Defaults.Exposed › 报告
我们如何为整个互联网评分:A–F 域名安全评级方法论(2026)
发布于 2026-06-28
参考页 · 方法论 v7 · 数据截至 2026-06-28。 本页说明本站所有数据的生成方式。所有已发布的统计数据均为聚合数据;单个域名的评分仅向经过验证的所有者显示。
Defaults.Exposed 基于 34 项可从外部观测的安全检查,对域名进行从 A+ 到 F 的评分——所有数据完全来源于公开互联网,从不触及任何人的内部系统。 本页是对这一机制的完整、通俗说明:我们检测什么、如何计算评分、数据能说明什么、不能说明什么,以及我们遵守的原则底线。我们刻意保持透明,因为安全评分的可信度,取决于其背后方法论的可信度。
我们检测什么
每个域名都按照 34 项检查进行评估,分为五个类别。每项检查都是任何人都可以从外部观测到的内容——没有扫描私有系统,没有登录,没有入侵。
- 电子邮件身份验证 — 该域名是否存在被伪造电子邮件的风险?包括 SPF、DKIM、DMARC(以及 DMARC 是否处于强制执行状态),以及邮件(MX)配置。
- TLS 与证书 — 网站加密是否到位?包括证书有效性与主机名匹配、现代 TLS 版本,以及 HSTS。
- Web 安全响应头 — 网站是否保护了浏览器?包括 Content-Security-Policy、防点击劫持(X-Frame-Options)、MIME 嗅探防护、Referrer-Policy 及跨域响应头。
- DNS — 命名层是否经过加固?包括 DNSSEC、CAA 以及域名服务器配置。
- 基础设施 — 辅助信号,例如反向 DNS 和 IPv6 支持。
34 项检查中,部分为计分项(影响评级),其余为参考项(仅用于上下文说明,不计入扣分)。
单项检查如何评分:通过、失败或 N/A
每项检查的结果为以下三种之一:
- 通过 — 防护措施已正确部署。
- 失败 — 防护措施缺失或存在问题。真实的失败就是真实的失败:一个没有强制执行 SPF 和 DMARC 的域名得分偏低,是因为它确实可以被伪造,而不是因为计分方式。
- N/A — 该检查项对此域名确实无法判断。N/A 结果不计入评分;永远不会因此扣分。
最后一点至关重要:我们不会因无法公平评估的内容而惩罚某个域名。
字母评级如何计算
评级分为 A+、A、B、C、D、F。评级反映了域名弥补关键漏洞的完整程度——权重向现实影响最大的检查项倾斜(电子邮件伪造和传输安全的权重高于表面性的响应头配置)。一个基础高影响项做对、只留有小缺口的域名得分较高;而连最基本的防伪造措施都缺失的域名则落入 F。
由于相同的方法论同等适用于每个域名,各域名的评级可在全体范围内进行横向比较——这也正是按 TLD、国家和行业划分的排行榜具有意义的原因。
数据集规模有多大?
我们追踪 333 百万个域名的库存,并对当前可正常解析的约 260 百万个活跃域名进行评分。已发布的统计数据在构建时根据该活跃群体计算得出,并附有数据集的截止日期,让您随时了解数据的时效性。
数据的时效性如何?
扫描系统持续运行。完整群体按固定周期进行刷新,部分 TLD 的重新评估频率更高,因此本站数据是持续更新的动态测量结果,而非一次性快照。每份报告均标注截止日期,主要研究以定期版本形式发布,以便追踪趋势变化。
数据能说明什么,不能说明什么
我们认为,局限性与发现同等重要:
- 地理位置和行业来源于域名后缀,而非公司注册信息。 某国家的数据基于其国家域名后缀(ccTLD);某行业的数据基于行业专属后缀。使用通用后缀(如
.com)的企业在这一尺度上无法归属于特定国家或行业。这些细分数据”足以”进行群体比较,但须注意此前提。 - 我们评估的是域名,不是组织。 一家公司可能拥有多个域名;我们针对每个域名的独立配置分别评分。
- 仅限外部视角。 我们评估的是公开互联网上可观测到的内容,不查看也无意查看登录界面背后的任何内容。
我们的规则:仅发布聚合数据、所有者私有、欧盟数据存储
三项承诺贯穿我们所有的发布内容:
- 仅发布聚合数据。 我们发布群体规律——按 TLD、国家、行业的排行榜。我们绝不发布点名某一具体企业及其评分的索引页面。
- 所有者私有。 单个域名的评分及逐项检查结果仅向经过验证的所有者显示。
- 欧盟数据存储。 所有数据在欧盟境内存储和处理——这既是合规立场,也是一种主动的信任承诺。
常见问题
Defaults.Exposed 如何计算域名安全评分? 通过运行 34 项可外部观测的检查(电子邮件身份验证、TLS、Web 响应头、DNS 和基础设施),将每项结果评定为通过/失败/N/A,并按现实影响加权,生成从 A+ 到 F 的评级。
你们会扫描或入侵被评级的域名吗? 不会。每项检查均可从公开互联网观测——与收件方邮件服务器或访问者浏览器所获取的信息相同。没有登录,没有入侵,没有访问私有系统。
域名为何会得到 F 评级? 最常见的原因是没有强制执行 SPF 和 DMARC,因此可以在电子邮件中被伪造——这是一个真实的、可从外部核实的安全漏洞。
我能查看某家特定公司的域名评分吗? 只有当该域名属于您本人且您完成了所有权验证时,才能查看。我们从不公开个别企业的评分。
数据多久更新一次? 持续更新。完整群体按固定周期刷新,每项数据均标注截止日期,以便您了解时效性。
亲自检测您的域名
了解这套方法论最直接的方式就是亲身体验。免费、私密地检测您自己的域名,并查看全部 34 项检查的评分及通俗解释和修复建议。
检测您的域名 → · 互联网的评分曲线 → · 仅发布聚合数据。数据在欧盟境内存储和处理。