Defaults.Exposed › 报告
互联网安全评分曲线:2026 年的平均域名什么样
发布于 2026-06-28
数据截至 2026-06-28 · 方法论 v7。 本报告为定期发布版本:每期对同一群体重新测量,以便追踪曲线的变化趋势。所有数据均为聚合数据——我们从不公开任何企业的单独评分。完整方法论请见我们的评分方式。
互联网上的平均域名并不安全。 在我们评级的 260 百万个域名中,以绝对优势排名最常见的评级是 F;典型域名的评分落在 D 或以下。达到 C 或以上的域名不足 27 分之一。这就是互联网的评分曲线——几乎全面倾向于”暴露”。
平均域名的安全评级是什么?
如果将地球上每个已评级域名排成一列,走到最中间的那个,你会看到评级为 F 的域名——最低评级。F 不是四舍五入的误差,也不是对不活跃域名的惩罚:当一个域名真正缺失阻止电子邮件被伪造、访问者被误导的基本保护时,它就会得到 F。而大多数互联网域名,这些保护压根就没有开启。
以下是完整的分布情况。
互联网评分分布(260M 个域名)
| 评级 | 域名数量 | 占比 | 含义 |
|---|---|---|---|
| A+ | 6,740 | 0.0% | 近乎无懈可击——几乎通过所有检查 |
| A | 49,762 | 0.0% | 表现强劲:电子邮件锁定、现代 TLS、关键 DNS 防护已启用 |
| B | 1,145,942 | 0.4% | 良好,存在少量小缺口 |
| C | 8,582,117 | 3.3% | 参差不齐——部分防护到位,部分仍有真实漏洞 |
| D | 26,088,093 | 10.0% | 薄弱——大多数防护缺失 |
| F | 224,536,050 | 86.2% | 实际上未受保护——可被伪造 |
看完这张表,形状一目了然:曲线并非以”B”为中心的钟形。它是一道悬崖。互联网上 86.2% 的域名评级为 F,另有 10.0% 评级为 D,而 C 以上的一切相比之下几乎只是零头。
高评级有多罕见?
非常罕见。在全量普查中:
- 仅 0.46% 的域名达到 B 或更高——大约 220 分之一。
- 仅 0.02% 达到 A 或 A+——大约 4,600 分之一。
- C 或更高——“具备实质性保护”的最低门槛——不足 27 分之一的域名能达到。
换句话说,配置真正完善的域名并非你尚未达到的常态,而是稀有的例外。这组数据背后隐藏着一个好消息:越过这道门槛,你就已经领先于互联网的绝大多数,而且大多数步骤是免费的。
为什么评分曲线如此严重地向 F 倾斜?
三个原因,没有一个是”互联网充满了黑客”:
- 默认状态下保护是关闭的。 注册域名时,电子邮件身份验证(SPF、DKIM、DMARC)、DNSSEC、CAA 和安全响应头都不会自动为你启用。有人必须手动打开——而几乎没有人会这么做。
- 没有人告知所有者。 购买域名的小企业主从未被警告:默认情况下,犯罪分子可以发送看起来来自他们确切地址的电子邮件。“您的域名可被冒充”——没有任何错误提示。
- 防护措施在失效之前是隐形的。 缺失的 SPF 记录不会产生任何可见的问题——直到有骗子用你的域名向你的客户发送虚假发票,或你的真实邮件开始进入垃圾箱。
结果,这条评分曲线反映的是疏忽,而非恶意。
F 评级对企业意味着什么
不及格不是抽象的分数。用通俗的话说,F 通常意味着该域名存在以下一种或多种情况:
- 电子邮件可被伪造。 没有强制执行 SPF 和 DMARC,任何人都可以发送看起来完全来自该域名的邮件——发给它的客户、员工和供应商——而且这些邮件会落入收件箱。这正是虚假发票和 CEO 诈骗的作案机制。
- 真实邮件更容易进垃圾箱。 Gmail 和 Yahoo 越来越不信任未经身份验证的域名,导致真实的报价和发票悄悄沦为垃圾邮件。
- 无法通过其他公司的安全审查。 大型客户在签约前会扫描供应商的域名。“可被伪造”足以让你丢掉合同。
- 网站可能吓跑访客。 证书缺失或损坏会让购物者看到红色的”不安全”页面警告。
评分曲线随时间如何变化?
由于扫描系统持续对群体重新测量,这一分布是动态的,而非一次性快照。我们以定期报告的形式发布,以便逐版追踪曲线——如果互联网整体变得更安全,本页将如实呈现。对比移动中的排行榜:
常见问题
2026 年域名安全的平均评级是什么? 在我们测量的 260 百万个域名中,最常见的评级是 F,典型(中位数)域名评分为 D 或以下。仅 0.46% 的域名达到 B 或更高。
有多少比例的网站基础安全不达标? 截至 2026-06-28,86.2% 的已评级域名评为 F——实际上未受保护、可被伪造——另有 10.0% 评为 D。
有多少域名获得了 A 评级? 仅 6,740 个域名获得 A+,49,762 个获得 A——合计约占所有已评级域名的 0.02%,即大约 4,600 分之一。
低评级是否只是因为域名被停放或不活跃? 不是。域名得分低,是因为它真正未能通过真实的、可从外部观测的检查——例如,由于没有强制执行 SPF 和 DMARC 而可被伪造。确实无法判断的检查项会被标注为 N/A 并排除,永远不会算作失败。
看看您的域名在曲线上处于哪个位置
这些都是群体平均数据。您的域名可能是 0.46% 达到 B 或更高的那部分——也可能是 86.2% 不达标的那部分。您可以免费、私密地检测,并精确查看 34 项检查中哪些通过了、哪些未通过,以及如何修复。
检测您的域名 → · 我们的评分方式 → · 仅发布聚合数据;单个域名的评分仅向经过验证的所有者显示。数据在欧盟境内存储和处理。