Defaults.Exposed › Rapporter
Så betygsätter vi hela internet: A–F-metodiken för domänsäkerhet (2026)
Publicerad 2026-06-28
Referenssida · metodversion 7 · data per 2026-06-28. Den här sidan förklarar hur varje siffra på webbplatsen tas fram. All publicerad statistik är aggregerad; en enskild domäns betyg visas bara för den verifierade ägaren.
Defaults.Exposed betygsätter domäner från A+ till F baserat på 34 externt observerbara säkerhetskontroller — helt utifrån det öppna internet, utan att någonsin beröra någons system. Den här sidan är den fullständiga, klarspråkiga redogörelsen för hur det går till: vad vi mäter, hur ett betyg beräknas, vad data kan och inte kan säga, och de etiska regler vi håller oss till. Vi väljer att vara öppna med det, eftersom ett säkerhetsbetyg bara är så tillförlitligt som metoden bakom det.
Vad vi mäter
Varje domän bedöms mot 34 kontroller grupperade i fem kategorier. Varje kontroll är något vem som helst kan observera utifrån — vi skannar inga privata system, loggar inte in och gör inga intrångsförsök.
- E-postautentisering — kan den här domänen imiteras i e-post? Inkluderar SPF, DKIM, DMARC (och om DMARC faktiskt är inställt på enforcement) samt e-postkonfigurationen (MX).
- TLS och certifikat — är webbplatsen korrekt krypterad? Inkluderar certifikatets giltighet och värdnamnsöverensstämmelse, moderna TLS-versioner och HSTS.
- Säkerhetsrubriker för webben — skyddar webbplatsen besökarens webbläsare? Inkluderar Content-Security-Policy, klickkapningsskydd (X-Frame-Options), MIME-sniffingsskydd, Referrer-Policy och cross-origin-rubriker.
- DNS — är namnlagret härdat? Inkluderar DNSSEC, CAA och namnservrarnas konfiguration.
- Infrastruktur — stödjande signaler som omvänd DNS och IPv6-stöd.
Av de 34 kontrollerna är ett urval poängsatta (de påverkar betyget) och resten är informativa (redovisas för sammanhang men leder inte till avdrag).
Hur en kontroll bedöms: godkänd, underkänd eller ej tillämplig
Varje kontroll ger ett av tre utfall:
- Godkänd — skyddet finns på plats och är korrekt konfigurerat.
- Underkänd — skyddet saknas eller är trasigt. Ett verkligt misslyckande är ett verkligt misslyckande: en domän utan tvingande SPF och DMARC får lågt betyg för att den faktiskt kan förfalskas, inte på grund av hur vi räknar.
- Ej tillämplig — kontrollen kan genuint inte avgöras för den här domänen. Resultat märkta ej tillämplig utesluts ur betyget; de räknas aldrig mot en domän.
Den sista punkten är viktig: vi straffar inte en domän för något vi inte rimligen kunnat bedöma.
Hur bokstavsbetyget beräknas
Betygen löper A+, A, B, C, D, F. Betyget speglar hur väl en domän täpper till de luckor som verkligen spelar roll — med tyngdpunkt på kontrollerna med störst verklig påverkan (e-postförfalskning och transportkryptering väger tyngre än kosmetiska rubriker). En domän som klarar de viktiga grunderna och bara lämnar smärre luckor hamnar högt; en domän som misslyckas med grunderna som tillåter förfalskning hamnar på F.
Eftersom exakt samma metod tillämpas på varje domän är betygen jämförbara i hela populationen — vilket är det som gör ligatabellerna (per TLD, per land och per bransch) meningsfulla.
Hur stort är datamaterialet?
Vi spårar ett register med 333 miljoner domäner och betygsätter den aktiva populationen på ungefär 260 miljoner som för närvarande svarar. Publicerad statistik beräknas från den populationen vid byggtillfället och bär datasetets per-datum så du alltid vet hur aktuell en siffra är.
Hur aktuell är datan?
Skanningsflottan kör kontinuerligt. Hela populationen uppdateras med regelbunden kadence och vissa TLD:er mäts om oftare, vilket gör att siffrorna på den här webbplatsen är en levande mätning snarare än en engångsbild. Varje rapport visar sitt per-datum och de viktigaste studierna publiceras som återkommande utgåvor så att trender kan följas över tid.
Vad data kan — och inte kan — berätta
Vi anser att begränsningarna är lika viktiga som fynden:
- Geografi och bransch härleds från domänändelsen, inte från bolagsregistrering. Ett lands siffror baseras på dess nationella domänändelse (ccTLD); en branschs siffror baseras på branschspecifika ändelser. Ett företag som använder en generisk ändelse som
.comkan inte hänföras till ett land eller en sektor i den här skalan. Dessa segment är “tillräckligt korrekta” för populationsjämförelser — med det förbehållet angivet. - Vi mäter domäner, inte organisationer. Ett och samma företag kan äga många domäner; vi betygsätter varje domän utifrån dess egen konfiguration.
- Enbart extern vy. Vi bedömer vad som är synligt från det öppna internet. Vi varken ser eller försöker se något bakom en inloggning.
Våra regler: enbart aggregerat, privat för ägaren, EU-lagrat
Tre åtaganden styr allt vi publicerar:
- Enbart aggregerat. Vi publicerar populationsmönster — ligatabeller per TLD, per land och per bransch. Vi publicerar aldrig en indexerad sida som namnger ett enskilt företag och dess betyg.
- Privat för ägaren. En enskild domäns betyg och kontrolluppdelning visas bara för den verifierade ägaren som granskar den.
- EU-dataresidency. All data lagras och behandlas inom EU — ett efterlevnadskrav och ett medvetet förtroendeåtagande.
Vanliga frågor
Hur beräknar Defaults.Exposed en domäns säkerhetspoäng? Genom att köra 34 externt observerbara kontroller (e-postautentisering, TLS, webbsäkerhetsrubriker, DNS och infrastruktur), bedöma var och en som godkänd / underkänd / ej tillämplig, och vikta dem efter verklig påverkan för att producera ett betyg från A+ till F.
Skannar eller hackar ni de domäner ni betygsätter? Nej. Varje kontroll är observerbar från det öppna internet — samma information som en mottagande e-postserver eller en besökares webbläsare skulle se. Det finns ingen inloggning, inget intrång och ingen åtkomst till privata system.
Varför kan en domän få betyget F? Vanligast därför att den saknar tvingande SPF och DMARC och därmed kan imiteras i e-post — en verklig, externt verifierbar svaghet.
Kan jag se betyget för ett specifikt företags domän? Bara om det är din egen domän och du verifierar ägarskapet. Vi publicerar aldrig enskilda företags betyg.
Hur ofta uppdateras datan? Kontinuerligt. Hela populationen uppdateras med regelbunden kadence och varje siffra är datummärkt med ett “per-datum” så du vet hur aktuell den är.
Kontrollera en domän själv
Det snabbaste sättet att förstå metoden är att köra den. Kontrollera din egen domän privat och kostnadsfritt, och se alla 34 kontroller betygsatta med klarspråkiga förklaringar och åtgärdsförslag.
Kontrollera din domän → · Internets betygskurva → · Enbart aggregerad data. Data lagras och behandlas inom EU.