Defaults.Exposed › Laporan
Cara Kami Menilai Seluruh Internet: Metodologi Keselamatan Domain A–F (2026)
Diterbitkan 2026-06-28
Halaman rujukan · metodologi v7 · data setakat 2026-06-28. Halaman ini menerangkan bagaimana setiap angka di laman ini dihasilkan. Semua statistik yang diterbitkan adalah agregat; gred sesuatu domain individu hanya ditunjukkan kepada pemilik sahnya yang disahkan.
Defaults.Exposed memberikan gred kepada domain dari A+ hingga F berdasarkan 34 semakan keselamatan yang boleh diperhatikan secara luaran, dimarkahkan sepenuhnya dari internet awam — tanpa pernah menyentuh sistem sesiapa pun. Halaman ini ialah penerangan penuh dan mudah difahami tentang cara ia berfungsi: apa yang kami ukur, bagaimana gred dikira, apa yang data boleh dan tidak boleh beritahu anda, serta peraturan etika yang kami pegang. Ia sengaja dibuat telus, kerana gred keselamatan hanya boleh dipercayai setakat kaedah di sebaliknya.
Apa yang kami ukur
Setiap domain dinilai terhadap 34 semakan yang dikumpulkan dalam lima kategori. Setiap semakan ialah sesuatu yang sesiapa sahaja boleh perhatikan dari luar — tiada pengimbasan sistem persendirian, tiada log masuk, tiada pencerobohan.
- Pengesahan e-mel — bolehkah domain ini disamar dalam e-mel? Termasuk SPF, DKIM, DMARC (dan sama ada DMARC benar-benar berada pada tahap penguatkuasaan), serta persediaan mel (MX).
- TLS & sijil — adakah laman web disulitkan dengan betul? Termasuk kesahihan sijil dan padanan nama hos, versi TLS moden, dan HSTS.
- Pengepala keselamatan web — adakah laman web mempertahankan pelayar? Termasuk Content-Security-Policy, anti-clickjacking (X-Frame-Options), perlindungan MIME-sniffing, Referrer-Policy dan pengepala cross-origin.
- DNS — adakah lapisan penamaan diperkukuh? Termasuk DNSSEC, CAA, dan konfigurasi pelayan nama.
- Infrastruktur — isyarat sokongan seperti DNS songsang dan sokongan IPv6.
Daripada 34 semakan itu, sebahagiannya dimarkahkan (mempengaruhi gred) dan selebihnya bersifat maklumat (dilaporkan untuk konteks tetapi tidak dikenakan penalti).
Bagaimana sesuatu semakan dimarkahkan: lulus, gagal, atau T/B
Setiap semakan menghasilkan salah satu daripada tiga keputusan:
- Lulus — perlindungan wujud dan betul.
- Gagal — perlindungan tiada atau rosak. Kegagalan sebenar ialah kegagalan sebenar: domain tanpa SPF dan DMARC yang dikuatkuasakan mendapat markah rendah kerana ia benar-benar boleh dipalsukan, bukan kerana cara kami mengira.
- T/B — semakan itu benar-benar tidak dapat ditentukan untuk domain ini. Keputusan T/B dikecualikan daripada gred; ia tidak pernah dikira merugikan sesuatu domain.
Perkara terakhir ini penting: kami tidak menghukum sesuatu domain atas sesuatu yang tidak dapat kami nilai secara adil.
Bagaimana gred huruf dikira
Gred berjulat A+, A, B, C, D, F. Gred mencerminkan sejauh mana lengkap sesuatu domain menutup jurang yang penting — diberi pemberat ke arah semakan yang mempunyai impak dunia sebenar terbesar (pemalsuan e-mel dan keselamatan pengangkutan membawa pemberat lebih tinggi daripada pengepala kosmetik). Domain yang melakukan asas berimpak tinggi dengan betul dan hanya meninggalkan jurang kecil akan berada di kedudukan tinggi; domain yang gagal pada asas yang membolehkannya disamar akan berada di F.
Kerana kaedah yang sama digunakan secara identik kepada setiap domain, gred adalah boleh dibandingkan merentas keseluruhan populasi — itulah yang menjadikan jadual liga (mengikut TLD, negara, dan industri) bermakna.
Berapa besar set data ini?
Kami menjejaki inventori 333 juta domain dan memberikan gred kepada populasi hidup sekitar 260 juta yang kini menyelesai (resolve). Statistik yang diterbitkan dikira daripada populasi ini pada masa pembinaan dan membawa tarikh setakat set data supaya anda sentiasa tahu sejauh mana terkini sesuatu angka.
Sejauh mana terkini data ini?
Armada pengimbasan beroperasi berterusan. Keseluruhan populasi disegar semula pada kadens yang tetap, dengan sesetengah TLD diukur semula dengan lebih kerap, jadi angka di laman ini ialah pengukuran hidup dan bukan tangkapan sekali sahaja. Setiap laporan menunjukkan tarikh setakatnya, dan kajian utama diterbitkan sebagai edisi berulang supaya trend boleh dijejaki dari semasa ke semasa.
Apa yang data boleh — dan tidak boleh — beritahu anda
Kami percaya bahawa batasan adalah sama penting seperti penemuan:
- Geografi dan industri diterbitkan daripada pengakhiran domain, bukan daripada pendaftaran syarikat. Angka sesebuah negara berdasarkan pengakhiran domain kebangsaannya (ccTLD); angka sesebuah industri berdasarkan pengakhiran khusus industri. Sesebuah firma yang menggunakan pengakhiran generik seperti
.comtidak boleh dikaitkan dengan sesebuah negara atau sektor pada skala ini. Segmen ini “cukup tepat” untuk membandingkan populasi, dengan peringatan ini dinyatakan. - Kami mengukur domain, bukan organisasi. Satu syarikat mungkin memiliki banyak domain; kami memberi gred setiap domain berdasarkan konfigurasinya sendiri.
- Pandangan luaran sahaja. Kami menilai apa yang boleh diperhatikan dari internet awam. Kami tidak melihat, atau cuba melihat, apa-apa di sebalik log masuk.
Peraturan kami: agregat sahaja, persendirian pemilik, pemastautin EU
Tiga komitmen mengawal segala yang kami terbitkan:
- Agregat sahaja. Kami menerbitkan corak populasi — jadual liga setiap TLD, setiap negara, setiap industri. Kami tidak pernah menerbitkan halaman terindeks yang menamakan sesebuah perniagaan individu dan grednya.
- Persendirian pemilik. Gred sesuatu domain individu dan pecahan setiap semakan ditunjukkan hanya kepada pemilik yang disahkan yang menyemaknya.
- Pemastautinan data EU. Semua data disimpan dan diproses dalam EU — satu pendirian pematuhan dan satu komitmen kepercayaan yang disengajakan.
Soalan lazim
Bagaimana Defaults.Exposed mengira skor keselamatan sesuatu domain? Dengan menjalankan 34 semakan yang boleh diperhatikan secara luaran (pengesahan e-mel, TLS, pengepala web, DNS dan infrastruktur), memarkahkan setiap satu sebagai lulus / gagal / T/B, dan memberi pemberat ke arah impak dunia sebenar untuk menghasilkan gred dari A+ hingga F.
Adakah anda mengimbas atau menggodam domain yang anda beri gred? Tidak. Setiap semakan boleh diperhatikan dari internet awam — maklumat yang sama yang akan dilihat oleh pelayan mel penerima atau pelayar pelawat. Tiada log masuk, pencerobohan, atau akses kepada sistem persendirian.
Mengapa sesuatu domain mungkin mendapat F? Paling lazim kerana ia tiada SPF dan DMARC yang dikuatkuasakan dan oleh itu boleh disamar dalam e-mel — kelemahan tulen yang boleh disahkan secara luaran.
Bolehkah saya melihat gred domain syarikat tertentu? Hanya jika ia domain anda sendiri dan anda mengesahkan pemilikan. Kami tidak pernah menerbitkan gred perniagaan individu.
Berapa kerap data dikemas kini? Berterusan. Keseluruhan populasi disegar semula pada kadens yang tetap dan setiap angka ditarikhkan dengan “setakat” supaya anda tahu sejauh mana terkininya.
Semak sesuatu domain sendiri
Cara terpantas untuk memahami kaedah ini ialah menjalankannya. Semak domain anda sendiri secara persendirian dan percuma, serta lihat kesemua 34 semakan dimarkahkan dengan penerangan mudah difahami dan pembetulan.
Semak domain anda → · Lengkung gred internet → · Data agregat sahaja. Data disimpan dan diproses di EU.