Defaults.Exposed › Отчёты
Как мы оценили весь интернет: методология A–F для безопасности доменов (2026)
Опубликовано 2026-06-28
Справочная страница · методология v7 · данные на 2026-06-28. Здесь описано, как получается каждая цифра на этом сайте. Все публикуемые статистические данные являются агрегированными; оценка конкретного домена доступна только его подтверждённому владельцу.
Defaults.Exposed выставляет доменам оценки от A+ до F на основе 34 внешне наблюдаемых проверок безопасности — исключительно по данным из открытого интернета, без какого-либо вмешательства в чужие системы. На этой странице подробно и доступным языком объясняется, как это работает: что именно проверяется, как рассчитывается оценка, что можно и чего нельзя утверждать на основе этих данных, а также какими этическими принципами мы руководствуемся. Мы намеренно действуем открыто — потому что оценка безопасности не может быть надёжнее стоящей за ней методологии.
Что именно проверяется
Каждый домен оценивается по 34 проверкам, сгруппированным в пять категорий. Каждая из них наблюдаема снаружи — никакого сканирования частных систем, никаких авторизаций, никакого вторжения.
- Аутентификация электронной почты — можно ли подделать письма от этого домена? Включает SPF, DKIM, DMARC (в том числе наличие режима принуждения в DMARC) и настройку почтового сервера (MX).
- TLS и сертификаты — правильно ли зашифрован трафик сайта? Включает актуальность сертификата и соответствие имени хоста, современные версии TLS и HSTS.
- Заголовки веб-безопасности — защищает ли сайт браузер пользователя? Включает Content-Security-Policy, защиту от кликджекинга (X-Frame-Options), защиту от MIME-сниффинга, Referrer-Policy и заголовки CORS.
- DNS — насколько защищён уровень именования? Включает DNSSEC, CAA и конфигурацию серверов имён.
- Инфраструктура — вспомогательные сигналы: обратный DNS и поддержка IPv6.
Из 34 проверок часть является оценочными (влияют на итоговую оценку), остальные — информационными (фиксируются для контекста, но не снижают оценку).
Как засчитывается проверка: сдано, не сдано или N/A
Каждая проверка даёт один из трёх результатов:
- Сдано (Pass) — защита присутствует и настроена корректно.
- Не сдано (Fail) — защита отсутствует или нарушена. Реальный сбой — это реальный сбой: домен без принуждённых SPF и DMARC получает низкий балл, потому что его действительно можно подделать, а не из-за особенностей подсчёта.
- N/A — проверку объективно невозможно провести для данного домена. Результаты N/A исключаются из оценки; они никогда не засчитываются как недостаток.
Последнее особенно важно: мы не штрафуем домен за то, что не можем объективно оценить.
Как рассчитывается буквенная оценка
Оценки присваиваются по шкале A+, A, B, C, D, F. Оценка отражает, насколько полно домен закрывает значимые уязвимости — при этом проверки с наибольшим практическим эффектом (подделка писем и защита транспортного уровня) имеют больший вес, чем косметические заголовки. Домен, справившийся с ключевыми основами и допустивший лишь незначительные пробелы, получает высокую оценку; домен, провалившийся по базовым параметрам, допускающим его подделку, получает F.
Поскольку одна и та же методология применяется одинаково ко всем доменам, оценки сопоставимы во всей совокупности — именно это делает рейтинговые таблицы (по TLD, стране и отрасли) содержательными.
Какой объём данных используется?
Мы отслеживаем инвентарь из 333 миллионов доменов и оцениваем активную часть — около 260 миллионов, которые сейчас резолвятся. Опубликованная статистика вычисляется из этой совокупности на момент сборки и сопровождается датой актуальности данных, чтобы вы всегда знали, насколько свежи цифры.
Насколько актуальны данные?
Сканирующий флот работает непрерывно. Полная совокупность обновляется с регулярной периодичностью, часть TLD переизмеряется чаще — поэтому цифры на сайте являются живым измерением, а не единовременным срезом. Каждый отчёт содержит дату актуальности, а флагманские исследования публикуются как повторяющиеся выпуски, что позволяет отслеживать динамику.
Что данные могут — и чего не могут — рассказать
Мы убеждены, что ограничения так же важны, как и выводы:
- Geography и отрасль определяются по доменному окончанию, а не по юридической регистрации компании. Показатели страны основаны на национальном доменном окончании (ccTLD); показатели отрасли — на отраслевых окончаниях. Компанию, использующую универсальное окончание вроде
.com, при таком масштабе нельзя отнести к конкретной стране или сектору. Эти сегменты «достаточно точны» для сравнения совокупностей — с указанной оговоркой. - Мы оцениваем домены, а не организации. Одна компания может владеть множеством доменов; каждый оценивается по собственной конфигурации.
- Только внешний обзор. Мы оцениваем то, что наблюдаемо из открытого интернета. Мы не видим и не пытаемся увидеть ничего за логином.
Наши правила: только агрегаты, приватность владельца, резидентность в ЕС
Три обязательства лежат в основе всего, что мы публикуем:
- Только агрегированные данные. Мы публикуем паттерны совокупностей — рейтинговые таблицы по TLD, стране, отрасли. Мы никогда не публикуем индексируемую страницу с названием конкретного бизнеса и его оценкой.
- Приватность владельца. Оценка конкретного домена и детальный разбор по проверкам показываются только подтверждённому владельцу, который сам запросил проверку.
- Резидентность данных в ЕС. Все данные хранятся и обрабатываются в пределах ЕС — это и требование соответствия, и осознанное проявление доверия.
Часто задаваемые вопросы
Как Defaults.Exposed рассчитывает оценку безопасности домена? Проводятся 34 внешне наблюдаемые проверки (аутентификация почты, TLS, веб-заголовки, DNS и инфраструктура), каждая оценивается как сдано / не сдано / N/A, затем результаты взвешиваются по практической значимости — и формируется оценка от A+ до F.
Вы сканируете или взламываете оцениваемые домены? Нет. Каждая проверка наблюдаема из открытого интернета — та же информация, которую видит принимающий почтовый сервер или браузер посетителя. Никаких авторизаций, вторжений или доступа к частным системам.
Почему домен может получить F? Чаще всего — потому что у него нет принуждённых SPF и DMARC, а значит, его можно подделать в электронной почте. Это реальная, внешне проверяемая уязвимость.
Могу ли я узнать оценку домена конкретной компании? Только если это ваш собственный домен и вы подтвердили права на него. Оценки отдельных компаний мы никогда не публикуем.
Как часто обновляются данные? Непрерывно. Полная совокупность обновляется с регулярной периодичностью, и каждая цифра датирована, чтобы вы знали её актуальность.
Проверьте домен самостоятельно
Самый быстрый способ понять методологию — запустить её на практике. Проверьте свой домен бесплатно и конфиденциально и получите результаты по всем 34 проверкам с понятными объяснениями и инструкциями по устранению недостатков.
Проверить свой домен → · Кривая оценок интернета → · Только агрегированные данные. Хранение и обработка в ЕС.