Defaults.Exposed › 评级方法
评级方法——我们如何评级
每个域名都会经过五大类共 34 项检查(25 项计入评级 + 9 项仅供参考)的评级:邮件安全、TLS 与证书、网站安全、DNS 安全,以及基础设施。下面是它的确切运作方式——没有黑盒子。
评级如何运作
每一项检查会返回通过、未通过或不适用。一个域名的得分是它在适用于自身的各项检查中所获得分数的占比,并映射为一个字母等级:
| 等级 | 得分 |
|---|---|
| A+ | 95% 以上 |
| A | 90% 以上 |
| B | 80% 以上 |
| C | 70% 以上 |
| D | 60% 以上 |
| F | 低于 60% |
评级同时也是相对的——百分位会显示一个域名在其顶级域名整体群体中的位置,而不仅仅是对照一份固定的检查清单。
无数据规则(不适用永远不算作未通过)
如果某项检查确实无法评估(超时、记录被隐去),它会被标记为不适用并排除在得分之外——它绝不会对您不利。这与真正的失败(没有 DMARC、没有 HTTPS)不同,那才是真正的未通过。一个没有 SPF/DMARC 的域名得分低是理所当然的:它可能被冒名伪造。
原则
- 独立且外部。我们测量的是互联网上任何人都能观察到的内容——无需访问您的系统。
- 公开仅限整体数据。我们公布的是规律(按顶级域名、国家、行业)。单个域名的评级仅向其已验证的所有者显示——绝不公开。
- 透明。完整的检查清单在下方;修复全部免费。
- 在欧盟境内处理。数据在欧盟境内处理。
这 34 项检查
每一项检查、它对您业务的意义,以及它是否计入您的评级。点击链接可查看完整的“它让您付出什么代价 + 如何修复”指南。
邮件安全
您的域名是否会在邮件中被冒名顶替,以及您自己的邮件是否能到达收件箱。
| 检查项 | 它对您业务的意义 | 计入评级? |
|---|---|---|
| SPF 记录 | 阻止犯罪分子发送看似来自您的邮件,并帮助您的邮件到达收件箱。 | 计分 |
| SPF 策略强度 | 薄弱的 SPF 只会发出警告;严格的 SPF 才会真正拦截伪造。 | 计分 |
| DMARC 策略 | 用于指示邮件服务商拒收冒名邮件的规则——核心的反伪造控制措施。 | 计分 |
| DMARC 报告 | 报告谁在冒用您的身份发邮件,让您能发现滥用和配置错误。 | 计分 |
| DKIM | 证明邮件确实来自您的加密签名;能提升送达率。 | 计分 |
| MX 记录 | 您的域名是否已正确配置以接收邮件。 | 计分 |
| 反向 DNS(PTR) | 让您的邮件服务器看起来更可信,使邮件不被当作垃圾邮件丢弃。 | 计分 |
TLS 与证书
那把小锁——通往您网站的流量是否使用有效的现代证书加密。
| 检查项 | 它对您业务的意义 | 计入评级? |
|---|---|---|
| 支持 HTTPS | 没有它,浏览器会向访客发出“不安全”警告,访客便会离开。 | 计分 |
| 证书有效 | 受信任、正确签发的证书;无效证书会触发吓人的浏览器警告。 | 计分 |
| 证书有效期 | 即将过期的证书会以整页警告让您的网站下线。 | 计分 |
| 签名算法 | 使用现代、未被攻破的签名算法(而非陈旧的 SHA-1)。 | 计分 |
| 密钥强度 | 足够的密钥长度,使加密无法被暴力破解。 | 计分 |
| TLS 版本 | 现代 TLS(1.2/1.3);旧版本已被攻破,会在安全审查中不通过。 | 计分 |
| 加密套件强度 | 保护传输中数据的强加密。 | 计分 |
| TLS 压缩 | 已禁用压缩,以避免一类已知攻击。 | 仅供参考 |
| OCSP 装订 | 更快、更注重隐私的证书吊销检查。 | 仅供参考 |
| 安全重新协商 | 防御 TLS 重新协商攻击。 | 仅供参考 |
网站安全
保护访客浏览器免受常见攻击的 HTTP 标头。
| 检查项 | 它对您业务的意义 | 计入评级? |
|---|---|---|
| HSTS | 强制每次访问都使用安全的小锁连接,使客户无法被降级到不安全连接。 | 计分 |
| HTTP→HTTPS 跳转 | 把通过 http 进入的访客直接送到安全版本。 | 计分 |
| 内容安全策略(CSP) | 降低被入侵或注入的脚本在您站点上窃取客户数据的可能性。 | 计分 |
| 点击劫持防护 | 阻止攻击者嵌入您的网站,诱骗您的客户点击不该点的东西。 | 计分 |
| MIME 嗅探防护 | 阻止浏览器以攻击者可利用的方式误读文件。 | 计分 |
| Referrer-Policy | 控制访客点击离开时向其他网站泄露多少地址信息。 | 计分 |
| 跨源标头(COOP/CORP/COEP) | 用于强化防御跨站数据泄露的高级隔离机制。 | 仅供参考 |
DNS 安全
您域名的根基是否会被劫持或被打到下线。
| 检查项 | 它对您业务的意义 | 计入评级? |
|---|---|---|
| CAA 记录 | 只允许您选定的服务商为您的域名签发 SSL 证书。 | 计分 |
| DNSSEC(DS) | 阻止攻击者劫持您的域名、把访客引向您网站的假冒副本。 | 计分 |
| DNSSEC(DNSKEY) | 使 DNSSEC 防护真正生效的签名密钥。 | 计分 |
| 域名服务器多样性 | 多台彼此独立的域名服务器,使一次故障不会让您下线。 | 计分 |
| SOA 配置 | 正确配置的 DNS“授权起始”记录。 | 计分 |
| IPv6 支持 | 可通过现代互联网协议访问。 | 仅供参考 |
基础设施
关于您网站在何处、以何种方式托管的背景信息(仅供参考——这些永远不会改变您的评级)。
| 检查项 | 它对您业务的意义 | 计入评级? |
|---|---|---|
| CDN / WAF 检测 | 是否有内容分发网络 / Web 应用防火墙在保护您的网站。 | 仅供参考 |
| 托管服务商 | 识别您的网站托管在何处。 | 仅供参考 |
想知道您自己的域名在全部 34 项检查中的表现吗? 运行免费检查 → (私密;我们只会向域名的已验证所有者显示其评级)。