Defaults.Exposed › 報告
我們如何為整個互聯網評分:A–F 域名安全評級方法論(2026)
發布於 2026-06-28
參考頁 · 方法論 v7 · 數據截至 2026-06-28。 本頁說明本站所有數據的生成方式。所有已發佈的統計數據均為聚合數據;單個域名的評分僅向經過驗證的所有者顯示。
Defaults.Exposed 基於 34 項可從外部觀測的安全檢查,對域名進行從 A+ 到 F 的評分——所有數據完全來源於公開互聯網,從不觸及任何人的內部系統。 本頁是對這一機制的完整、通俗說明:我們檢測什麼、如何計算評分、數據能說明什麼、不能說明什麼,以及我們遵守的原則底線。我們刻意保持透明,因為安全評分的可信度,取決於其背後方法論的可信度。
我們檢測什麼
每個域名都按照 34 項檢查進行評估,分為五個類別。每項檢查都是任何人都可以從外部觀測到的內容——沒有掃描私有系統,沒有登錄,沒有入侵。
- 電子郵件身份驗證 — 該域名是否存在被偽造電子郵件的風險?包括 SPF、DKIM、DMARC(以及 DMARC 是否處於強制執行狀態),以及郵件(MX)配置。
- TLS 與證書 — 網站加密是否到位?包括證書有效性與主機名匹配、現代 TLS 版本,以及 HSTS。
- Web 安全響應頭 — 網站是否保護了瀏覽器?包括 Content-Security-Policy、防點擊劫持(X-Frame-Options)、MIME 嗅探防護、Referrer-Policy 及跨域響應頭。
- DNS — 命名層是否經過加固?包括 DNSSEC、CAA 以及域名服務器配置。
- 基礎設施 — 輔助信號,例如反向 DNS 和 IPv6 支持。
34 項檢查中,部分為計分項(影響評級),其餘為參考項(僅用於上下文說明,不計入扣分)。
單項檢查如何評分:通過、失敗或 N/A
每項檢查的結果為以下三種之一:
- 通過 — 防護措施已正確部署。
- 失敗 — 防護措施缺失或存在問題。真實的失敗就是真實的失敗:一個沒有強制執行 SPF 和 DMARC 的域名得分偏低,是因為它確實可以被偽造,而不是因為計分方式。
- N/A — 該檢查項對此域名確實無法判斷。N/A 結果不計入評分;永遠不會因此扣分。
最後一點至關重要:我們不會因無法公平評估的內容而懲罰某個域名。
字母評級如何計算
評級分為 A+、A、B、C、D、F。評級反映了域名彌補關鍵漏洞的完整程度——權重向現實影響最大的檢查項傾斜(電子郵件偽造和傳輸安全的權重高於表面性的響應頭配置)。一個基礎高影響項做對、只留有小缺口的域名得分較高;而連最基本的防偽造措施都缺失的域名則落入 F。
由於相同的方法論同等適用於每個域名,各域名的評級可在全體範圍內進行橫向比較——這也正是按 TLD、國家和行業劃分的排行榜具有意義的原因。
數據集規模有多大?
我們追蹤 333 百萬個域名的庫存,並對當前可正常解析的約 260 百萬個活躍域名進行評分。已發佈的統計數據在構建時根據該活躍群體計算得出,並附有數據集的截止日期,讓您隨時瞭解數據的時效性。
數據的時效性如何?
掃描系統持續運行。完整群體按固定週期進行刷新,部分 TLD 的重新評估頻率更高,因此本站數據是持續更新的動態測量結果,而非一次性快照。每份報告均標註截止日期,主要研究以定期版本形式發佈,以便追蹤趨勢變化。
數據能說明什麼,不能說明什麼
我們認為,侷限性與發現同等重要:
- 地理位置和行業來源於域名後綴,而非公司註冊信息。 某國家的數據基於其國家域名後綴(ccTLD);某行業的數據基於行業專屬後綴。使用通用後綴(如
.com)的企業在這一尺度上無法歸屬於特定國家或行業。這些細分數據”足以”進行群體比較,但須注意此前提。 - 我們評估的是域名,不是組織。 一家公司可能擁有多個域名;我們針對每個域名的獨立配置分別評分。
- 僅限外部視角。 我們評估的是公開互聯網上可觀測到的內容,不查看也無意查看登錄界面背後的任何內容。
我們的規則:僅發佈聚合數據、所有者私有、歐盟數據存儲
三項承諾貫穿我們所有的發佈內容:
- 僅發佈聚合數據。 我們發佈群體規律——按 TLD、國家、行業的排行榜。我們絕不發佈點名某一具體企業及其評分的索引頁面。
- 所有者私有。 單個域名的評分及逐項檢查結果僅向經過驗證的所有者顯示。
- 歐盟數據存儲。 所有數據在歐盟境內存儲和處理——這既是合規立場,也是一種主動的信任承諾。
常見問題
Defaults.Exposed 如何計算域名安全評分? 通過運行 34 項可外部觀測的檢查(電子郵件身份驗證、TLS、Web 響應頭、DNS 和基礎設施),將每項結果評定為通過/失敗/N/A,並按現實影響加權,生成從 A+ 到 F 的評級。
你們會掃描或入侵被評級的域名嗎? 不會。每項檢查均可從公開互聯網觀測——與收件方郵件服務器或訪問者瀏覽器所獲取的信息相同。沒有登錄,沒有入侵,沒有訪問私有系統。
域名為何會得到 F 評級? 最常見的原因是沒有強制執行 SPF 和 DMARC,因此可以在電子郵件中被偽造——這是一個真實的、可從外部核實的安全漏洞。
我能查看某家特定公司的域名評分嗎? 只有當該域名屬於您本人且您完成了所有權驗證時,才能查看。我們從不公開個別企業的評分。
數據多久更新一次? 持續更新。完整群體按固定週期刷新,每項數據均標註截止日期,以便您瞭解時效性。
親自檢測您的域名
瞭解這套方法論最直接的方式就是親身體驗。免費、私密地檢測您自己的域名,並查看全部 34 項檢查的評分及通俗解釋和修復建議。
檢測您的域名 → · 互聯網的評分曲線 → · 僅發佈聚合數據。數據在歐盟境內存儲和處理。