Defaults.Exposed › 报告
域名暴露评分:多数域名在 5 项基础防护中只具备 1 项(2026)
发布于 2026-06-29
数据截至 2026-06-29 · 方法论 v7。 涵盖 261 百万个已评级域名的汇总普查数据。暴露评分统计一个域名实施了五项核心防护中的多少项:SPF、强制执行的 DMARC 策略、DNSSEC、HTTPS 和 HSTS(0 = 一项都没有,5 = 全部)。参见我们如何评级。
任选五项基本防护,给互联网上的每个域名按五分制打分,典型结果是一分——也许两分。 在 261 百万个域名中,8.8% 五项一项都没有,大多数集中在一项或两项,而只有 0.09% 五项全有。暴露曲线不是一条中部健康的钟形曲线——它在最底部堆积成山。
暴露曲线
一个域名实施的五项核心防护(SPF · 强制执行的 DMARC · DNSSEC · HTTPS · HSTS)的数量。截至 2026-06-29:
| 已实施的防护 | 域名占比 | |
|---|---|---|
| 0 — 完全暴露 | 8.8% | 23,105,485 个域名 |
| 1 | 37.2% | |
| 2 | 39.7% | |
| 3 | 12.0% | |
| 4 | 2.1% | |
| 5 — 完全锁定 | 0.09% | 247,054 个域名 |
两个数字道出了真相:8.8% 得零分——没有邮件认证、没有加密、什么都没有——而只有 0.09% 做到了全部。最常见的结果是一项或两项防护,几乎总是 HTTPS(如今已普及),外加最多一个未强制执行的 SPF。真正能阻止攻击的控制措施——强制执行的 DMARC、DNSSEC、HSTS——几乎所有人都做不到位。
为什么曲线如此之低
每一层的根本原因都相同:这些防护默认是关闭的,必须有意识地手动开启。 HTTPS 之所以攀升,是因为主机商和 CDN 开始自动启用它——所以它是大多数域名拥有的那一项防护。其余四项仍然需要所有者知道它们的存在并采取行动:
- HTTPS 普及是因为它成了默认设置。
- SPF 采用率过半,但通常在没有 DMARC 的情况下太弱而无关紧要。
- 强制执行的 DMARC、DNSSEC 和 HSTS 都需要几乎没人会采取的有意识步骤——所以评分卡在了一分或两分。
这些都不昂贵。从 1 分到 5 分之间的差距只是几处配置更改,全部免费。障碍在于意识,而非成本。
你在曲线的哪个位置?
大多数所有者以为自己是 3 分或 4 分,结果惊讶地发现自己是 1 分——一个任何人都能伪造其邮件的 HTTPS 网站。了解你分数的唯一办法就是去检测。在曲线上向上攀升是大多数小企业能做的杠杆率最高的安全工作,而且免费。
常见问题
良好的域名安全基线是什么? 五项全有:SPF、强制执行的 DMARC、DNSSEC、HTTPS 和 HSTS——只有 0.09% 的域名能达到的“五分满分”。对大多数企业而言,一个现实的近期目标是强制执行的邮件认证(SPF + DMARC)加上有效的 HTTPS。
“完全暴露”是什么意思? 一个五项防护一项都没有的域名——没有邮件认证、没有加密、没有 DNS 或传输加固。8.8% 的域名处于这种状态。
为什么大多数域名只有一项或两项防护? 通常是 HTTPS(如今的常见默认设置),最多再加一个未强制执行的 SPF。那些需要有意识手动操作的防护——强制执行的 DMARC、DNSSEC、HSTS——被绝大多数人跳过了。
如何提高我的分数? 强制执行 DMARC、确保有效的 HTTPS、添加 HSTS,并考虑 DNSSEC。这些都是免费的配置更改。检测你的域名,看看你缺哪些。
查看你的暴露评分
了解你拥有五项中的几项——以及具体如何弥补差距——私密且免费。
检测你的域名 → · 有人能伪造你的域名吗? → · The State of Domain Security 2026 → · 仅汇总数据。数据在欧盟存储和处理。