Defaults.Exposed › Relatórios
Como Avaliámos a Internet Toda: A Metodologia de Segurança de Domínios A–F (2026)
Publicado 2026-06-28
Página de referência · metodologia v7 · dados de 2026-06-28. Esta página explica como são produzidos todos os números publicados neste site. Todas as estatísticas publicadas são agregadas; a nota de um domínio individual é mostrada apenas ao seu proprietário verificado.
A Defaults.Exposed avalia domínios de A+ a F com base em 34 verificações de segurança observáveis externamente, pontuadas inteiramente a partir da internet pública — sem nunca aceder aos sistemas de ninguém. Esta página é o relato completo e em linguagem simples de como isso funciona: o que medimos, como se calcula uma nota, o que os dados podem e não podem revelar, e as regras éticas a que nos comprometemos. É deliberadamente transparente, porque uma nota de segurança só é tão fiável quanto o método que a sustenta.
O que medimos
Cada domínio é avaliado com base em 34 verificações agrupadas em cinco categorias. Cada verificação é algo que qualquer pessoa pode observar a partir do exterior — não há varrimento de sistemas privados, sem início de sessão, sem intrusão.
- Autenticação de e-mail — este domínio pode ser falsificado em e-mail? Inclui SPF, DKIM, DMARC (e se o DMARC está efetivamente em modo de enforcement) e a configuração de correio (MX).
- TLS e certificados — o site está devidamente encriptado? Inclui validade do certificado e correspondência de hostname, versões modernas de TLS e HSTS.
- Cabeçalhos de segurança web — o site protege o browser? Inclui Content-Security-Policy, proteção contra clickjacking (X-Frame-Options), proteção contra MIME-sniffing, Referrer-Policy e cabeçalhos de origem cruzada.
- DNS — a camada de nomenclatura está reforçada? Inclui DNSSEC, CAA e configuração de servidores de nomes.
- Infraestrutura — sinais de suporte como DNS reverso e suporte a IPv6.
Das 34 verificações, um subconjunto é pontuado (afeta a nota) e as restantes são informativas (reportadas para contexto, mas sem penalização).
Como uma verificação é pontuada: aprovado, reprovado ou N/A
Cada verificação resolve-se em um de três resultados:
- Aprovado — a proteção está presente e correta.
- Reprovado — a proteção está ausente ou defeituosa. Uma reprovação real é uma reprovação real: um domínio sem SPF e DMARC em enforcement tem uma nota baixa porque genuinamente pode ser falsificado, não por uma questão de contagem.
- N/A — a verificação genuinamente não pode ser determinada para este domínio. Os resultados N/A são excluídos da nota; nunca contam contra um domínio.
Este último ponto é importante: não penalizamos um domínio por algo que não podemos avaliar com equidade.
Como se calcula a nota final
As notas vão de A+, A, B, C, D, F. A nota reflete com que completude um domínio fecha as lacunas que importam — com maior peso para as verificações com maior impacto real (a falsificação de e-mail e a segurança do transporte têm mais peso do que cabeçalhos secundários). Um domínio que acerta nos fundamentos de alto impacto e deixa apenas lacunas menores fica no topo; um domínio que falha nos básicos que permitem a sua falsificação fica em F.
Como o mesmo método é aplicado de forma idêntica a cada domínio, as notas são comparáveis em toda a população — o que é o que torna as tabelas classificativas (por TLD, país e setor) significativas.
Qual é a dimensão do conjunto de dados?
Acompanhamos um inventário de 333 milhões de domínios e avaliamos a população ativa de cerca de 260 milhões que atualmente resolve. As estatísticas publicadas são calculadas a partir desta população no momento da compilação e têm a data de referência do conjunto de dados, para que saiba sempre qual a atualidade de cada número.
Quão atualizados estão os dados?
A frota de varrimento funciona continuamente. A população completa é atualizada com uma cadência regular, com alguns TLDs reavaliados com maior frequência, pelo que os números neste site são uma medição viva e não um instantâneo pontual. Cada relatório mostra a sua data de referência, e os estudos principais são publicados como edições recorrentes para que as tendências possam ser acompanhadas ao longo do tempo.
O que os dados podem — e não podem — revelar
Acreditamos que os limites são tão importantes quanto as conclusões:
- A geografia e o setor são derivados do sufixo do domínio, não do registo da empresa. Os números de um país baseiam-se no sufixo de domínio nacional (ccTLD); os números de um setor baseiam-se em sufixos específicos de setor. Uma empresa que usa um sufixo genérico como
.comnão pode ser atribuída a um país ou setor nesta escala. Estes segmentos são “suficientemente precisos” para comparar populações, com esta ressalva indicada. - Medimos domínios, não organizações. Uma empresa pode ter muitos domínios; avaliamos cada domínio com base na sua própria configuração.
- Visão apenas externa. Avaliamos o que é observável a partir da internet pública. Não vemos, nem tentamos ver, nada por detrás de um início de sessão.
As nossas regras: apenas agregados, privado para o proprietário, residente na UE
Três compromissos regem tudo o que publicamos:
- Apenas agregados. Publicamos padrões populacionais — tabelas classificativas por TLD, por país, por setor. Nunca publicamos uma página indexada que identifique uma empresa individual e a sua nota.
- Privado para o proprietário. A nota de um domínio individual e a análise verificação a verificação são mostradas apenas ao proprietário verificado que a consulta.
- Residência de dados na UE. Todos os dados são armazenados e processados dentro da UE — uma postura de conformidade e um compromisso deliberado de confiança.
Perguntas frequentes
Como é que a Defaults.Exposed calcula a pontuação de segurança de um domínio? Executando 34 verificações observáveis externamente (autenticação de e-mail, TLS, cabeçalhos web, DNS e infraestrutura), pontuando cada uma como aprovado / reprovado / N/A, e ponderando-as em função do impacto real para produzir uma nota de A+ a F.
Fazem varrimento ou intrusão nos domínios que avaliam? Não. Cada verificação é observável a partir da internet pública — a mesma informação que um servidor de correio destinatário ou o browser de um visitante veria. Não há início de sessão, intrusão, nem acesso a sistemas privados.
Por que razão um domínio pode obter F? Mais frequentemente porque não tem SPF e DMARC em enforcement e pode, portanto, ser falsificado em e-mail — uma vulnerabilidade genuína e verificável externamente.
Posso ver a nota do domínio de uma empresa específica? Apenas se for o seu próprio domínio e verificar a propriedade. Nunca publicamos as notas de empresas individuais.
Com que frequência são atualizados os dados? Continuamente. A população completa é atualizada com uma cadência regular e cada número tem uma data de referência para saber qual a sua atualidade.
Verifique um domínio por conta própria
A forma mais rápida de compreender o método é aplicá-lo. Verifique o seu próprio domínio de forma privada e gratuita, e veja todas as 34 verificações pontuadas com explicações em linguagem simples e sugestões de correção.
Verificar o seu domínio → · A curva de notas da internet → · Apenas dados agregados. Dados armazenados e processados na UE.