Defaults.Exposed › 評級方法
評級方法——我們如何評級
每個網域都會經過五大類共 34 項檢查(25 項計入評級 + 9 項僅供參考)的評級:郵件安全、TLS 與憑證、網站安全、DNS 安全,以及基礎設施。下面是它的確切運作方式——沒有黑盒子。
評級如何運作
每一項檢查會返回通過、未通過或不適用。一個網域的得分是它在適用於自身的各項檢查中所獲得分數的占比,並映射為一個字母等級:
| 等級 | 評分 |
|---|---|
| A+ | 95% 以上 |
| A | 90% 以上 |
| B | 80% 以上 |
| C | 70% 以上 |
| D | 60% 以上 |
| F | 低於 60% |
評級同時也是相對的——百分位會顯示一個網域在其頂級網域整體群體中的位置,而不僅僅是對照一份固定的檢查清單。
無數據規則(不適用永遠不算作未通過)
如果某項檢查確實無法評估(超時、記錄被隱去),它會被標記為不適用並排除在得分之外——它絕不會對您不利。這與真正的失敗(沒有 DMARC、沒有 HTTPS)不同,那才是真正的未通過。一個沒有 SPF/DMARC 的網域得分低是理所當然的:它可能被冒名偽造。
原則
- 獨立且外部。我們測量的是網際網路上任何人都能觀察到的內容——無需訪問您的系統。
- 公開僅限整體數據。我們公布的是規律(按頂級網域、國家、行業)。單個網域的評級僅向其已驗證的所有者顯示——絕不公開。
- 透明。完整的檢查清單在下方;修復全部免費。
- 在歐盟境內處理。數據在歐盟境內處理。
這 34 項檢查
每一項檢查、它對您業務的意義,以及它是否計入您的評級。點擊連結可查看完整的「它讓您付出什麼代價 + 如何修復」指南。
郵件安全
您的網域是否會在郵件中被冒名頂替,以及您自己的郵件是否能到達收件匣。
| 檢查項 | 它對您業務的意義 | 計入評級? |
|---|---|---|
| SPF 記錄 | 阻止犯罪分子發送看似來自您的郵件,並幫助您的郵件到達收件匣。 | 計分 |
| SPF 策略強度 | 薄弱的 SPF 只會發出警告;嚴格的 SPF 才會真正攔截偽造。 | 計分 |
| DMARC 策略 | 用於指示郵件服務商拒收冒名郵件的規則——核心的反偽造控制措施。 | 計分 |
| DMARC 報告 | 報告誰在冒用您的身份發郵件,讓您能發現濫用和配置錯誤。 | 計分 |
| DKIM | 證明郵件確實來自您的加密簽名;能提升送達率。 | 計分 |
| MX 記錄 | 您的網域是否已正確配置以接收郵件。 | 計分 |
| 反向 DNS(PTR) | 讓您的郵件伺服器看起來更可信,使郵件不被當作垃圾郵件丟棄。 | 計分 |
TLS 與憑證
那把小鎖——通往您網站的流量是否使用有效的現代憑證加密。
| 檢查項 | 它對您業務的意義 | 計入評級? |
|---|---|---|
| 支援 HTTPS | 沒有它,瀏覽器會向訪客發出「不安全」警告,訪客便會離開。 | 計分 |
| 憑證有效 | 受信任、正確簽發的憑證;無效憑證會觸發嚇人的瀏覽器警告。 | 計分 |
| 憑證有效期 | 即將過期的憑證會以整頁警告讓您的網站下線。 | 計分 |
| 簽名演算法 | 使用現代、未被攻破的簽名演算法(而非陳舊的 SHA-1)。 | 計分 |
| 金鑰強度 | 足夠的金鑰長度,使加密無法被暴力破解。 | 計分 |
| TLS 版本 | 現代 TLS(1.2/1.3);舊版本已被攻破,會在安全審查中不通過。 | 計分 |
| 加密套件強度 | 保護傳輸中數據的強加密。 | 計分 |
| TLS 壓縮 | 已禁用壓縮,以避免一類已知攻擊。 | 僅供參考 |
| OCSP 裝訂 | 更快、更注重隱私的憑證吊銷檢查。 | 僅供參考 |
| 安全重新協商 | 防禦 TLS 重新協商攻擊。 | 僅供參考 |
網站安全
保護訪客瀏覽器免受常見攻擊的 HTTP 標頭。
| 檢查項 | 它對您業務的意義 | 計入評級? |
|---|---|---|
| HSTS | 強制每次訪問都使用安全的小鎖連線,使客戶無法被降級到不安全連線。 | 計分 |
| HTTP→HTTPS 跳轉 | 把通過 http 進入的訪客直接送到安全版本。 | 計分 |
| 內容安全策略(CSP) | 降低被入侵或注入的腳本在您站點上竊取客戶數據的可能性。 | 計分 |
| 點擊劫持防護 | 阻止攻擊者嵌入您的網站,誘騙您的客戶點擊不該點的東西。 | 計分 |
| MIME 嗅探防護 | 阻止瀏覽器以攻擊者可利用的方式誤讀文件。 | 計分 |
| Referrer-Policy | 控制訪客點擊離開時向其他網站洩露多少地址信息。 | 計分 |
| 跨源標頭(COOP/CORP/COEP) | 用於強化防禦跨站數據洩露的高級隔離機制。 | 僅供參考 |
DNS 安全
您網域的根基是否會被劫持或被打到下線。
| 檢查項 | 它對您業務的意義 | 計入評級? |
|---|---|---|
| CAA 記錄 | 只允許您選定的服務商為您的網域簽發 SSL 憑證。 | 計分 |
| DNSSEC(DS) | 阻止攻擊者劫持您的網域、把訪客引向您網站的假冒副本。 | 計分 |
| DNSSEC(DNSKEY) | 使 DNSSEC 防護真正生效的簽名金鑰。 | 計分 |
| 網域名稱伺服器多樣性 | 多台彼此獨立的網域名稱伺服器,使一次故障不會讓您下線。 | 計分 |
| SOA 配置 | 正確配置的 DNS「授權起始」記錄。 | 計分 |
| IPv6 支援 | 可通過現代網際網路協議訪問。 | 僅供參考 |
基礎設施
關於您網站在何處、以何種方式託管的背景信息(僅供參考——這些永遠不會改變您的評級)。
| 檢查項 | 它對您業務的意義 | 計入評級? |
|---|---|---|
| CDN / WAF 檢測 | 是否有內容分發網路 / Web 應用防火牆在保護您的網站。 | 僅供參考 |
| 託管服務商 | 識別您的網站託管在何處。 | 僅供參考 |
想知道您自己的網域在全部 34 項檢查中的表現嗎? 運行免費檢查 → (私密;我們只會向網域的已驗證所有者顯示其評級)。