Defaults.Exposed › Rapporter
Sådan bedømte vi hele internettet: A–F-metoden til domænesikkerhed (2026)
Udgivet 2026-06-28
Referenceside · metodologi v7 · data pr. 2026-06-28. Denne side forklarer, hvordan alle tal på dette site fremkommer. Alle offentliggjorte statistikker er aggregerede; et enkelt domænes karakter vises kun til den verificerede ejer.
Defaults.Exposed bedømmer domæner fra A+ til F baseret på 34 eksternt observerbare sikkerhedstjek — udelukkende ud fra det offentlige internet, uden nogensinde at røre ved andres systemer. Denne side er den fulde, klartekstredegørelse for, hvordan det fungerer: hvad vi måler, hvordan en karakter beregnes, hvad dataene kan og ikke kan fortælle dig, og de etiske regler vi holder os til. Den er bevidst transparent, fordi en sikkerhedskarakter kun er så troværdig som den metode, der ligger bag.
Hvad vi måler
Hvert domæne vurderes mod 34 tjek grupperet i fem kategorier. Hvert tjek er noget enhver kan observere udefra — der er ingen scanning af private systemer, intet login, ingen indtrængen.
- E-mailautentificering — kan dette domæne efterlignes i e-mail? Inkluderer SPF, DKIM, DMARC (og om DMARC faktisk er i håndhævelsestilstand) samt mailopsætningen (MX).
- TLS og certifikater — er sitet krypteret korrekt? Inkluderer certifikatgyldighed og værtsnavn-match, moderne TLS-versioner og HSTS.
- Sikkerhedsheadere til webbrowseren — beskytter sitet browseren? Inkluderer Content-Security-Policy, beskyttelse mod clickjacking (X-Frame-Options), MIME-sniffing-beskyttelse, Referrer-Policy og cross-origin-headere.
- DNS — er navnelaget hærdet? Inkluderer DNSSEC, CAA og nameserver-konfiguration.
- Infrastruktur — understøttende signaler som omvendt DNS og IPv6-understøttelse.
Af de 34 tjek er et delsæt scorende (de påvirker karakteren), og resten er informative (rapporteret som kontekst, men uden straf).
Hvordan et tjek scores: bestå, fejl eller N/A
Hvert tjek ender i ét af tre resultater:
- Bestå — beskyttelsen er til stede og korrekt.
- Fejl — beskyttelsen mangler eller er defekt. En reel fejl er en reel fejl: et domæne uden håndhævet SPF og DMARC scorer dårligt, fordi det faktisk kan forfalskes — ikke på grund af, hvordan vi tæller.
- N/A — tjekket kan reelt set ikke afgøres for dette domæne. N/A-resultater er udelukket fra karakteren; de tæller aldrig imod et domæne.
Det sidste punkt er vigtigt: vi straffer ikke et domæne for noget, vi ikke kunne bedømme fair.
Hvordan bogstavkarakteren beregnes
Karaktererne er A+, A, B, C, D, F. Karakteren afspejler, i hvilken grad et domæne lukker de huller, der betyder mest — vægtet mod de tjek med den største reelle impact (e-mail-spoofing og transportkryptering vejer mere end kosmetiske headere). Et domæne, der får de vigtigste grundlæggende elementer rigtigt og kun efterlader mindre huller, lander højt; et domæne, der fejler det grundlæggende og dermed kan efterlignes, lander på F.
Fordi den samme metode anvendes identisk på hvert domæne, er karaktererne sammenlignelige på tværs af hele populationen — det er det, der gør ligatabellerne (per TLD, land og branche) meningsfulde.
Hvor stor er datasættet?
Vi sporer et lager på 333 millioner domæner og bedømmer den levende population på ca. 260 millioner, der i øjeblikket resolver. Offentliggjorte statistikker beregnes fra denne population ved byggetidspunktet og bærer datasættets pr.-dato, så du altid ved, hvor aktuelle tallene er.
Hvor opdateret er dataene?
Scanningsflåden kører kontinuerligt. Den fulde population opdateres i et regelmæssigt interval, og visse TLD’er genmåles hyppigere, så tallene på dette site er en levende måling snarere end et engangssnapshot. Enhver rapport viser sin pr.-dato, og de vigtigste studier udgives som tilbagevendende udgaver, så tendenser kan følges over tid.
Hvad dataene kan — og ikke kan — fortælle dig
Vi mener, at begrænsningerne er lige så vigtige som fundene:
- Geografi og branche udledes af domænets endelse, ikke selskabsregistrering. Et lands tal bygger på dets nationale domæneendelse (ccTLD); en branches tal bygger på branchespecifikke endelser. En virksomhed, der bruger en generisk endelse som
.com, kan ikke henføres til et land eller en sektor i denne skala. Disse segmenter er “præcise nok” til at sammenligne populationer — med dette forbehold taget. - Vi måler domæner, ikke organisationer. Én virksomhed kan eje mange domæner; vi bedømmer hvert domæne på sin egen konfiguration.
- Eksternt perspektiv alene. Vi vurderer, hvad der er observerbart fra det offentlige internet. Vi ser ikke — og forsøger ikke at se — noget bag et login.
Vores regler: kun aggregeret, ejer-privat, EU-hjemmehørende
Tre forpligtelser styrer alt, vi offentliggør:
- Kun aggregeret. Vi offentliggør populationsmønstre — ligatabeller per TLD, per land, per branche. Vi udgiver aldrig en indekseret side, der navngiver en enkelt virksomhed og dens karakter.
- Ejer-privat. Et enkelt domænes karakter og per-tjek-opdeling vises kun til den verificerede ejer, der tjekker det.
- EU-dataopbevaring. Alle data opbevares og behandles i EU — en compliance-position og en bevidst tillidserklæring.
Ofte stillede spørgsmål
Hvordan beregner Defaults.Exposed et domænes sikkerhedsscore? Ved at køre 34 eksternt observerbare tjek (e-mailautentificering, TLS, web-headere, DNS og infrastruktur), score hvert som bestå / fejl / N/A og vægte dem efter reel-verdens impact for at producere en karakter fra A+ til F.
Scanner eller hacker I de domæner, I bedømmer? Nej. Hvert tjek er observerbart fra det offentlige internet — de samme oplysninger, som en modtagers mailserver eller en besøgendes browser ville se. Der er intet login, ingen indtrængen og ingen adgang til private systemer.
Hvorfor kan et domæne få F? Oftest fordi det ikke har håndhævet SPF og DMARC og derfor kan efterlignes i e-mail — en reel, eksternt verificerbar svaghed.
Kan jeg se karakteren for en bestemt virksomheds domæne? Kun hvis det er dit eget domæne, og du verificerer ejerskabet. Vi udgiver aldrig individuelle virksomheders karakterer.
Hvor ofte opdateres dataene? Kontinuerligt. Den fulde population opdateres i et regelmæssigt interval, og hvert tal er dateret med en “pr.”-dato, så du ved, hvor aktuelt det er.
Tjek dit eget domæne
Den hurtigste måde at forstå metoden på er at køre den. Tjek dit eget domæne privat og gratis, og se alle 34 tjek scoret med klartekstforklaringer og anvisninger til at rette fejlene.
Tjek dit domæne → · Internettets karakterkurve → · Kun aggregerede data. Data opbevares og behandles i EU.