Defaults.Exposed › Raporty
Jak oceniliśmy cały internet: metodologia bezpieczeństwa domen A–F (2026)
Opublikowano 2026-06-28
Strona referencyjna · metodologia v7 · dane na dzień 2026-06-28. Ta strona wyjaśnia, jak powstaje każda liczba opublikowana w serwisie. Wszystkie statystyki mają charakter zbiorczy; ocena indywidualnej domeny jest widoczna wyłącznie dla jej zweryfikowanego właściciela.
Defaults.Exposed ocenia domeny w skali od A+ do F na podstawie 34 zewnętrznie obserwowalnych kontroli bezpieczeństwa — wyłącznie z poziomu publicznego internetu, bez ingerowania w czyjekolwiek systemy. Na tej stronie znajdziesz pełne, zrozumiałe wyjaśnienie całego procesu: co mierzymy, jak obliczamy ocenę, co dane mówią (i czego nie mówią) oraz jakich zasad etycznych przestrzegamy. Przejrzystość jest tu celowa — ocena bezpieczeństwa jest wiarygodna tylko wtedy, gdy wiarygodna jest stojąca za nią metoda.
Co mierzymy
Każda domena jest oceniana według 34 kontroli podzielonych na pięć kategorii. Każda z nich jest obserwowalna z zewnątrz — bez skanowania prywatnych systemów, bez logowania, bez jakiejkolwiek ingerencji.
- Uwierzytelnianie poczty e-mail — czy domenę można podszyć w wiadomościach e-mail? Obejmuje SPF, DKIM, DMARC (i to, czy DMARC faktycznie działa w trybie egzekwowania) oraz konfigurację serwera pocztowego (MX).
- TLS i certyfikaty — czy witryna jest prawidłowo szyfrowana? Obejmuje ważność certyfikatu i dopasowanie nazwy hosta, nowoczesne wersje TLS oraz HSTS.
- Nagłówki bezpieczeństwa WWW — czy witryna chroni przeglądarkę? Obejmuje Content-Security-Policy, ochronę przed clickjackingiem (X-Frame-Options), ochronę przed sniffingiem MIME, Referrer-Policy oraz nagłówki cross-origin.
- DNS — czy warstwa nazewnictwa jest odpowiednio zabezpieczona? Obejmuje DNSSEC, CAA oraz konfigurację serwerów nazw.
- Infrastruktura — sygnały pomocnicze, takie jak odwrotny DNS i obsługa IPv6.
Spośród 34 kontroli część jest punktowana (wpływa na ocenę końcową), a pozostałe są informacyjne (raportowane dla kontekstu, bez wpływu na ocenę).
Jak oceniamy wynik kontroli: zaliczony, niezaliczony lub N/D
Każda kontrola daje jeden z trzech rezultatów:
- Zaliczony — zabezpieczenie jest wdrożone i poprawnie skonfigurowane.
- Niezaliczony — zabezpieczenie jest nieobecne lub nieprawidłowe. Prawdziwe niepowodzenie to prawdziwe niepowodzenie: domena bez egzekwowanego SPF i DMARC otrzymuje niską ocenę, ponieważ naprawdę można ją podszyć — nie ze względu na sposób liczenia.
- N/D — kontrola nie może być rzetelnie przeprowadzona dla tej domeny. Wyniki N/D są wykluczone z oceny; nigdy nie działają na niekorzyść domeny.
Ten ostatni punkt jest istotny: nie karzemy domeny za coś, czego nie mogliśmy rzetelnie ocenić.
Jak obliczamy ocenę literową
Oceny obejmują skalę A+, A, B, C, D, F. Ocena odzwierciedla stopień, w jakim domena eliminuje kluczowe luki bezpieczeństwa — przy czym większą wagę mają kontrole o największym realnym wpływie (podszywanie w poczcie e-mail i bezpieczeństwo transportu ważą więcej niż kosmetyczne nagłówki). Domena, która dobrze radzi sobie z najważniejszymi podstawami i ma jedynie drobne uchybienia, otrzymuje wysoką ocenę; domena, która nie spełnia fundamentalnych wymogów pozwalających na jej podszywanie, ląduje na F.
Ponieważ identyczna metoda jest stosowana do każdej domeny, oceny są porównywalne w całej populacji — co nadaje sens rankingom według TLD, kraju i branży.
Jak duży jest zbiór danych?
Śledzimy 333 miliona domen i oceniamy aktywną populację liczącą około 260 miliona domen, które aktualnie odpowiadają na zapytania. Opublikowane statystyki są obliczane z tej populacji w momencie generowania strony i opatrzone datą zbioru danych, dzięki czemu zawsze wiesz, jak aktualne są dane.
Jak aktualne są dane?
Flota skanująca działa nieprzerwanie. Cała populacja jest odświeżana w regularnych odstępach czasu, a niektóre TLD są mierzone częściej — dane na tej stronie odzwierciedlają żywy pomiar, nie jednorazowy zrzut. Każdy raport zawiera datę pomiaru, a kluczowe opracowania są publikowane jako cykliczne edycje, umożliwiając śledzenie trendów w czasie.
Co dane mówią — a czego nie mówią
Uważamy, że granice metody są równie ważne jak wyniki:
- Geografia i branża są określane na podstawie końcówki domeny, a nie rejestracji firmy. Dane dla danego kraju opierają się na jego krajowej końcówce domeny (ccTLD); dane dla branży — na branżowych końcówkach. Firma korzystająca z ogólnej końcówki, takiej jak
.com, nie może być przypisana do kraju ani sektora w tej skali. Segmenty te są „wystarczająco dokładne” do porównywania populacji — z tym zastrzeżeniem wyraźnie podanym. - Mierzymy domeny, nie organizacje. Jedna firma może posiadać wiele domen; każdą oceniamy na podstawie jej własnej konfiguracji.
- Tylko widok zewnętrzny. Oceniamy to, co jest obserwowalne z publicznego internetu. Nie widzimy i nie próbujemy zobaczyć czegokolwiek za loginem.
Nasze zasady: tylko dane zbiorcze, prywatność właściciela, dane w UE
Trzy zobowiązania regulują wszystko, co publikujemy:
- Wyłącznie dane zbiorcze. Publikujemy wzorce populacyjne — rankingi według TLD, kraju, branży. Nigdy nie publikujemy strony indeksowanej z nazwą konkretnej firmy i jej oceną.
- Prywatność właściciela. Ocena indywidualnej domeny i szczegółowy wynik kontroli są widoczne wyłącznie dla zweryfikowanego właściciela, który ją sprawdza.
- Dane rezydują w UE. Wszystkie dane są przechowywane i przetwarzane na terenie Unii Europejskiej — to zarówno wymóg zgodności, jak i świadome zobowiązanie do budowania zaufania.
Często zadawane pytania
Jak Defaults.Exposed oblicza ocenę bezpieczeństwa domeny? Przeprowadzając 34 zewnętrznie obserwowalne kontrole (uwierzytelnianie poczty, TLS, nagłówki WWW, DNS i infrastruktura), oceniając każdą jako zaliczona / niezaliczona / N/D, a następnie ważąc wyniki według realnego wpływu — co daje ocenę od A+ do F.
Czy skanujecie lub hakujecie oceniane domeny? Nie. Każda kontrola jest obserwowalna z publicznego internetu — to te same informacje, które widzi serwer pocztowy odbiorcy lub przeglądarka odwiedzającego. Nie ma logowania, ingerencji ani dostępu do prywatnych systemów.
Dlaczego domena może otrzymać ocenę F? Najczęściej dlatego, że nie ma wdrożonego egzekwowanego SPF i DMARC, a co za tym idzie — można ją podszyć w wiadomościach e-mail. To realna, zewnętrznie weryfikowalna słabość.
Czy mogę zobaczyć ocenę domeny konkretnej firmy? Tylko jeśli to Twoja własna domena i potwierdzisz jej własność. Nigdy nie publikujemy ocen indywidualnych firm.
Jak często są aktualizowane dane? Nieprzerwanie. Cała populacja jest odświeżana w regularnych odstępach czasu, a każda liczba jest opatrzona datą pomiaru, dzięki czemu wiesz, jak aktualne są dane.
Sprawdź swoją domenę samodzielnie
Najszybszym sposobem na zrozumienie metodologii jest jej wypróbowanie. Sprawdź własną domenę prywatnie i bezpłatnie, wyświetlając wyniki wszystkich 34 kontroli wraz z prostymi wyjaśnieniami i wskazówkami naprawczymi.
Sprawdź swoją domenę → · Krzywa bezpieczeństwa internetu → · Wyłącznie dane zbiorcze. Dane przechowywane i przetwarzane w UE.