পেছনে, আপনার নেটওয়ার্কের ভেতরে, বা আপনার ইমেইল কন্টেন্টে যেকোনো কিছুর পর্যালোচনা;
- আপনার নীতি, কর্মী, এন্ডপয়েন্ট বা তৃতীয়-পক্ষ সরবরাহকারীদের অডিট;
- পেশাদার তথ্য-সিকিউরিটি, আইনি, আর্থিক বা বীমা পরামর্শ।
আমরা শুধুমাত্র যা সর্বজনীন ইন্টারনেট প্রকাশ করে তা দেখি। যেখানে একটি রিপোর্ট “কোনো DKIM পাওয়া যায়নি” বলে, এর মানে হলো আমরা যে সিলেক্টরগুলো পরীক্ষা করেছি তাতে — একটি কাস্টম সিলেক্টরের অধীনে একটি কী থাকতে পারে যা আমরা প্রোব করিনি। “সর্বজনীন রেকর্ড থেকে পর্যবেক্ষণ করা হয়েছে” সতর্কতা প্রতিটি ফলাফলে প্রযোজ্য।
৩. নির্দিষ্ট সময়ের, এবং জিনিসগুলো পরিবর্তন হয়
একটি মূল্যায়ন এটি চলার মুহূর্তে ডোমেইনের কনফিগারেশন প্রতিফলিত করে। কনফিগারেশন পরিবর্তন হয় — একটি পরবর্তী সম্পাদনা আমাদের না জানিয়ে আপনার প্রকৃত ঝুঁকি বাড়াতে বা কমাতে পারে, যদি না আপনার একটি সক্রিয় মনিটর বা সম্পূর্ণ পরিচালিত সাবস্ক্রিপশন (বা একটি গ্র্যান্ড স্ল্যাম বছর) থাকে, যা ঠিক সেই স্তরগুলো কীসের জন্য।
৪. সিকিউরিটি সম্ভাব্যতামূলক — একটি গ্রেড ওয়ারেন্টি নয়
সঠিকভাবে কনফিগার করা ইমেইল প্রমাণীকরণ (SPF, DKIM, এনফোর্সমেন্টে DMARC) যে কারো জন্য আপনার ঠিক ডোমেইন থেকে মেইল জাল করা অনেক কঠিন করে তোলে। এটি একটি বাস্তব, নির্দিষ্ট সুবিধা — এবং এটি একটি গ্রেড আপনাকে যা কিনে দেয় তার নির্দিষ্ট সীমা। আপনার গ্রেড উন্নত করা করে না:
- গ্যারান্টি দেয় আপনি স্পুফ, ফিশ, প্রতারিত বা ভঙ্গ হবেন না;
- নিশ্চয়তা দেয় যে আপনার সিস্টেম কোনো নিরঙ্কুশ অর্থে “নিরাপদ”; বা
- যেকোনো ক্ষতির বিরুদ্ধে বীমা হিসেবে কাজ করে।
বিশেষ করে, একটি পাসিং গ্রেড সবচেয়ে সাধারণ বাস্তব-বিশ্বের জালিয়াতির পথ থামায় না: একটি লুক-অ্যালাইক ডোমেইন (একটি ডোমেইন থেকে পাঠানো মেইল যা কেবল আপনারটির মতো মনে হয়), ডিসপ্লে-নেম স্পুফিং, বা একটি কম্প্রোমাইজড মেইলবক্স (আপনার প্রকৃত অ্যাকাউন্ট থেকে কেউ এটি দখল করে পাঠানো মেইল)। ইমেইল প্রমাণীকরণ আপনার ঠিক ডোমেইন রক্ষা করে; এটি সেই অন্য পথগুলো পুলিশ করে না, এবং আমরা যে গ্রেড ইস্যু করি তাও করে না। একটি উচ্চ গ্রেড একটি বড়, সাধারণ দরজা বন্ধ করে — এটি প্রতিটি দরজা সরায় না। যেখানে আমাদের বিক্রয় পেজগুলো ওয়্যার-ফ্রড বা ছদ্মবেশী ক্ষতির বর্ণনা দেয়, সেগুলো এই বিভাগের পাশাপাশি পড়ুন: তারা ব্যাখ্যা করে কেন ডোমেইন জাল করা গুরুত্বপূর্ণ, প্রতিশ্রুতি নয় যে একটি গ্রেড প্রতিটি ধরনের জালিয়াতি প্রতিরোধ করে।
৫. আমরা যে সংখ্যাগুলো উদ্ধৃত করি সে সম্পর্কে
সাইট এবং রিপোর্টে শিল্প ক্ষতি, গড় জালিয়াতির পরিমাণ, বা উন্মুক্ত ডোমেইনের শেয়ার সম্পর্কে পরিসংখ্যান হলো প্রকাশিত-গবেষণা প্রসঙ্গ কেন এটা গুরুত্বপূর্ণ ব্যাখ্যা করতে। এগুলো নয় আপনার নির্দিষ্ট ব্যবসা সম্পর্কে পূর্বাভাস, আপনার ঝুঁকির পরিমাণ নির্ধারণ, বা আপনার ফলাফল সম্পর্কে প্রতিশ্রুতি।
এগুলো কোথা থেকে:
- “ব্যবসায়িক ডোমেইনের ৮৬.২% F গ্রেড পায়” আসে Defaults.Exposed আদমশুমারি থেকে — ২৬০ মিলিয়ন+ ডোমেইনের আমাদের নিজস্ব স্ক্যান, /data পেজে পদ্ধতি এবং পরিসংখ্যান সহ প্রকাশিত।
- “$২.৯B চুরি হয়েছে” এবং “প্রতি ভুক্তভোগী ~$১৩৭k” আসে FBI IC3 ২০২৩ BEC রিপোর্ট থেকে (FBI-এর ইন্টারনেট ক্রাইম কমপ্লেইন্ট সেন্টারে রিপোর্ট করা ব্যবসায়িক ইমেইল আপোষ ক্ষতি)।
দুটি নিয়ম নিয়ন্ত্রণ করে কীভাবে এই সংখ্যাগুলো উপস্থিত হয়, তাই এই দাবিত্যাগকে নিজে থেকে একটি অসমর্থিত দাবি সারানো করতে হবে না:
- প্রতিটি হেডলাইন পরিসংখ্যান যেখানে দেখানো হয় সেখানে তার উৎস এবং তারিখ বহন করে — পরিসংখ্যানের পাশে একটি তারিখযুক্ত উদ্ধৃতি, বর্তমান আদমশুমারি/ডেটা উৎস থেকে নেওয়া, শুধু এই পরিধি পেজ নয়।
- সম্পূর্ণ “প্রসঙ্গ, পূর্বাভাস নয়” শব্দ ফুটার / পরিধি লিংকে থাকে, ক্রয়ের CTA-এর পাশে নয়, তাই এটি সৎ থাকে যেখানে একজন ক্রেতা সিদ্ধান্ত নিচ্ছেন পেজে, উদ্ধৃত, আদমশুমারি-সমর্থিত ফ্রেমিং কমিয়ে না ফেলে।
৬. “স্বাক্ষরিত, টাইমস্ট্যাম্পযুক্ত এবং যাচাইযোগ্য” মানে কী
প্রতিটি সিল করা ডেলিভারেবল — সিকিউরিটি ডোসিয়ার, প্রতিটি মাসিক মনিটর সার্টিফিকেট, এবং প্রতিটি বার্ষিক
গ্র্যান্ড স্ল্যাম পুনঃসার্টিফিকেশন — একইভাবে প্রক্রিয়া করা হয়: প্রমাণ বান্ডেল ক্যানোনিকালাইজড এবং
হ্যাশ করা হয় (SHA-256), আমাদের Ed25519 সাইনিং কী দিয়ে স্বাক্ষরিত (পাবলিক কী ভেরিফাই পেজে প্রকাশিত), এবং
দুইবার স্বাধীনভাবে টাইমস্ট্যাম্পযুক্ত — একটি তৃতীয়-পক্ষ RFC 3161 টাইমস্ট্যাম্প কর্তৃপক্ষ এবং একটি দ্বিতীয়, স্বাধীন অ্যাঙ্কর হিসেবে OpenTimestamps (বিটকয়েন ব্লকচেইনে অ্যাঙ্কর করা) দ্বারা। প্রতিটি সিল করা ডেলিভারেবলের /verify/<id> তে একটি সর্বজনীন যাচাই পেজ আছে যা যে কেউ ব্যবহার করতে পারে, চিরকাল, অ্যাকাউন্ট ছাড়াই। (A-গ্রেড প্লেবুক ইচ্ছাকৃতভাবে সিল করা নয় — এটি পরামর্শ, প্রমাণ নয়।)
এই সিলগুলো যে কাউকে দুটি জিনিস নিশ্চিত করতে দেয়, এবং শুধুমাত্র এই দুটি জিনিস:
- অখণ্ডতা — আমরা যে নির্দিষ্ট নথি ইস্যু করেছি আমরা ইস্যু করার পর থেকে পরিবর্তিত হয়নি।
- পর্যবেক্ষণ — রেকর্ড করা সময়ে ডোমেইনের সর্বজনীনভাবে পর্যবেক্ষণযোগ্য অবস্থা কী ছিল।
এগুলো নথিটিকে একটি আইনি মতামত, স্বীকৃতি, কমপ্লায়েন্স সার্টিফিকেশন, বীমা সার্টিফিকেট, বা আমরা পর্যবেক্ষণ করিনি এমন কিছু সম্পর্কে বিবৃতি করে না। আমরা এই ধরনের রেকর্ডগুলোকে টেম্পার-এভিডেন্ট এবং স্বাধীনভাবে যাচাইযোগ্য হিসেবে বর্ণনা করি — প্রমাণ স্বাক্ষরিত এবং স্বাধীনভাবে টাইমস্ট্যাম্পযুক্ত যাতে যে কেউ যাচাই করতে পারে এটি পরিবর্তিত হয়নি এবং উল্লিখিত সময়ে বিদ্যমান ছিল। কোনো নথি আইনি প্রক্রিয়ায় গ্রহণযোগ্য বা প্রভাবশালী কিনা তা আদালতের সিদ্ধান্ত, এবং আমরা সে বিষয়ে কোনো দাবি করি না।
৭. কোনো পেশাদার-উপদেষ্টা সম্পর্ক নেই
পরিষেবা ব্যবহার কেনা নির্দিষ্ট পরিষেবার বাইরে কোনো পেশাদার-উপদেষ্টা, ফিডুশিয়ারি, বা পরামর্শক-ক্লায়েন্ট সম্পর্ক তৈরি করে না। আইনি, নিয়ন্ত্রক, বীমা বা উপাদান আর্থিক পরিণতি সহ সিদ্ধান্তের জন্য, একজন উপযুক্ত যোগ্য পেশাদারের কাছ থেকে পরামর্শ নিন। আমরা ডোমেইন মালিকদের কাছে, Defaults Exposed FZ-LLC, একটি UAE ফ্রি-জোন কোম্পানি থেকে ব্যবসা-প্রথম বিক্রি করি — কিন্তু ভোক্তা কেনা গ্রহণ করা হয়, এবং এই দাবিত্যাগের কোনো কিছুই আপনার নিজের দেশে ভোক্তা-সুরক্ষা আইন আপনাকে দেওয়া কোনো বাধ্যতামূলক অধিকার সরায় না।
৮. আপনার-জন্য-করা পরিষেবার জন্য অ্যাক্সেস পূর্বশর্ত
আমার জন্য ঠিক করুন, গ্র্যান্ড স্ল্যাম, এবং সম্পূর্ণ পরিচালিত-এর জন্য, কাজ শুধুমাত্র আমরা নিশ্চিত করার পরে শুরু হয় আপনার ডোমেইন প্রাপ্য — মানে আমরা আপনার DNS, রেজিস্ট্রার এবং মেইল প্ল্যাটফর্ম নিয়ন্ত্রণকারীর সাথে কাজ করতে পারি। আমরা কখনো পাসওয়ার্ড বা ক্রেডেনশিয়াল চাই বা গ্রহণ করি না; অ্যাক্সেস শুধুমাত্র DNS ডেলিগেশন বা নির্দেশিত পরিবর্তন দ্বারা।
আপনার রেজিস্ট্রার, DNS প্রদানকারী বা মেইল প্ল্যাটফর্ম যদি একটি প্রয়োজনীয় রেকর্ড বা কনফিগারেশন সমর্থন করতে না পারে (যেমন DNSSEC, CAA), বা আপনি যদি কাজের জন্য প্রয়োজনীয় অ্যাক্সেস দিতে অস্বীকার করেন, আমরা আপনি অর্থ দেওয়ার আগে বাধা ব্যাখ্যা করি এবং আমরা ডেলিভারি করতে পারি না এমন ফলাফলের জন্য অর্থ নেওয়ার পরিবর্তে আপনাকে উপযুক্ত গ্যারান্টি ফলাফলে পথ দেখাই। ফেরত ও গ্যারান্টি নীতি §৪.৩ দেখুন।