Defaults.Exposed › گزارشها
چگونه کل اینترنت را درجهبندی کردیم: روششناسی امنیت دامنهٔ A تا F (۲۰۲۶)
منتشرشده 2026-06-28
صفحه مرجع · روششناسی نسخه ۷ · دادهها تا تاریخ 2026-06-28. این صفحه توضیح میدهد که هر عدد در این سایت چگونه تولید میشود. تمام آمار منتشرشده تجمیعی است؛ نمرهٔ یک دامنهٔ منفرد فقط به مالک تأییدشدهٔ آن نشان داده میشود.
Defaults.Exposed به دامنهها بر اساس ۳۴ بررسی امنیتی قابل مشاهده از بیرون، که کاملاً از طریق اینترنت عمومی امتیازدهی میشوند — بدون آنکه هرگز به سیستمهای کسی دست بزند — نمرهای از A+ تا F میدهد. این صفحه شرح کامل و سادهای از نحوهٔ کار آن است: آنچه اندازه میگیریم، نحوهٔ محاسبهٔ نمره، اینکه دادهها چه چیزی را میتوانند و چه چیزی را نمیتوانند به شما بگویند، و قواعد اخلاقیای که خود را به آنها پایبند میدانیم. این صفحه عمداً شفاف است، زیرا یک نمرهٔ امنیتی فقط به اندازهٔ روشی که پشت آن است قابل اعتماد است.
آنچه اندازه میگیریم
هر دامنه در برابر ۳۴ بررسی که در پنج دسته گروهبندی شدهاند ارزیابی میشود. هر بررسی چیزی است که هر کسی میتواند از بیرون مشاهده کند — هیچ اسکنی از سیستمهای خصوصی، هیچ ورودی، و هیچ نفوذی وجود ندارد.
- احراز هویت ایمیل — آیا میتوان از این دامنه در ایمیل جعل هویت کرد؟ شامل SPF، DKIM، DMARC (و اینکه آیا DMARC واقعاً در حالت اعمال است) و پیکربندی ایمیل (MX).
- TLS و گواهیها — آیا سایت بهدرستی رمزگذاری شده است؟ شامل اعتبار گواهی و تطابق نام میزبان، نسخههای مدرن TLS و HSTS.
- سرآیندهای امنیتی وب — آیا سایت از مرورگر دفاع میکند؟ شامل Content-Security-Policy، محافظت در برابر clickjacking (X-Frame-Options)، محافظت در برابر MIME-sniffing، Referrer-Policy و سرآیندهای cross-origin.
- DNS — آیا لایهٔ نامگذاری مقاومسازی شده است؟ شامل DNSSEC، CAA و پیکربندی سرور نام.
- زیرساخت — سیگنالهای پشتیبان مانند DNS معکوس و پشتیبانی از IPv6.
از این ۳۴ بررسی، زیرمجموعهای امتیازدهی میشوند (بر نمره اثر میگذارند) و بقیه اطلاعاتی هستند (برای زمینه گزارش میشوند اما جریمهای ندارند).
یک بررسی چگونه امتیازدهی میشود: قبول، رد، یا نامشخص
هر بررسی به یکی از سه نتیجه میرسد:
- قبول — محافظت وجود دارد و صحیح است.
- رد — محافظت وجود ندارد یا خراب است. یک شکست واقعی یک شکست واقعی است: دامنهای که SPF و DMARC اعمالشده ندارد نمرهٔ ضعیفی میگیرد چون واقعاً میتوان آن را جعل کرد، نه بهخاطر نحوهٔ شمارش ما.
- نامشخص — این بررسی واقعاً برای این دامنه قابل تعیین نیست. نتایج نامشخص از نمره حذف میشوند؛ آنها هرگز به ضرر یک دامنه محسوب نمیشوند.
این نکتهٔ آخر اهمیت دارد: ما یک دامنه را برای چیزی که نمیتوانستیم منصفانه ارزیابی کنیم جریمه نمیکنیم.
نحوهٔ محاسبهٔ نمرهٔ حرفی
نمرهها از A+, A, B, C, D, F هستند. نمره نشان میدهد که یک دامنه چقدر کامل شکافهایی را که اهمیت دارند میبندد — با وزندهی به سمت بررسیهایی که بیشترین تأثیر دنیای واقعی را دارند (جعل ایمیل و امنیت انتقال وزن بیشتری از سرآیندهای ظاهری دارند). دامنهای که اصول پراثر را درست انجام میدهد و فقط شکافهای جزئی باقی میگذارد بالا قرار میگیرد؛ دامنهای که در اصولی که اجازهٔ جعل هویت آن را میدهند شکست میخورد، در F قرار میگیرد.
از آنجا که همان روش بهطور یکسان بر هر دامنه اعمال میشود، نمرهها در سراسر کل جمعیت قابل مقایسه هستند — و همین چیزی است که جدولهای رتبهبندی (بر اساس TLD، کشور و صنعت) را معنادار میکند.
مجموعهٔ داده چقدر بزرگ است؟
ما فهرستی از 333 میلیون دامنه را ردیابی میکنیم و به جمعیت فعال حدود 260 میلیون دامنه که در حال حاضر تفکیک (resolve) میشوند نمره میدهیم. آمار منتشرشده از این جمعیت در زمان ساخت محاسبه میشود و تاریخ بهروزرسانی مجموعهٔ داده را حمل میکند تا همیشه بدانید یک عدد چقدر بهروز است.
دادهها چقدر بهروز هستند؟
ناوگان اسکن بهطور پیوسته کار میکند. کل جمعیت با آهنگی منظم تازه میشود، با اندازهگیری مجدد برخی TLDها بهدفعات بیشتر، بنابراین اعداد این سایت یک اندازهگیری زنده هستند نه یک عکس آنی یکباره. هر گزارش تاریخ بهروزرسانی خود را نشان میدهد و مطالعات پرچمدار بهصورت نسخههای دورهای منتشر میشوند تا روندها در طول زمان قابل ردیابی باشند.
دادهها چه چیزی را میتوانند — و نمیتوانند — به شما بگویند
ما معتقدیم محدودیتها به اندازهٔ یافتهها اهمیت دارند:
- جغرافیا و صنعت از پسوند دامنه استنتاج میشوند، نه از ثبت شرکت. اعداد یک کشور بر اساس پسوند دامنهٔ ملی آن (ccTLD) است؛ اعداد یک صنعت بر اساس پسوندهای مخصوص آن صنعت است. شرکتی که از پسوند عمومی مانند
.comاستفاده میکند را نمیتوان در این مقیاس به یک کشور یا بخش نسبت داد. این بخشها برای مقایسهٔ جمعیتها “بهاندازهٔ کافی دقیق” هستند، با ذکر این هشدار. - ما دامنهها را اندازه میگیریم، نه سازمانها. یک شرکت ممکن است مالک دامنههای بسیاری باشد؛ ما به هر دامنه بر اساس پیکربندی خودش نمره میدهیم.
- فقط نمای بیرونی. ما آنچه را که از اینترنت عمومی قابل مشاهده است ارزیابی میکنیم. ما چیزی را پشت یک ورود (login) نمیبینیم و تلاش نمیکنیم ببینیم.
قواعد ما: فقط تجمیعی، خصوصی برای مالک، مستقر در اتحادیهٔ اروپا
سه تعهد بر هر آنچه منتشر میکنیم حاکم است:
- فقط تجمیعی. ما الگوهای جمعیت را منتشر میکنیم — جدولهای رتبهبندی به ازای هر TLD، هر کشور، هر صنعت. ما هرگز صفحهای فهرستشده که نام یک کسبوکار منفرد و نمرهٔ آن را ذکر کند منتشر نمیکنیم.
- خصوصی برای مالک. نمرهٔ یک دامنهٔ منفرد و تفکیک هر بررسی فقط به مالک تأییدشدهای که آن را بررسی میکند نشان داده میشود.
- اقامت داده در اتحادیهٔ اروپا. تمام دادهها درون اتحادیهٔ اروپا ذخیره و پردازش میشوند — هم یک وضعیت انطباق و هم یک تعهد آگاهانهٔ اعتماد.
پرسشهای متداول
Defaults.Exposed چگونه امتیاز امنیتی یک دامنه را محاسبه میکند؟ با اجرای ۳۴ بررسی قابل مشاهده از بیرون (احراز هویت ایمیل، TLS، سرآیندهای وب، DNS و زیرساخت)، امتیازدهی هر یک بهصورت قبول / رد / نامشخص، و وزندهی آنها به سمت تأثیر دنیای واقعی برای تولید نمرهای از A+ تا F.
آیا دامنههایی را که نمره میدهید اسکن یا هک میکنید؟ خیر. هر بررسی از اینترنت عمومی قابل مشاهده است — همان اطلاعاتی که یک سرور ایمیل گیرنده یا مرورگر یک بازدیدکننده میبیند. هیچ ورود، نفوذ یا دسترسی به سیستمهای خصوصی وجود ندارد.
چرا ممکن است یک دامنه F بگیرد؟ معمولاً به این دلیل که SPF و DMARC اعمالشده ندارد و بنابراین میتوان در ایمیل از آن جعل هویت کرد — یک ضعف واقعی و قابل تأیید از بیرون.
آیا میتوانم نمرهٔ دامنهٔ یک شرکت خاص را ببینم؟ فقط اگر دامنهٔ خودتان باشد و مالکیت را تأیید کنید. ما هرگز نمرهٔ کسبوکارهای منفرد را منتشر نمیکنیم.
دادهها هر چند وقت یکبار بهروز میشوند؟ بهطور پیوسته. کل جمعیت با آهنگی منظم تازه میشود و هر عدد با یک “تاریخ بهروزرسانی” تاریخگذاری میشود تا بدانید چقدر بهروز است.
یک دامنه را خودتان بررسی کنید
سریعترین راه برای درک روش، اجرای آن است. دامنهٔ خود را بهصورت خصوصی و رایگان بررسی کنید و هر ۳۴ بررسی را با توضیحات ساده و راهحلها ببینید.
دامنهٔ خود را بررسی کنید → · منحنی نمرهٔ امنیتی اینترنت → · فقط دادههای تجمیعی. دادهها در اتحادیهٔ اروپا ذخیره و پردازش میشوند.