Defaults.Exposed › 報告
2026 年域名安全現狀
發布於 2026-06-27 · 更新 2026-06-29
數據截至 2026-06-28 · 方法論 v7。 這是一份定期報告;每一期都會重新測量同一總體,以便長期跟蹤這些數字。所有數據均為彙總數據——我們從不公佈任何單個企業的評級。
.com已被完整評級(129M 個域名),並已計入下方總數。
頭條:互聯網的大部分都未通過基本的域名安全
我們針對 260,408,704 個活躍域名進行了 34 項安全檢查的測量——電子郵件認證(SPF、DKIM、DMARC)、TLS 與證書、Web 安全標頭,以及 DNS(包括 DNSSEC)。結果令人警醒:
- 86.2% 得到 F——最低評級。
- 不到 0.02% 獲得 A 或 A+——大約 4,600 個域名中有 1 個。
- 僅約 27 個中有 1 個達到 C 或更好。
這並不是關於少數被忽視網站的故事。這是互聯網的默認狀態:那些阻止你的電子郵件被偽造、阻止你的訪問者被誤導的防護措施,對於絕大多數域名來說,根本沒有開啟。
評級分佈(260M 個域名)
| 評級 | 域名 | 佔比 |
|---|---|---|
| A+ | 6,740 | 0.0% |
| A | 49,762 | 0.0% |
| B | 1,145,942 | 0.4% |
| C | 8,582,117 | 3.3% |
| D | 26,088,093 | 10.0% |
| F | 224,536,050 | 86.2% |
各國與各 TLD 之間差異很大
域名安全因國家和域名後綴而異。成熟的國家級註冊局——尤其是在歐洲——往往最能保護其企業,而那些價格低廉、用於批量註冊的高量通用後綴則表現最差。但「最好」是相對的:即便是最強的後綴,也仍讓其大多數域名停留在 F。
隨著普查規模的擴大,這些排名會發生變化,因此我們保持其實時更新,而不是在此固定下來:
究竟開啟了什麼,逐項信號
評級是一個彙總。在它之下,下面列出了每一項單獨的防護在整個總體中被正確配置的頻率——這是同類中首個覆蓋全普查範圍的基準。逐項檢查數據截至 2026-06-29,涵蓋 261 百萬個已評級域名。
| 防護 | 它能阻止什麼 | 擁有它的域名 |
|---|---|---|
| SPF(電子郵件) | 未經授權的服務器以你的名義發送 | 53.21% |
| DKIM(電子郵件) | 被篡改/未簽名的郵件 | 51.84% |
| DMARC——任意記錄 | — | 24.89% |
| DMARC——真正強制執行 | 電子郵件冒充(真正重要的那一項) | 10.59% |
| HTTPS | 未加密的「不安全」瀏覽 | 78.02% |
| HSTS(在 HTTPS 站點中) | 降級到 HTTP | 22.91% |
| Content-Security-Policy | 跨站腳本/注入 | 8.87% |
| 點擊劫持防護 | 你的頁面被嵌入框架 | 14.48% |
| 所有安全標頭(「默認安全」) | 完整的 Web 標頭集 | 4.03% |
| DNSSEC——有效 | DNS 劫持 | 1.99% |
| CAA | 未經授權的證書簽發 | 1.56% |
五個值得引用的發現:
- 只有 10.59% 的域名強制執行 DMARC——因此大約 89.41% 可在電子郵件中被冒充,儘管 53.21% 已發佈 SPF 並自以為已受保護。
- 78.02% 提供 HTTPS,但只有 4.03% 設置了每一個安全標頭——加密已成為主流;在其之上的一切則並非如此。
- 8.21% 的 HTTPS 站點持有無效證書——已過期、自簽名或用於錯誤的名稱——因此訪問者仍會收到警告。
- 擁有損壞的 DNSSEC(3.02%)的域名多於擁有正常 DNSSEC(1.99%)的域名——這項本應保護 DNS 的控制措施,使域名下線的次數多於其保護它們的次數。
- 僅 1.56% 設置了 CAA 記錄——DNS 是互聯網上最被忽視的安全層。
這對你的企業意味著什麼
不及格的評級並非抽象的分數。用通俗的話來說,它通常意味著以下一項或多項對你的域名成立:
- 你的電子郵件可能被偽造。 在沒有強制執行 SPF 和 DMARC 的情況下,犯罪分子可以發送看起來完全像出自你之手的電子郵件——發給你的客戶、員工和供應商——並落入收件箱。假發票和 CEO 詐騙就是這樣運作的。
- 你真正的電子郵件更可能被丟進垃圾箱。 Google 和 Yahoo 越來越不信任未經認證的域名,因此你真實的報價和發票會悄無聲息地落入垃圾郵件。
- 你將無法通過他人的安全檢查。 較大的客戶在簽約前會進行一次快速掃描。「域名未受保護——可被仿冒」就足以讓你失去這筆交易。
- 你的網站可能把訪問者嚇跑。 缺失或損壞的證書會向購物者顯示一個紅色的「不安全」頁面。
令人鼓舞的部分:其中大多數都免費且能快速修復——通常只需在你域名的設置中改動幾行。障礙幾乎從來不是成本;而是沒有人告訴所有者這很重要。
我們是如何測量的
- 34 項檢查,均可從外部觀察——無需訪問任何人的系統。(完整方法論。)
- 通過/失敗/不適用。 當某項檢查確實無法確定時,會標記為不適用並排除——它絕不會被算作一次失敗。
- 真正的失敗就是真正的失敗。 沒有 SPF/DMARC 的域名得分很低,是因為它確實可被仿冒——而不是因為我們的計數方式。
- 僅彙總。 這些是總體層面的模式;單個域名的評級只向其經過驗證的所有者展示。
- 數據在歐盟境內存儲和處理。
本期新增了上面的逐項信號基準——每一項單獨防護被正確配置的域名佔比,跨整個已評級總體測量得出。
看看你自己的域名處於什麼位置
這些是平均值。你的域名可能屬於獲得 A 的 0.02%——也可能屬於未獲得的 86.2%。你可以私密且免費地檢查它,並準確看到你通過了 34 項檢查中的哪些,以及如何修復你未通過的那些。