Defaults.Exposed › Articles
2026 全球域名安全现状报告
Published 2026-06-27
数据截至 2026-06-27,采用 v7 方法论。 这是一份定期发布的报告,每一期都会对同一批域名重新测量,因此这些数字可以随时间持续追踪。所有数字均为整体统计——我们从不公布任何单个企业的评级。
.com已被完整评级(129M 个域名),并已计入下方的总数。
核心结论:互联网上的大多数域名连最基本的安全都没做到
我们用 34 项安全检查对 261,752,302 个在线域名进行了测量——涵盖邮件认证(SPF、DKIM、DMARC)、TLS 与证书、Web 安全响应头,以及 DNS(包括 DNSSEC)。结果令人警醒:
- 86.3% 被评为 F——也就是最低一档。
- 拿到 A 或 A+ 的不足 0.02%——大约每 4,700 个域名才有 1 个。
- 只有大约每 27 个域名中有 1 个能达到 C 或更高。
这并不是少数无人打理的网站的问题,而是整个互联网的默认状态:那些本该阻止你的邮件被伪造、阻止你的访客被误导的防护措施,对绝大多数域名来说,根本没有打开。
评级分布(262M 个域名)
| 评级 | 域名数 | 占比 |
|---|---|---|
| A+ | 6,708 | 0.0% |
| A | 49,443 | 0.0% |
| B | 1,142,198 | 0.4% |
| C | 8,566,735 | 3.3% |
| D | 26,225,422 | 10.0% |
| F | 225,761,796 | 86.3% |
不同国家和顶级域之间差距很大
域名安全水平在不同国家、不同域名后缀之间差异巨大。历史悠久的国家级注册管理机构——尤其是欧洲的——往往把本国企业保护得最好;而那些价格低廉、被大量批量注册的通用后缀则表现最差。但所谓“最好”也只是相对而言:即便是表现最强的后缀,旗下大多数域名仍停留在 F。
这些排名会随着普查规模扩大而变化,因此我们采用实时更新,而不是把它们固定写在这里:
这对你的生意意味着什么
不及格的评级并不是一个抽象的分数。说得直白些,它通常意味着你的域名至少存在以下一种情况:
- 你的邮件可以被伪造。 没有强制启用 SPF 和 DMARC,犯罪分子就能发出与你完全相同的邮件——发给你的客户、员工和供应商——而且会直接进入收件箱。假发票诈骗和“冒充老板”诈骗正是这样运作的。
- 你真正的邮件更容易被丢进垃圾箱。 Google 和 Yahoo 越来越不信任未做认证的域名,于是你正经的报价单和发票悄悄落进了垃圾邮件。
- 你会通不过别人的安全审查。 大客户在签约前往往会快速扫描一遍。“该域名未受保护——可被冒名”这一句话,就足以让你丢掉这单生意。
- 你的网站会把访客吓跑。 证书缺失或失效,会让顾客看到一个红色的“不安全”警告页面。
值得庆幸的是:这些问题大多免费且能很快修好——通常只需在域名设置里改几行配置。门槛几乎从来不是成本,而是从没有人告诉过域名所有者这件事很重要。
我们是如何测量的
- 34 项检查,全部从外部可观测——无需访问任何人的系统。(完整方法论。)
- 通过 / 失败 / N/A。 当某项检查确实无法判定时,会标记为 N/A 并予以排除——它绝不会被计为失败。
- 真正的失败就是真正的失败。 一个没有 SPF/DMARC 的域名得分低,是因为它确实可以被冒名,而不是因为我们的计分方式。
- 仅做整体统计。 这些是整体规律;单个域名的评级只会展示给经过验证的所有者本人。
- 数据在欧盟境内存储与处理。
(未来某一期还会加入“完全没有发布任何反伪造邮件防护”的域名占比,待该项逐项统计在全量域名上完成后即可呈现。)
看看你自己的域名处于什么水平
以上都是平均值。你的域名也许属于拿到 A 的那 0.02%,也可能属于没拿到的那 86.3%。你可以私密、免费地查询,看清楚 34 项检查里你通过了哪些,以及没通过的该如何修复。