Defaults.Exposed › Report
Come abbiamo valutato l'intera Internet: la metodologia di sicurezza A–F per i domini (2026)
Pubblicato 2026-06-28
Pagina di riferimento · metodologia v7 · dati aggiornati al 2026-06-28. Questa pagina spiega come viene prodotta ogni cifra presente sul sito. Tutte le statistiche pubblicate sono aggregate; il voto di un singolo dominio è visibile soltanto al proprietario verificato.
Defaults.Exposed assegna ai domini un voto da A+ a F in base a 34 controlli di sicurezza osservabili dall’esterno, calcolati interamente dalla rete pubblica — senza mai toccare i sistemi di nessuno. Questa pagina è il resoconto completo e in linguaggio chiaro di come funziona tutto ciò: cosa misuriamo, come si calcola il voto, cosa i dati possono e non possono dire, e le regole etiche a cui ci atteniamo. La trasparenza è una scelta deliberata, perché un voto di sicurezza vale quanto il metodo che lo produce.
Cosa misuriamo
Ogni dominio viene valutato rispetto a 34 controlli raggruppati in cinque categorie. Ciascun controllo è qualcosa che chiunque potrebbe osservare dall’esterno — nessuna scansione di sistemi privati, nessun accesso, nessuna intrusione.
- Autenticazione e-mail — questo dominio può essere impersonato nelle e-mail? Include SPF, DKIM, DMARC (e se il DMARC è effettivamente in modalità enforcement) e la configurazione del server di posta (MX).
- TLS e certificati — il sito è cifrato correttamente? Include la validità del certificato e la corrispondenza con il nome host, le versioni TLS moderne e HSTS.
- Header di sicurezza web — il sito protegge il browser? Include Content-Security-Policy, anti-clickjacking (X-Frame-Options), protezione dal MIME-sniffing, Referrer-Policy e header cross-origin.
- DNS — il livello di naming è rafforzato? Include DNSSEC, CAA e la configurazione dei nameserver.
- Infrastruttura — segnali di supporto come il DNS inverso e il supporto IPv6.
Dei 34 controlli, un sottoinsieme è valutato (incide sul voto) e il resto è informativo (riportato come contesto, senza penalità).
Come viene valutato un controllo: superato, fallito o N/A
Ogni controllo produce uno di tre risultati:
- Superato — la protezione è presente e corretta.
- Fallito — la protezione è assente o non funzionante. Un vero fallimento è un vero fallimento: un dominio senza SPF e DMARC applicati ottiene un punteggio basso perché può davvero essere contraffatto, non per come abbiamo conteggiato.
- N/A — il controllo non può essere determinato in modo affidabile per questo dominio. I risultati N/A sono esclusi dal voto; non penalizzano mai un dominio.
Quest’ultimo punto è importante: non puniamo un dominio per qualcosa che non potevamo valutare equamente.
Come si calcola il voto in lettere
I voti vanno da A+, A, B, C, D, F. Il voto riflette quanto completamente un dominio colma le lacune che contano — con un peso maggiore per i controlli con il maggiore impatto reale (l’autenticazione e-mail e la sicurezza del trasporto pesano più degli header secondari). Un dominio che centra i fondamentali ad alto impatto e lascia solo lacune minori ottiene un voto alto; un dominio che fallisce le basi che consentono di impersonarlo ottiene una F.
Poiché lo stesso metodo viene applicato in modo identico a ogni dominio, i voti sono comparabili su tutta la popolazione — ed è questo a rendere significative le classifiche (per TLD, paese e settore).
Quanto è grande il dataset?
Tracciamo un inventario di 333 milioni di domini e valutiamo la popolazione attiva di circa 260 milioni che si risolvono attualmente. Le statistiche pubblicate vengono calcolate a partire da questa popolazione al momento della compilazione del sito e riportano la data di riferimento del dataset, in modo che si sappia sempre quanto sono aggiornate le cifre.
Quanto sono aggiornati i dati?
La flotta di scansione funziona continuamente. L’intera popolazione viene aggiornata a cadenza regolare, con alcuni TLD ri-misurati più frequentemente, così le cifre sul sito sono una misurazione dinamica e non un’istantanea una tantum. Ogni report mostra la propria data di riferimento, e gli studi principali vengono pubblicati come edizioni ricorrenti per poter tracciare i trend nel tempo.
Cosa i dati possono — e non possono — dire
Riteniamo che i limiti siano importanti quanto le scoperte:
- La geografia e il settore sono derivati dall’estensione del dominio, non dalla registrazione aziendale. Le cifre di un paese si basano sulla sua estensione nazionale (ccTLD); le cifre di un settore si basano sulle estensioni specifiche del settore. Un’azienda che usa un’estensione generica come
.comnon può essere attribuita a un paese o a un settore a questa scala. Questi segmenti sono “sufficientemente accurati” per confrontare le popolazioni, con questa avvertenza esplicitata. - Misuriamo domini, non organizzazioni. Un’azienda può possedere molti domini; valutiamo ciascun dominio per la sua configurazione specifica.
- Solo vista esterna. Valutiamo ciò che è osservabile dalla rete pubblica. Non vediamo, né cerchiamo di vedere, nulla dietro un accesso autenticato.
Le nostre regole: solo aggregati, privato per il proprietario, residenza dati in UE
Tre impegni regolano tutto ciò che pubblichiamo:
- Solo dati aggregati. Pubblichiamo schemi di popolazione — classifiche per TLD, per paese, per settore. Non pubblichiamo mai una pagina indicizzata che nomini una singola azienda con il suo voto.
- Privato per il proprietario. Il voto di un singolo dominio e il dettaglio per controllo sono visibili solo al proprietario verificato che lo richiede.
- Residenza dati in UE. Tutti i dati sono archiviati ed elaborati all’interno dell’UE — una scelta di conformità e un impegno deliberato di fiducia.
Domande frequenti
Come calcola Defaults.Exposed il punteggio di sicurezza di un dominio? Eseguendo 34 controlli osservabili dall’esterno (autenticazione e-mail, TLS, header web, DNS e infrastruttura), classificando ciascuno come superato / fallito / N/A e ponderandoli verso l’impatto nel mondo reale per produrre un voto da A+ a F.
Scansionate o violate i domini che valutate? No. Ogni controllo è osservabile dalla rete pubblica — le stesse informazioni che vedrebbe il server di posta del destinatario o il browser del visitatore. Non c’è alcun accesso, intrusione o accesso a sistemi privati.
Perché un dominio potrebbe ottenere una F? Nella maggior parte dei casi perché non ha SPF e DMARC applicati e può quindi essere impersonato nelle e-mail — una vulnerabilità genuina e verificabile dall’esterno.
Posso vedere il voto del dominio di un’azienda specifica? Solo se si tratta del proprio dominio e se ne verifica la proprietà. Non pubblichiamo mai i voti di singole aziende.
Con quale frequenza vengono aggiornati i dati? Continuamente. L’intera popolazione viene aggiornata a cadenza regolare e ogni cifra è datata con un “aggiornato al” in modo da saperne sempre l’attualità.
Verifica subito il tuo dominio
Il modo più rapido per capire il metodo è applicarlo. Controlla il tuo dominio in modo privato e gratuito e guarda tutti e 34 i controlli valutati con spiegazioni chiare e indicazioni su come rimediare.
Verifica il tuo dominio → · La curva dei voti di Internet → · Solo dati aggregati. Dati archiviati ed elaborati in UE.