Defaults.Exposed

Defaults.Exposed › 报告

域名暴露评分:多数域名在 5 项基础防护中只具备 1 项(2026)

发布于 2026-06-29

数据截至 2026-06-29 · 方法论 v7。 涵盖 261 百万个已评级域名的汇总普查数据。暴露评分统计一个域名实施了五项核心防护中的多少项:SPF、强制执行的 DMARC 策略、DNSSEC、HTTPS 和 HSTS(0 = 一项都没有,5 = 全部)。参见我们如何评级

任选五项基本防护,给互联网上的每个域名按五分制打分,典型结果是一分——也许两分。 在 261 百万个域名中,8.8% 五项一项都没有,大多数集中在一项或两项,而只有 0.09% 五项全有。暴露曲线不是一条中部健康的钟形曲线——它在最底部堆积成山。

暴露曲线

一个域名实施的五项核心防护(SPF · 强制执行的 DMARC · DNSSEC · HTTPS · HSTS)的数量。截至 2026-06-29:

已实施的防护域名占比
0 — 完全暴露8.8%23,105,485 个域名
137.2%
239.7%
312.0%
42.1%
5 — 完全锁定0.09%247,054 个域名

两个数字道出了真相:8.8% 得零分——没有邮件认证、没有加密、什么都没有——而只有 0.09% 做到了全部。最常见的结果是一项或两项防护,几乎总是 HTTPS(如今已普及),外加最多一个未强制执行的 SPF。真正能阻止攻击的控制措施——强制执行的 DMARC、DNSSEC、HSTS——几乎所有人都做不到位。

为什么曲线如此之低

每一层的根本原因都相同:这些防护默认是关闭的,必须有意识地手动开启。 HTTPS 之所以攀升,是因为主机商和 CDN 开始自动启用它——所以它是大多数域名拥有的那一项防护。其余四项仍然需要所有者知道它们的存在并采取行动:

这些都不昂贵。从 1 分到 5 分之间的差距只是几处配置更改,全部免费。障碍在于意识,而非成本。

你在曲线的哪个位置?

大多数所有者以为自己是 3 分或 4 分,结果惊讶地发现自己是 1 分——一个任何人都能伪造其邮件的 HTTPS 网站。了解你分数的唯一办法就是去检测。在曲线上向上攀升是大多数小企业能做的杠杆率最高的安全工作,而且免费。

常见问题

良好的域名安全基线是什么? 五项全有:SPF、强制执行的 DMARC、DNSSEC、HTTPS 和 HSTS——只有 0.09% 的域名能达到的“五分满分”。对大多数企业而言,一个现实的近期目标是强制执行的邮件认证(SPF + DMARC)加上有效的 HTTPS。

“完全暴露”是什么意思? 一个五项防护一项都没有的域名——没有邮件认证、没有加密、没有 DNS 或传输加固。8.8% 的域名处于这种状态。

为什么大多数域名只有一项或两项防护? 通常是 HTTPS(如今的常见默认设置),最多再加一个未强制执行的 SPF。那些需要有意识手动操作的防护——强制执行的 DMARC、DNSSEC、HSTS——被绝大多数人跳过了。

如何提高我的分数? 强制执行 DMARC、确保有效的 HTTPS、添加 HSTS,并考虑 DNSSEC。这些都是免费的配置更改。检测你的域名,看看你缺哪些。

查看你的暴露评分

了解你拥有五项中的几项——以及具体如何弥补差距——私密且免费。

检测你的域名 → · 有人能伪造你的域名吗? → · The State of Domain Security 2026 → · 仅汇总数据。数据在欧盟存储和处理。