Defaults.Exposed › דוחות
כיצד דירגנו את כל האינטרנט: מתודולוגיית אבטחת הדומיינים A–F (2026)
פורסם 2026-06-28
דף עזר · מתודולוגיה v7 · נתונים נכון ל-2026-06-28. דף זה מסביר כיצד מופק כל מספר באתר זה. כל הסטטיסטיקה המתפרסמת היא מצרפית; הציון של דומיין בודד מוצג אך ורק לבעליו המאומת.
Defaults.Exposed מדרגת דומיינים מ-A+ עד F על בסיס 34 בדיקות אבטחה הניתנות לצפייה מבחוץ, המנוקדות כולן מהאינטרנט הציבורי — מבלי לגעת אי-פעם במערכות של אף אחד. דף זה הוא ההסבר המלא והברור על אופן פעולתו של הדבר: מה אנו מודדים, כיצד מחושב ציון, מה הנתונים יכולים ומה אינם יכולים לומר לכם, והכללים האתיים שאנו מחויבים אליהם. הוא שקוף במכוון, מפני שציון אבטחה אמין רק במידה שהשיטה שמאחוריו אמינה.
מה אנו מודדים
כל דומיין מוערך מול 34 בדיקות המקובצות לחמש קטגוריות. כל בדיקה היא דבר שכל אחד יכול לצפות בו מבחוץ — אין סריקה של מערכות פרטיות, אין התחברות, אין חדירה.
- אימות דוא”ל — האם ניתן להתחזות לדומיין זה בדוא”ל? כולל SPF, DKIM, DMARC (והאם DMARC נמצא למעשה במצב אכיפה), ואת הגדרת הדואר (MX).
- TLS ותעודות — האם האתר מוצפן כראוי? כולל תקפות התעודה והתאמת שם המארח, גרסאות TLS מודרניות, ו-HSTS.
- כותרות אבטחת אינטרנט — האם האתר מגן על הדפדפן? כולל Content-Security-Policy, הגנה מפני clickjacking (X-Frame-Options), הגנה מפני MIME-sniffing, Referrer-Policy וכותרות cross-origin.
- DNS — האם שכבת השמות מוקשחת? כולל DNSSEC, CAA, ותצורת שרת השמות.
- תשתית — אותות תומכים כגון DNS הפוך ותמיכה ב-IPv6.
מתוך 34 הבדיקות, חלק מנוקדות (הן משפיעות על הציון) והשאר הן אינפורמטיביות (מדווחות לצורך הקשר אך אינן נענשות).
כיצד בדיקה מנוקדת: עבר, נכשל, או לא רלוונטי
כל בדיקה מסתכמת באחת משלוש תוצאות:
- עבר — ההגנה קיימת ותקינה.
- נכשל — ההגנה חסרה או שבורה. כישלון אמיתי הוא כישלון אמיתי: דומיין ללא SPF ו-DMARC נאכפים מקבל ניקוד נמוך מפני שניתן באמת להתחזות לו, ולא בשל אופן הספירה שלנו.
- לא רלוונטי — הבדיקה באמת אינה ניתנת לקביעה עבור דומיין זה. תוצאות “לא רלוונטי” מוחרגות מהציון; הן לעולם אינן נספרות לרעת דומיין.
נקודה אחרונה זו חשובה: איננו מענישים דומיין על משהו שלא יכולנו להעריך בהוגנות.
כיצד מחושב ציון האות
הציונים נעים מ-A+, A, B, C, D, F. הציון משקף עד כמה דומיין סוגר באופן מלא את הפערים שחשובים — משוקלל לכיוון הבדיקות בעלות ההשפעה הממשית הגדולה ביותר (התחזות בדוא”ל ואבטחת תעבורה נושאות משקל רב יותר מכותרות קוסמטיות). דומיין שמבצע נכון את היסודות בעלי ההשפעה הגבוהה ומותיר רק פערים קלים מגיע גבוה; דומיין שנכשל ביסודות המאפשרים להתחזות לו מגיע ל-F.
מכיוון שאותה שיטה מיושמת באופן זהה על כל דומיין, הציונים ניתנים להשוואה על פני כלל האוכלוסייה — וזה מה שהופך את טבלאות הליגה (לפי TLD, מדינה וענף) למשמעותיות.
כמה גדול מאגר הנתונים?
אנו עוקבים אחר מלאי של 333 מיליון דומיינים ומדרגים את האוכלוסייה החיה של כ-260 מיליון המבצעים כעת רזולוציה (resolve). הסטטיסטיקה המתפרסמת מחושבת מאוכלוסייה זו בזמן הבנייה ונושאת את תאריך התוקף של מאגר הנתונים כך שתמיד תדעו עד כמה מספר עדכני.
עד כמה הנתונים עדכניים?
צי הסריקה פועל ברציפות. כלל האוכלוסייה מתרענן בקצב סדיר, כאשר חלק מה-TLD נמדדים מחדש בתדירות גבוהה יותר, כך שהמספרים באתר זה הם מדידה חיה ולא תצלום חד-פעמי. כל דוח מציג את תאריך התוקף שלו, ומחקרי הדגל מתפרסמים כמהדורות חוזרות כך שניתן לעקוב אחר מגמות לאורך זמן.
מה הנתונים יכולים — ומה אינם יכולים — לומר לכם
אנו מאמינים שהמגבלות חשובות לא פחות מהממצאים:
- גיאוגרפיה וענף נגזרים מסיומת הדומיין, ולא מרישום החברה. המספרים של מדינה מבוססים על סיומת הדומיין הלאומית שלה (ccTLD); המספרים של ענף מבוססים על סיומות ספציפיות לענף. חברה המשתמשת בסיומת גנרית כמו
.comאינה ניתנת לשיוך למדינה או למגזר בקנה מידה זה. מקטעים אלה הם “מדויקים מספיק” כדי להשוות אוכלוסיות, עם הסתייגות זו המצוינת. - אנו מודדים דומיינים, לא ארגונים. חברה אחת עשויה להחזיק בדומיינים רבים; אנו מדרגים כל דומיין לפי התצורה שלו עצמו.
- תצוגה חיצונית בלבד. אנו מעריכים את הניתן לצפייה מהאינטרנט הציבורי. איננו רואים, ואיננו מנסים לראות, דבר שמאחורי התחברות.
הכללים שלנו: מצרפי בלבד, פרטי לבעלים, תושב האיחוד האירופי
שלוש מחויבויות שולטות בכל מה שאנו מפרסמים:
- מצרפי בלבד. אנו מפרסמים דפוסי אוכלוסייה — טבלאות ליגה לפי TLD, לפי מדינה, לפי ענף. אנו לעולם איננו מפרסמים דף מאונדקס המזהה עסק בודד ואת ציונו.
- פרטי לבעלים. הציון של דומיין בודד והפירוט לפי בדיקה מוצגים רק לבעלים המאומת שבודק אותו.
- שמירת נתונים באיחוד האירופי. כל הנתונים מאוחסנים ומעובדים בתוך האיחוד האירופי — הן עמדת ציות והן מחויבות אמון מכוונת.
שאלות נפוצות
כיצד Defaults.Exposed מחשבת את ציון האבטחה של דומיין? על ידי הרצת 34 בדיקות הניתנות לצפייה מבחוץ (אימות דוא”ל, TLS, כותרות אינטרנט, DNS ותשתית), ניקוד כל אחת כעבר / נכשל / לא רלוונטי, ושקלולן לכיוון השפעה ממשית כדי להפיק ציון מ-A+ עד F.
האם אתם סורקים או פורצים את הדומיינים שאתם מדרגים? לא. כל בדיקה ניתנת לצפייה מהאינטרנט הציבורי — אותו מידע ששרת דואר נמען או דפדפן של מבקר היו רואים. אין התחברות, חדירה, או גישה למערכות פרטיות.
מדוע דומיין עשוי לקבל F? לרוב מפני שאין לו SPF ו-DMARC נאכפים ולכן ניתן להתחזות לו בדוא”ל — חולשה אמיתית הניתנת לאימות מבחוץ.
האם אוכל לראות את הציון של דומיין של חברה מסוימת? רק אם זה הדומיין שלכם עצמכם ואתם מאמתים בעלות. איננו מפרסמים לעולם ציונים של עסקים בודדים.
באיזו תדירות הנתונים מתעדכנים? ברציפות. כלל האוכלוסייה מתרענן בקצב סדיר וכל מספר מתוארך ב”תאריך תוקף” כך שתדעו עד כמה הוא עדכני.
בדקו דומיין בעצמכם
הדרך המהירה ביותר להבין את השיטה היא להריץ אותה. בדקו את הדומיין שלכם באופן פרטי וחינמי, וראו את כל 34 הבדיקות מנוקדות עם הסברים ברורים ותיקונים.
בדקו את הדומיין שלכם → · עקומת הציונים של האינטרנט → · נתונים מצרפיים בלבד. הנתונים מאוחסנים ומעובדים באיחוד האירופי.